Warum IPv6 ein IT-Management-Thema ist, wie das Big Picture der IPv6-Integration aussehen kann und welche möglichen Treiber es gibt, das haben wir uns in den vergangenen 3 Teilen dieser Serie angeschaut. In diesem Teil möchte ich nun anhand von 5 Punkten aufzeigen, wie Sie das Thema IPv6-Integration in Ihrer Organisation sicher auf den Weg bringen können:
1. Operativen Betrieb absichern – IPv6 ist bereits da!
Als aller erstes sollten Sie das latente Risiko durch existierende Dual-Stack-Rechner in Ihrer IT-Umgebung einschätzen: Alle modernen Betriebssysteme sind IPv6-enabled und können mittels Autokonfiguration “von aussen” konfiguriert werden. Damit stehen einem potenziellen Angreifer einige IPv6-spezifische Attacken zur Verfügung, ohne dass Sie jemals IPv6 bewusst konfiguriert und ausgerollt haben. Auf den Systemen wird durch die Autokonfiguration ausserdem “eine zweite Tür geöffnet”, für die bestehende Sicherungsmechanismen (beispielsweise IP-basierende ACLs) unter Umständen nicht greifen.
Eine weitere, ebenfalls durchaus reale Gefahr besteht durch automatisch konfigurierte IPv6-Tunnel auf Client-Rechnern, mit denen sowohl Benutzer als auch Angreifer Firewalls umgehen können, falls diese den entsprechenden Tunnelverkehr nicht filtern.
Um die verschiedenen Möglichkeiten des Missbrauchs von IPv6 im “IPv4-only-Netz” erkennen zu können, sollte Ihr Monitoring auf dem IPv6-Auge nicht blind sein. Auch Malware und Botnetze sprechen seit einigen Jahren IPv6 und können so ggf. “unter dem Radar” fliegen.
2. Strategie entwickeln, Budget und Ressourcen planen
Wie wir in den vorigen Teilen gesehen haben, lässt sich die Integration von IPv6 in Ihre IT nicht als normales Netzwerk-Upgrade-Projekt abwickeln. Jeder Teil der IT wird in den kommenden Jahren von der IPv6-Integration (und später -Migration, also Ablösung von IPv4) betroffen sein. Darum sollten Sie eine IPv6-Roadmap entwickeln, die für Ihre IT passt. Wichtig dabei ist die Berücksichtigung existierender Lebenszyklen von Gerätschaften und Software, aber auch existierende und geplante Projekte.
Je grösser die Organisation, desto wichtiger ist es, die Rolle eines “IPv6 Transition Managers” bzw. ein TMO (Transition Management Office) zu schaffen. Aus dieser Position heraus können alle Aspekte der IPv6-Integration koordiniert werden, sowohl zwischen den Abteilungen (inklusive Security), als auch zwischen dem Management und den ausführenden Einheiten. Ein TMO erkennt und kennt Abhängigkeiten, Deadlocks und Optimierungspotenzial und kann dafür sorgen, dass die Abteilungen die Priorität und das Budget für die IPv6-Projekte haben, die sie brauchen.
3. Know-how aufbauen
Der Aufbau von IPv6-Know-how ist ein zentraler Faktor beim Deployment von IPv6, insbesondere, wenn es um die Security-Aspekte geht. Da das Know-how nicht von heute auf morgen entsteht, ist es erforderlich, frühzeitig zu überlegen, wer im Unternehmen welches Wissen wann benötigt. Netzwerkleute, Systemadministratoren, Security-Mitarbeiter, aber auch Support und Anwendungentwickler. Je nach Grösse der Organisation ist hier ein Schulungsplan empfehlenswert.
Natürlich lernt man nie alles Notwendige durch den Besuch von Schulungen. Auch wenn dies eine sinnvolle Unterstützung ist, um schnell und effizient auf ein gewisses Niveau zu kommen, ist Praxiserfahrung das A und O. Dazu bietet es sich an, ein IPv6-Labor aufzubauen, in dem zum einen praktische Lernerfahrungen gesammelt werden können, zum anderen aber auch später Equipment-Tests durchgeführt werden.
Als weitere Lernstufe sollten Sie auch beizeiten den Schritt aus dem Labor wagen und ein überschaubares IPv6-Pilotprojekt lancieren, innerhalb dessen ein Teil der Produktivumgebung “IPv6-fähig” gemacht wird. Empfehlenswert ist, für dieses erste Projekt einerseits einen Bereich der IT-Infrastruktur zu wählen, in dem Fehler in einem gewissen Rahmen akzeptabel sind und nicht gleich zum Ausfall unternehmenskritischer Ressourcen führen. Andererseits sollte das Projekt aber auch eine gewisse Relevanz für den operativen Betrieb haben.
4. Sicher ausrollen
Wer die Artikelserie bis hierhin verfolgt hat, für den ist klar: Das Rollout von IPv6 sollte immer mit den entsprechenden Massnahmen im Security-Bereich koordiniert sein. Andernfalls sinkt das Niveau der Netzwerk-Sicherheit beträchtlich. Dazu einige Vorschläge:
- Inventarisieren Sie Ihr Security-Equipment bzw. aktualisieren Sie die Dokumentation dazu.
- Definieren Sie Ihre IPv6-Anforderungen pro Gerätetyp oder Art der Sicherheitseinrichtung.
- Aktualisieren Sie die entsprechenden Einkaufsrichtlinien.
- Betreiben Sie Vendor Management (Features nachfragen, Roadmap kennen, ggf. Alternativen suchen).
- Erarbeiten Sie Testpläne und führen Sie Equipment-Tests durch (das Lab steht ja bereits).
- Mit den aus den vorigen Punkten erlangten Informationen: Synchronisieren Sie das IPv6-Rollout mit der realen Readiness Ihrer Sicherheitseinrichtungen.
5. Chancen nutzen
Als letzten Punkt dieses Artikels und damit auch dieser vierteiligen Serie möchte ich Ihre Aufmerksamkeit auf die Chancen lenken, die mit einer frühzeitigen Planung und einem aktiven Umgang mit der IPv6-Thematik einhergehen:
- Fangen Sie beizeiten an, dann können Sie endlich mal ein IT-Vorhaben ohne Zeitdruck durchführen – es gibt (noch) keine Deadline.
- Nutzen Sie die existierenden Lebenszyklen Ihres Equipments und integrieren Sie IPv6 in laufende Projekte – später wird es sonst sehr viel teurer.
- Planen Sie ein schrittweises Vorgehen, kennen Sie die Abhängigkeiten und entwickeln Sie daraus eine “sanfte” Migrations-Roadmap.
- Nutzen Sie – falls angezeigt – die Chancen, die sich für eine Re-Dokumentation oder ein Netzwerk-Re-Design ergeben.
- Und nicht zuletzt: Verbessern Sie das IT-Security-Niveau in Ihrer Organisation durch abteilungsübergreifende Zusammenarbeit.
Damit sind wir am Ende unserer Serie ‘IPv6 für (Security-)Manager’ angekommen. Haben Sie Feedback, sei es Kritik, Lob oder eigene Erfahrungen, die das Informationsangebot hier ergänzen? Dann freuen wir uns, von Ihnen zu hören!
Im weiteren Verlauf werden wir verschiedene spezifische IPv6-Security-Themen in diesem Blog aufgreifen. Haben Sie bestimmte Wünsche? Dann freuen wir uns über eine Nachricht!
SWITCH Security-Blog 