SWITCH Security-Blog

SWITCH-CERT IT-Security Blog


IPv6 Adress-Autokonfiguration aus Security-Sicht

Wer in seiner Organisation IPv6 einführt, muss sich darüber Gedanken machen, wie die Adressvergabe für Server und Clients geregelt werden soll. Dabei spielen auch Sicherheits- und Privatsphären-Aspekte eine Rolle. In diesem Beitrag wollen wir dazu die Themen Adress-Autokonfiguration und Privacy Extensions etwas näher betrachten.

SLAAC – Autokonfiguration

Neben den von IPv4 bekannten Möglichkeiten – statische Adresskonfiguration oder DHCP – gibt es für IPv6 zusätzlich den Mechanismus der Adress-Autokonfiguration (RFC 4862: IPv6 Stateless Address Autoconfiguration, SLAAC). Dieser bedarf weder einer manuellen Konfiguration auf dem Client noch einer zentralen Instanz, welche die Adressen zuteilt. Der lokale Teil der IPv6-Adresse (Interface Identifier, IID, 64 Bit) wird dabei lokal auf dem Host gebildet, und zwar gemäss Standard abgeleitet von der MAC-Adresse des Interfaces nach dem Modified EUI-64 Verfahren.

ipv6adresse

IPv6-Adresse bestehend aus Präfix (Global Routing Präfix + Subnet ID) und Interface ID. Die Interface ID ist hier aus der MAC-Adresse 3c:07:54:5d:45:67 abgeleitet nach dem Modified EUI-64-Verfahren.

Da die MAC-Adresse in aller Regel gleich bleibt, hat nun der Host – beispielsweise der Laptop eines Geschäftsreisenden – weltweit eine IPv6-Adresse, deren letzten 64 Bit immer konstant bleiben. Dadurch hat man neben den existierenden Tracking-Mechanismen (Cookies, Browser-Fingerprint, etc.) noch ein statisches Datum, mit dem der Client auf Ressourcen zugreift – und damit dauerhaft und weltweit trackbar ist. Ein Problem für die Privatsphäre des Nutzers. Continue reading


IPv6 für (Security-)Manager – Teil 4: Loslegen, aber sicher!

Warum IPv6 ein IT-Management-Thema ist, wie das Big Picture der IPv6-Integration aussehen kann und welche möglichen Treiber es gibt, das haben wir uns in den vergangenen 3 Teilen dieser Serie angeschaut. In diesem Teil möchte ich nun anhand von 5 Punkten aufzeigen, wie Sie das Thema IPv6-Integration in Ihrer Organisation sicher auf den Weg bringen können:

1. Operativen Betrieb absichern – IPv6 ist bereits da!

Als aller erstes sollten Sie das latente Risiko durch existierende Dual-Stack-Rechner in Ihrer IT-Umgebung einschätzen: Alle modernen Betriebssysteme sind IPv6-enabled und können mittels Autokonfiguration “von aussen” konfiguriert werden. Damit stehen einem potenziellen Angreifer einige IPv6-spezifische Attacken zur Verfügung, ohne dass Sie jemals IPv6 bewusst konfiguriert und ausgerollt haben. Auf den Systemen wird durch die Autokonfiguration ausserdem “eine zweite Tür geöffnet”, für die bestehende Sicherungsmechanismen (beispielsweise IP-basierende ACLs) unter Umständen nicht greifen. Continue reading