Thema des neuesten von Internet Security Systems (ISS) veröffentlichten Threat IQ Reports ist das Internet-Protokoll der nächsten Generation (IPng), besser unter dem Kürzel IPv6 bekannt. Der Bericht nimmt sich dem breiten Spektrum an Fragestellungen unter Berücksichtigung von Sicherheitsaspekten an, die mit der zunehmenden Umstellung von IPv4 auf IPv6 zusammenhängen. Denn obwohl das Internet-Protokoll Version 6 die Unzulänglichkeiten des Vorgängers – beispielsweise fehlende Sicherheits- und Verschlüsselungsfunktionen – beseitigt, öffnet die mangelnde Auseinandersetzung der IT-Verantwortlichen mit IPv6 Hackern Tür und Tor.
IPv6: Breiterer Adressraum und viele Stolpersteine
Jeder Rechner im Internet verfügt über eine eigene Internet-Protocol- (IP) Adresse. Da inzwischen zunehmend PDAs, Mobiltelefone aber auch in PKWs eingesetzte Multimediasysteme sowie Bordcomputer und verschiedene in Privathaushalten vorhandene Geräte auf das Datennetz zugreifen, reicht der unter IPv4 bereitstehende Adressraum auf die Dauer nicht aus. Diese Ent-wicklung prognostizierten bereits Anfang der 90er Jahre und begannen basie-rend auf dieser Annahme mit der Arbeit am Internetprotokoll der Zukunft IPv6. Im Gegensatz zur Vorgängerversion, die nur Adressen mit einer Länge von 32 Bit unterstützte, kommt IPv6 mit einer Adresslänge von 128 Bit zurecht. Dadurch entsteht ein Adressraum, der mehrere Billionen Adressen umfasst.
Der aktuelle Threat IQ Report ist ab sofort im Internet unter der folgenden URL http://xforce.iss.net/... abrufbar und beschäftigt sich umfassend mit dem Internet Protokoll Version 6. Nach einem einleitenden kurzen Abriss zur Entstehung von IPv6 und den maßgeblichen Faktoren, welche die Verabschiedung des neuen Protokolls vorantrieben, werden Vorteile aber auch Mängel und Schwachstellen ausführlich dargestellt. Ein weiterer Schwerpunkt liegt darüber hinaus auf Empfehlungen, wie sich Sicherheitsrisiken bei der Umstellung von IPv4 auf IPv6 vermeiden lassen.
Migration auf IPv6 birgt Risiken
Obwohl IPv6 auf dem IP-Sicherheitsstandard IPSec aufbaut und dementsprechend Verschlüsselungsmechanismen integriert sind, kann die Umstellung auf das neue Protokoll Sicherheitsprobleme verursachen. Beispielsweise gilt die hierfür häufig zum Einsatz kommende „6to4“-Tunneltechnik als risikobehaftet. Sowohl Distributed-Denial-of-Service- (DDos) Attacken, unberechtigte Zugriffe auf den über IPv6-in-IPv4- (SIT) Tunnel transportierten Datenverkehr oder gar der Zugang und die Steuerung von Systemen oder gesamten Netzwerken über eine sogenannte Backdoor sind nicht auszuschließen.
Mangelndes Bewusstsein bei IT-Verantwortlichen gilt als größtes Risiko
Die größte Gefahr sieht Internet Security Systems darin, dass der Kenntnisstand über IPv6 bei IT-Verantwortlichen und Cyberkriminellen weit auseinander klafft. Oftmals genügt IPv4 den derzeitigen Anforderungen von Unternehmen aus. Netzwerkadministratoren sehen sich daher nicht in der Pflicht, sich mit dem neuen Protokoll auseinander zu setzen. Sie ignorieren zum einen, dass das IPv6 bereits in vielen Infrastrukturen Einzug gehalten hat. Zum anderen fehlt ihnen die Erfahrung und die Expertise, das Protokoll richtig zu handhaben. Dies ist insofern ein Risikofaktor, da heute rund um den Globus bereits viele produktive Netzwerke auf IPv6 aufbauen - Tendenz steigend. Hinzu kommt, dass die meisten modernen Connectivity-Produkte bereits IPv6 unterstützen. Somit ist es ein Trugschluss zu glauben, dass die eigene auf dem Vorgängerprotokoll basierte Infrastruktur keinerlei Risiken ausgesetzt ist. Vielmehr ist es durchaus möglich, dass bereits bösartiger IPv6-Datenverkehr unentdeckt über IPv4-Infrastrukturen verläuft und Schäden anrichtet.
Im Gegensatz zu einer großen Zahl an IT-Verantwortlichen in Unternehmen kennen sich Cyberkriminelle bereits bestens mit IPv6 aus. Gerade von der Hackergemeinde ist bekannt, dass sie für den Austausch von Informationen bereits seit geraumer Zeit „IPv6 only“ Internet-Relay-Chat- (IRC) Systeme und -Server nutzen, gleiches gilt für den Betrieb von IPv6 Web- und FTP-Seiten. Dank dieses Wissensvorsprungs sind sie mit Schwachstellen und deren Ausnutzung bestens vertraut und können die mangelnden Kenntnisse ihrer Gegenspieler, der Netzwerkverantwortlichen in den Unternehmen, gewinnbringend nutzen.
ISS Threat IQ Report behandelt vierteljährlich aktuelle Themen
Die Inhalte des ISS Threat IQ Report beruhen neben dem Feedback der weltweit aktiven Managed-Security-Services-Organisation des Herstellers im wesentlichen auf den Arbeitsergebnissen der X-Force. Die über hundert Mann starke Forschungs- und Entwicklungsabteilung des Unternehmens gilt weltweit als unbestrittene Autorität auf dem Gebiet der Ermittlung von Schwachstellen. Im Labor ist das Team ständig auf der Suche nach Sicherheitslücken und möglichen Angriffspunkten in Software, Datenbanken, Betriebs- und Netzwerksystemen. Bestandteil des ISS Threat IQ Reports ist zudem der ISS Catastrophic Risk Index, eine aktuelle Auflistung der gefährlichsten und risikoreichsten Schwachstellen und bestätigter Attacken.
Ca. 5.337 Zeichen bei durchschnittlich 65 Anschlägen pro Zeile (inklusive Leerzeichen)
IPv6: Breiterer Adressraum und viele Stolpersteine
Jeder Rechner im Internet verfügt über eine eigene Internet-Protocol- (IP) Adresse. Da inzwischen zunehmend PDAs, Mobiltelefone aber auch in PKWs eingesetzte Multimediasysteme sowie Bordcomputer und verschiedene in Privathaushalten vorhandene Geräte auf das Datennetz zugreifen, reicht der unter IPv4 bereitstehende Adressraum auf die Dauer nicht aus. Diese Ent-wicklung prognostizierten bereits Anfang der 90er Jahre und begannen basie-rend auf dieser Annahme mit der Arbeit am Internetprotokoll der Zukunft IPv6. Im Gegensatz zur Vorgängerversion, die nur Adressen mit einer Länge von 32 Bit unterstützte, kommt IPv6 mit einer Adresslänge von 128 Bit zurecht. Dadurch entsteht ein Adressraum, der mehrere Billionen Adressen umfasst.
Der aktuelle Threat IQ Report ist ab sofort im Internet unter der folgenden URL http://xforce.iss.net/... abrufbar und beschäftigt sich umfassend mit dem Internet Protokoll Version 6. Nach einem einleitenden kurzen Abriss zur Entstehung von IPv6 und den maßgeblichen Faktoren, welche die Verabschiedung des neuen Protokolls vorantrieben, werden Vorteile aber auch Mängel und Schwachstellen ausführlich dargestellt. Ein weiterer Schwerpunkt liegt darüber hinaus auf Empfehlungen, wie sich Sicherheitsrisiken bei der Umstellung von IPv4 auf IPv6 vermeiden lassen.
Migration auf IPv6 birgt Risiken
Obwohl IPv6 auf dem IP-Sicherheitsstandard IPSec aufbaut und dementsprechend Verschlüsselungsmechanismen integriert sind, kann die Umstellung auf das neue Protokoll Sicherheitsprobleme verursachen. Beispielsweise gilt die hierfür häufig zum Einsatz kommende „6to4“-Tunneltechnik als risikobehaftet. Sowohl Distributed-Denial-of-Service- (DDos) Attacken, unberechtigte Zugriffe auf den über IPv6-in-IPv4- (SIT) Tunnel transportierten Datenverkehr oder gar der Zugang und die Steuerung von Systemen oder gesamten Netzwerken über eine sogenannte Backdoor sind nicht auszuschließen.
Mangelndes Bewusstsein bei IT-Verantwortlichen gilt als größtes Risiko
Die größte Gefahr sieht Internet Security Systems darin, dass der Kenntnisstand über IPv6 bei IT-Verantwortlichen und Cyberkriminellen weit auseinander klafft. Oftmals genügt IPv4 den derzeitigen Anforderungen von Unternehmen aus. Netzwerkadministratoren sehen sich daher nicht in der Pflicht, sich mit dem neuen Protokoll auseinander zu setzen. Sie ignorieren zum einen, dass das IPv6 bereits in vielen Infrastrukturen Einzug gehalten hat. Zum anderen fehlt ihnen die Erfahrung und die Expertise, das Protokoll richtig zu handhaben. Dies ist insofern ein Risikofaktor, da heute rund um den Globus bereits viele produktive Netzwerke auf IPv6 aufbauen - Tendenz steigend. Hinzu kommt, dass die meisten modernen Connectivity-Produkte bereits IPv6 unterstützen. Somit ist es ein Trugschluss zu glauben, dass die eigene auf dem Vorgängerprotokoll basierte Infrastruktur keinerlei Risiken ausgesetzt ist. Vielmehr ist es durchaus möglich, dass bereits bösartiger IPv6-Datenverkehr unentdeckt über IPv4-Infrastrukturen verläuft und Schäden anrichtet.
Im Gegensatz zu einer großen Zahl an IT-Verantwortlichen in Unternehmen kennen sich Cyberkriminelle bereits bestens mit IPv6 aus. Gerade von der Hackergemeinde ist bekannt, dass sie für den Austausch von Informationen bereits seit geraumer Zeit „IPv6 only“ Internet-Relay-Chat- (IRC) Systeme und -Server nutzen, gleiches gilt für den Betrieb von IPv6 Web- und FTP-Seiten. Dank dieses Wissensvorsprungs sind sie mit Schwachstellen und deren Ausnutzung bestens vertraut und können die mangelnden Kenntnisse ihrer Gegenspieler, der Netzwerkverantwortlichen in den Unternehmen, gewinnbringend nutzen.
ISS Threat IQ Report behandelt vierteljährlich aktuelle Themen
Die Inhalte des ISS Threat IQ Report beruhen neben dem Feedback der weltweit aktiven Managed-Security-Services-Organisation des Herstellers im wesentlichen auf den Arbeitsergebnissen der X-Force. Die über hundert Mann starke Forschungs- und Entwicklungsabteilung des Unternehmens gilt weltweit als unbestrittene Autorität auf dem Gebiet der Ermittlung von Schwachstellen. Im Labor ist das Team ständig auf der Suche nach Sicherheitslücken und möglichen Angriffspunkten in Software, Datenbanken, Betriebs- und Netzwerksystemen. Bestandteil des ISS Threat IQ Reports ist zudem der ISS Catastrophic Risk Index, eine aktuelle Auflistung der gefährlichsten und risikoreichsten Schwachstellen und bestätigter Attacken.
Ca. 5.337 Zeichen bei durchschnittlich 65 Anschlägen pro Zeile (inklusive Leerzeichen)
