Sickert IPv6 in Ihr Netzwerk ein? Wahrscheinlich. Daher sollten Sie Folgendes wissen: | NETSCOUT

Sickert IPv6 in Ihr Netzwerk ein? Wahrscheinlich. Daher sollten Sie Folgendes wissen

Mark Mullins

Die explosionsartige Vermehrung von internetfähigen Geräten verschlingt rasant den Vorrat an IPv4-Adressen. Zusätzlich zu Computern, Servern, Routern usw. werden Adressen im „Internet der Dinge“ zugeordnet, d. h. Kameras, HVAC-Kontrollen, Warnungssystemen und eine sprießenden Konstellation von verbundenen Sensoren. Als Folge dieser Entwicklung begann das asiatisch-pazifische Network Information Center 2011, seinen letzten Block von /8 IPv4-Adressen zu rationieren. Andere regionale Register werden wahrscheinlich bald folgen.

Und als ob das nicht genug wäre: Der weit verbreitete Gebrauch von IPv4-NAT (Network Address Translation) - die mehrere Privatadressen einer einzelnen öffentlichen IPv4-Adresse zuordnet - könnte im Endeffekt die Anwendung von IP-basierten Kommunikationsdiensten wie VoIP behindern und sogar die Leistung von Internet-Backbone-Routern vermindern, während sie mit immer massiveren Routingtabellen fertig werden müssen.

So überrascht es wohl kaum, dass die meisten modernen Betriebssysteme jetzt die IPv4- und die IPv6-Architektur unterstützen; Windows 8, Windows Vista und Mac OS X 10,3 und später haben IPv6 standardmäßig aktiviert. IPv6-Geräte Einheiten konfigurieren automatisch eine link-lokale Adresse für jede ihrer Schnittstellen und verwenden Router-Feststellung, um die Adressen von Routern, Zugriffskonfigurationsparametern und von globalen IPv6-Adressenpräfixen zu bestimmen. Selbst ohne ein Stateful-Konfigurationsprotokoll wie DHCPv6, kann ein IPv6-fähiges Gerät für jede seiner IPv6-Schnittstellen eine Adresse konfigurieren.

Während Sie vielleicht keinen IPv6-Datenverkehr auf Ihr Netzwerk lenken, müssen Sie sich dennoch über IPv6-aktivierte Endgeräte Gedanken machen. Das Tunneln (das in jedem BS unterstützt und automatisch mit dem IPv6 Stapel aktiviert wird), erlaubt IPv6-Transport über IPv4-Anschlüssen und umgekehrt. Der IPv6-Transport kann verschlüsselt und anonym verwendet werden (privates Adressieren), aber er benutzt nicht die EIU-64-konstruierte Schnittstellenkennung, die es Ihnen ermöglichen würde, es zu der MAC-Adresse des Hosts zurückzuverfolgen. Es gibt verschiedene Tunnel-Mechanismen (siehe das NETSCOUT IPv6 White Paper für ausführlichere Diskussion). Das Endergebnis ist, dass Sie sich keine Sorgen zu machen brauchen, wenn Sie einen lokalen Tunnel innerhalb Ihres Intranets haben. Aber wenn Sie ein lokales Gerät mit einem Tunnelendpunkt außerhalb Ihres Netzwerks haben, könnte es Zugang zu Ihrem internen Netzwerk gewähren, der wahrscheinlich nicht durch Firewalls oder Sicherheitszonengeräten geschützt würde.

Es gibt andere mögliche verwundbare Stellen, die IPv6 inhärent sind, wie:
 

  • Gefälschte Router-Advertisements: Nicht-Router können Teilnetzadressen angeben, die auf Ihrem Netzwerk nicht existieren sollten. Dies könnte das Ergebnis von IPv6 Router- oder Host-Konfigurationsfehlern oder - noch bedenklicher - ein Anzeichen böswilliger Aktivitäten sein. Durch das Senden von gefälschten Router-Advertisements könnte ein Angreifer andere Hosts auf dem Teilnetz dazu verleiten, ihm Datenverkehr zuzuleiten („Man-in-the-middle“-Angriff). DHCPv6-Spoofing arbeitet auf eine ähnliche Weise. Daher ist es wichtig, die Geräte herauszufinden, die IPv6-Stateful-Adressen anbieten.

 

  • Offene Ports: Da es weniger reif als IPv4 ist, neigen Betriebssysteme dazu, mehr IPv6-Kanäle offen zu lassen. Es ist gute Praxis einen IPv6-Portscan durchzuführen, um offene Ports zu finden. Beachten Sie dabei, dass IPSec-Support in jedem IPv6-Stapel Standard ist, wodurch Geräte durchgehenden Datenverkehr leichter verschlüsseln und dabei verhindern können, dass Firewalls den Paketinhalt entdecken.


Während die Verwendung von böswilligem Datenverkehr für einen Angriff auf ein Netzwerk nicht neu ist, können IPv6-aktivierte Geräte es einem Angreifer ermöglichen, in Ihre Netzwerk einzudringen und unerkannt Daten herunterzuladen - unter Verwendung traditioneller Methoden durch IPv6.

Dafür gibt es ein OptiView XG

So, da wir Sie nun ausreichend verschreckt haben, was können Sie tun, um die Risiken von IPv6-Geräten auf Ihrem Netzwerk zu mindern? Glücklicherweise haben wir Sie die Lösung für Sie.

Das tragbare Netzwerkanalyse-Tablet OptiView XG von NETSCOUT hat die integrierte Fähigkeit, passiv und aktiv IPv6-Geräte und -Services festzustellen. Während andere Netzwerk-Analysegeräte nur passive Entdeckung anbieten, indem sie den IPv6-Datenverkehr überwachen und IP- und MAC-Adressen erfassen, können sie die Geräte nicht basierend auf den identifizierten Protokollen kategorisieren. Das OptiView XG überträgt dagegen Router-Aufforderungsanfragen, um alle IPv6-Präfixe für das Teilnetz zu identifizieren und überträgt Nachbaranfragen, um Informationen über andere IPv6-Geräte zur Verfügung zu stellen. Es gewährt auch Einblick in Router IPv6 Netz-zu-Medien-Tabellen (das Äquivalent einer IPv4 ARP-Tabelle), um link-lokale Adressen außerhalb des anhängenden Teilnetzes zu entdecken. Und es kann auf Cisco Router-Präfixtabellen zugreifen, die Informationen über andere Teilnetze enthalten.

Selbstverständlich bietet das OptiView XG auch viele andere hoch entwickelte Fähigkeiten zur Erkennung und Diagnose von potentiellen Sicherheitsproblemen, wie Downloads von eingeschränkten Dateien und Dokumenten, Gebrauch von verbotenen Anwendungen und riskantem P2P-Datenverkehr. Es kann auch helfen, unautorisierte oder ungesicherte Geräte zu identifizieren und festzustellen. Klicken Sie hier, um alles zu sehen, was das OptiView XG zu bieten hat.

Ob Sie bereit sind oder nicht, IPv6 kommt

Während es schwer ist, genau zu sagen, wann IPv4 von IPv6 verdrängt wird, ist es nur ein Frage der Zeit. Aber jetzt müssen Sie sich der IPv6-aktivierten Geräte auf Ihren Netzwerk und der potentielle Sicherheitsrisiken bewusst sein, die sie aufwerfen. Das Angehen dieser Risiken heute wird Ihnen helfen, bereit zu sein, wenn die Zeit für die unvermeidliche Systemumstellung Ihres gesamten Netzwerkes auf IPv6 gekommen ist.

Zugehörige IT-Networking-Ressourcen

Besuchen Sie unseren The Decoder Blog für weitere Informationen zur Netzwerkfehlerbehebung.

 
 
Powered By OneLink