kwanchaift - stock.adobe.com

So wirkt sich IPv6 auf die Sicherheit von IoT-Geräten aus

IPv6, der Nachfolger des IPv4-Protokolls, ermöglicht durch einen großen Adressraum das gegenwärtige und zukünftige Wachstum des Internets. Es gibt aber auch Herausforderungen.

IPv6 wird gewöhnlich als Schlüsseltechnologie für das Internet der Dinge (Internet of Things, IoT) angesehen, da es durch seinen großen Adressraum die wachsende Zahl intelligenter Sensoren problemlos integrieren kann, die sich mit dem Internet verbinden.

Doch oft werden die möglichen Sicherheitsinteraktionen zwischen IPv6 und IoT-Geräten übersehen. Gleiches gilt für den möglichen Paradigmenwechsel, der mit der Sicherheit von IoT-Geräten verbunden ist.

Grundlegende Sicherheitsarchitektur

Die grundlegende Sicherheitsarchitektur der meisten IPv4-Netzwerke besteht aus einem internen Netzwerk, das über ein NAT-Gerät (Network Address Translation) mit dem öffentlichen Internet verbunden ist. Das NAT-Gerät ermöglicht nicht nur die gemeinsame Nutzung einer einzelnen Adresse oder einer Gruppe von Adressen durch mehrere Systeme im internen Netzwerk, sondern erzwingt als Nebeneffekt auch eine Sicherheitsrichtlinie, die nur die Kommunikation nach außen zulässt. Das heißt, ausgehende Kommunikation wie TCP-Verbindungen, die vom internen Netzwerk zum öffentlichen Internet initiiert werden, ist erlaubt, während Kommunikation vom öffentlichen Internet zu den internen Knoten blockiert wird.

Viele Protokolle und Anwendungen gehen davon aus, dass sowohl die Knoten im internen Netzwerk als auch das interne Netzwerk selbst vertrauenswürdig sind, während alle Netzwerke und Knoten außerhalb des internen Netzwerks als nicht vertrauenswürdig gelten. Daher verwenden die meisten intelligenten Geräte zwei verschiedene Protokollsätze: einen Satz unsicherer Protokolle, die im lokalen Netzwerk arbeiten, und einen anderen, typischerweise gesicherten Satz, der über das Internet funktioniert.

Im lokalen Netzwerk verwenden intelligente Geräte in der Regel einfache proprietäre Protokolle ohne Authentifizierung, Autorisierung und Vertraulichkeit. In einigen Fällen sind einige Bedienungs- und Verwaltungsfunktionen auch über eine Webschnittstelle verfügbar, die keine Authentifizierung erfordern oder standardisierte Berechtigungsnachweise verwenden, die vom Benutzer nur selten geändert oder aktualisiert werden. Diese Vorgehensweise ist schlecht für die Sicherheit der IoT-Geräte, wie die im Oktober 2016 über IoT-Geräte erfolgte DDoS-Attacke zeigte. Andererseits läuft beim Betrieb über das Internet häufig eine Art Cloud-Service des Geräteherstellers, bei dem die Kommunikation über HTTPS erfolgt.

Daher gehen diese intelligenten Geräte davon aus, dass das lokale Netz vertrauenswürdig ist, während das externe Netz, also das Internet, als nicht vertrauenswürdig gilt. Dieses Modell ist fragwürdig, da der Zugriff auf das lokale Netzwerk nicht zwangsläufig die Berechtigung zum Betrieb lokaler Smart Devices voraussetzt. Grundsätzlich sollte jedoch zumindest eine Grenze zwischen dem vertrauenswürdigen und dem nicht vertrauenswürdigen Netzwerk bestehen. Für einige einfache Netzwerkkonfigurationen und -Szenarien reicht dieses Modell möglicherweise.

So beeinflusst IPv6 die Sicherheit von IoT-Geräten

Wie erwähnt, ist der Haupttreiber für IPv6 der riesige Adressraum, der das gegenwärtige und absehbare zukünftige Wachstum des Internets und der mit dem Internet verbundenen Geräte bewältigen kann.

Aufgrund ihres großen Adressraums verfügen IPv6-Geräte über mindestens eine eindeutige globale Adresse, so dass NAT-Geräte nicht mehr notwendig sein werden. Daher ist es wahrscheinlich, dass die Durchsetzung der Filterrichtlinie durch ein NAT, das nur ausgehende Kommunikationen zulässt, ebenfalls verschwindet. Damit lässt sich die Kommunikation zwischen internen und externen Systemen nicht mehr durch das Netzwerk überwachen.

Tatsächlich wäre die Unterscheidung zwischen internen und externen Netzwerken hinfällig, wenn die Filterrichtlinie nicht an der Netzwerkgrenze durchgesetzt wird. Dies bietet zum Beispiel Vorteile für Peer-to-Peer-Anwendungen, in denen unerwünschte eingehende Kommunikation üblich ist. Dafür steigt allerdings die Angriffsfläche.

Wenn keine expliziten Maßnahmen ergriffen werden, könnte IPv6 dazu führen, dass alle internen Knoten eines Netzwerks direkt über das öffentliche Internet erreichbar sind. Dies würde zum Beispiel bedeuten, dass On-Packet-Angriffe wie der IPv6-basierte Ping of Death sich einfach auf IoT-Geräte anwenden ließen. Beim Ping of Death geht es um spezielle DoS-Attacken (Denial of Service) mit dem Ziel, das angegriffene System zum Absturz zu bringen. Darüber hinaus können Protokolle, die für den Betrieb in einem lokalen vertrauenswürdigen Netzwerk entwickelt wurden, versehentlich im nicht vertrauenswürdigen öffentlichen Internet zum Einsatz kommen.

Benötigt das IoT wirklich IPv6?

Viele Marktbeobachter glauben, dass IPv6 erforderlich ist, damit das IoT sein volles Potenzial entfalten kann. Es ist jedoch interessant zu analysieren, inwieweit IPv6 und insbesondere die globale Adressierung und Any-to-Any-Connectivity für das IoT erforderlich sind.

In der IPv4-Welt kann die Nutzung von privatem Adressraum aus verschiedenen Gründen problematisch sein, zum Beispiel wenn Netzwerke mit überlappendem privatem Adressraum zusammengeführt oder miteinander verbunden werden müssen. Die Bereitstellung aller Geräte mit globalen Adressen kann helfen, dieses und andere damit verbundene Probleme zu vermeiden – obwohl sich der einzigartige lokale Adressraum fc00::/7, der Adressen mit lokalem Geltungsbereich bereitstellt, die statistisch eindeutig sind, auch mit ähnlichen Ergebnissen verwenden lässt.

Unabhängig davon, ob globaler Adressraum genutzt wird, stellt sich die Frage, ob beliebige Verbindungen – einschließlich unaufgefordert eingehender Kommunikation – wünschenswert sind und wie sich das auf die Sicherheit von IoT-Geräten auswirken würde. In der IPv4-Welt werden unerwünschte eingehende Nachrichten mit Hilfe von NATs blockiert. Sollten NATs und ihre Netzwerk-Filterrichtlinien in der IPv6-Welt verschwinden, ermöglicht die globale Any-to-Any-Kommunikation eine höhere Flexibilität. Diese Flexibilität wird allerdings mit einer größeren Angriffsfläche erkauft.

Ob die gleiche Filter-Richtlinie für IPv6- und IoT-Geräte gelten soll, hängt vom Kommunikationsmodell der zugehörigen Geräte ab. Wird von den externen Einheiten erwartet, dass sie die IoT-Geräte um Informationen anfragen, oder wird von den IoT-Geräten verlangt, dass sie die externen Stellen benachrichtigen? Im ersten Szenario müsste das IoT-Netz eingehende, unaufgeforderte Mitteilungen akzeptieren. Im zweiten Szenario könnte das Netzwerk die eingehende Kommunikation blockieren, während IoT-Geräte bei Bedarf externe Systeme kontaktieren können.

Da sich das Internet der Dinge immer noch im Entwicklungsstadium befindet, ist es schwierig vorherzusagen, welches Kommunikationsmodell sich durchsetzen wird. Da IoT-Geräte derzeit auf IPv4 mit dem Paradigma arbeiten, dass nur ausgehende Kommunikation erlaubt ist, ist es sehr wahrscheinlich, dass dieses Paradigma auch auf IPv6 übertragen wird. Damit würden für IoT-Netzwerke auf IPv6-Basis die gleichen Filter-Richtlinien wie aus der IPv4-Welt gelten.

Ein möglicher Weg für die Zukunft

Neben dem möglichen Kommunikationsmodell für IoT-Geräte stellt sich eine weitere wichtige Frage: Ist die Kommunikation von einem externen Netzwerk zu einem IoT-Netzwerk wünschenswert, wenn sie direkt mit den IoT-Geräten erfolgt? Oder soll die Kommunikation über einen zwischengeschalteten IoT-Proxy ablaufen, der als Gateway zwischen dem externen Netzwerk und dem IoT-Netzwerk sowie den Geräten dient? Es liegt auf der Hand, dass ein solches Gateway sicherheitstechnisch viele Vorteile bietet und sich gut eignen würde, um den Verkehr zu den typischerweise anfälligen IoT-Geräten zu überwachen.

Der riesige IPv6-Adressraum repräsentiert das gegenwärtige und absehbare zukünftige Wachstum des Internets. Wenn keine konkreten Maßnahmen ergriffen werden, kann IPv6 die Sicherheit von IoT-Geräten unabsichtlich beeinträchtigen, indem sie deren Angriffsfläche vergrößert. Ob dieses höhere Risiko gerechtfertigt ist oder nicht, hängt vom Kommunikationsparadigma der IoT-Geräte ab. Als Faustregel gilt das Prinzip, die Kommunikation zu blockieren, wenn sie nicht tatsächlich erforderlich ist.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Dezember 2017 aktualisiert

Erfahren Sie mehr über Netzwerk-Sicherheitsanalyse

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close