IPv6 IT-Grundschutz ADS Umstellung

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen


Schutzbedarfsfeststellung und Risikoanalyse

  • Schutzbedarfsfeststellung
    • Zunächst muss der Schutzbedarf der ADS-Infrastruktur festgestellt werden.
    • Es wird bewertet, welche Daten und Dienste besonders schützenswert sind (z.B. Benutzerdaten, Gruppenrichtlinien, Zertifikatsdienste).
    • Dienste wie die Authentifizierung und das DNS müssen besonders geschützt werden.
    • Eine fehlerhafte Umstellung könnte zu massiven Störungen im Betrieb führen.
    • Quelle: BSI IT-Grundschutz-Kompendium, Baustein INF.1 Schutzbedarfsfeststellung
  • Identifikation kritischer Systeme
    • ADS-Server, DNS-Server, DHCP-Server und verbundene Applikationen, die auf IP-Adressen angewiesen sind, müssen identifiziert werden.
    • Kritische Systeme müssen im Voraus getestet und für die Umstellung vorbereitet werden.
    • Alle Systeme müssen IPv6-kompatibel sein und die notwendigen Updates erhalten.
    • Abhängigkeiten zwischen den Diensten und Systemen müssen berücksichtigt werden.
    • Quelle: BSI IT-Grundschutz-Kompendium, Baustein SYS.1.1 Server
  • Risikoanalyse
    • Mögliche Schwachstellen beim Übergang von IPv4 zu IPv6 müssen analysiert werden.
    • Risiken wie Fehlkonfigurationen in der Netzwerkkonfiguration oder Ausfälle der ADS-Authentifizierung müssen ermittelt werden.
    • Die Koexistenz von IPv4 und IPv6 (Dual Stack) bringt zusätzliche Risiken, die gemanagt werden müssen.
    • Sicherheitsbedrohungen, speziell durch IPv6-Protokolle wie ICMPv6, müssen in die Analyse einbezogen werden.
    • Quelle: BSI IT-Grundschutz-Kompendium, Baustein NET.1.2 Netzsicherheit

Planung der Umstellung

  • Erstellen eines Migrationsplans
    • Ein detaillierter Migrationsplan ist erforderlich, um die Umstellung der ADS auf IPv6 zu koordinieren.
    • Der Plan muss Schritte zur Sicherstellung der Kompatibilität von ADS-Diensten mit IPv6 enthalten.
    • Zeitpläne, Verantwortlichkeiten und potenzielle Risiken sollten klar definiert werden.
    • Backup- und Fallback-Pläne für den Fall von Störungen oder Ausfällen sind essenziell.
    • Quelle: BSI IT-Grundschutz-Kompendium, Baustein ORP.3.2 Notfallmanagement
  • Test der IPv6-Kompatibilität
    • Vor der Umstellung muss sichergestellt werden, dass alle Systeme IPv6-fähig sind.
    • ADS-Dienste wie DNS, DHCP und Kerberos müssen gründlich getestet werden, um Ausfälle zu vermeiden.
    • Anwendungen und Services, die in das Active Directory integriert sind, sollten ebenfalls auf IPv6 getestet werden.
    • Quelle: BSI IT-Grundschutz-Kompendium, Baustein APP.3.1 Verzeichnisdienste

Dual Stack-Betrieb und Übergangsphase

  • Einführung des Dual Stack-Betriebs
    • Der Dual Stack-Betrieb ermöglicht den parallelen Betrieb von IPv4 und IPv6.
    • Während der Übergangsphase ist es wichtig, dass alle Dienste sowohl über IPv4 als auch IPv6 erreichbar sind.
    • Firewalls und Netzwerksicherheitslösungen müssen an den Dual Stack-Betrieb angepasst werden.
    • Quelle: BSI IT-Grundschutz-Kompendium, Baustein NET.1.1 Netzwerk-Architektur
  • Verwaltung der IP-Adressen
    • Während der Umstellung müssen sowohl IPv4- als auch IPv6-Adressen verwaltet werden.
    • Dies erfordert eine Anpassung der bestehenden DHCP- und DNS-Einstellungen, um IPv6-Adressen korrekt zu verteilen.
    • Die Übergangsphase sollte so kurz wie möglich gehalten werden, um Komplexität und Risiken zu minimieren.
    • Quelle: BSI IT-Grundschutz-Kompendium, Baustein ORP.3.3 Konfigurationsmanagement

Absicherung der IPv6-Infrastruktur

  • Anpassung der Sicherheitsrichtlinien
    • Sicherheitsrichtlinien müssen an die Besonderheiten von IPv6 angepasst werden.
    • Firewalls müssen so konfiguriert werden, dass sie IPv6-Traffic sicher filtern können.
    • Die Kontrolle von ICMPv6 und die Sicherstellung der IPv6-Protokollsicherheit sind entscheidend.
    • Quelle: BSI IT-Grundschutz-Kompendium, Baustein OPS.1.1 Netzwerksicherheitsmanagement
  • Implementierung von IPsec
    • IPv6 unterstützt nativ IPsec, was die Sicherung der Kommunikation erleichtert.
    • IPsec sollte für die Verschlüsselung und Authentifizierung im Netzwerk eingesetzt werden.
    • Dies schützt gegen Man-in-the-Middle-Angriffe und stellt die Integrität der Kommunikation sicher.
    • Quelle: BSI IT-Grundschutz-Kompendium, Baustein SYS.1.3 Kryptographische Schutzmaßnahmen
  • Überwachung und Protokollierung
    • Das Monitoring der Netzwerkaktivitäten muss auf IPv6 erweitert werden.
    • Protokollierungsmechanismen müssen IPv6-Traffic erfassen und auf Bedrohungen überwachen.
    • Automatisierte Analysen von Logdateien helfen dabei, ungewöhnliche Aktivitäten frühzeitig zu erkennen.
    • Quelle: BSI IT-Grundschutz-Kompendium, Baustein OPS.1.2 Sicherheitsüberwachung
Abgerufen von „http://wiki.ixheim.de/index.php?title=IPv6_IT-Grundschutz_ADS_Umstellung&oldid=56465