IPv6 Sicherheits- und Betriebsrichtlinien Artikel

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

IPv6 Sicherheits- und Betriebsrichtlinien

IPv6 verändert die Sicherheits- und Betriebsanforderungen grundlegend. Mechanismen wie Router Advertisements, Neighbor Discovery oder SLAAC schaffen neue Angriffsflächen, die durch klassische IPv4-Kontrollen nicht abgedeckt werden. Dieser Artikel erweitert die Inhalte der Folien und beschreibt, wie IPv6-spezifische Sicherheits- und Betriebsrichtlinien organisatorisch verankert werden.

Ziel der IPv6-Sicherheits- und Betriebsrichtlinien

  • Aufbau einer verbindlichen IPv6-Sicherheitsrichtlinie
  • Definition klarer Betriebs- und Freigabeprozesse
  • Sicherstellung von Auditfähigkeit, Nachvollziehbarkeit und Compliance

IPv6-Sicherheit ist kein rein technisches Thema, sondern Teil der Organisationsstruktur – eingebettet in Governance, ITSM und ISMS.

Warum neue Richtlinien erforderlich sind

IPv6 bringt neue Protokolle und Mechanismen mit sich, die in IPv4 nicht existieren. Alte Richtlinien und Filterlisten reichen nicht mehr aus.

  • Neue Mechanismen: Router Advertisements, Neighbor Discovery, DHCPv6
  • Alte Annahmen (z. B. NAT = Sicherheitsbarriere) gelten nicht mehr
  • „Security by Obscurity“ funktioniert nicht – der gesamte IPv6-Adressraum ist scannbar
  • IPv6-Kommunikation erfolgt oft automatisch, auch ohne bewusste Aktivierung durch den Administrator

Eine IPv6-Sicherheitsrichtlinie definiert verbindlich, wie diese Technologien zu steuern, zu dokumentieren und zu überwachen sind.

Kritische IPv6-spezifische Risiken

  • Rogue Router Advertisements: Nicht autorisierte Router senden RAs und manipulieren die Netzwerkkonfiguration.
  • Address Spoofing: Durch selbstständige Adressbildung (SLAAC) können Hosts falsche Adressen nutzen.
  • Vergessene Tunnel: Automatische oder alte Tunnelmechanismen bleiben aktiv und öffnen unkontrollierte Verbindungen.
  • Dual-Stack Policy Gaps: Unterschiedliche Sicherheitsregeln für IPv4 und IPv6 führen zu inkonsistentem Schutz.
  • Privacy Extensions: Erschweren Forensik und Zuordnung durch häufig wechselnde Adressen.

Diese Risiken sind vor allem organisatorisch zu adressieren – durch Regeln, Freigaben, Überwachung und Schulung.

Inhalte einer IPv6-Sicherheitsrichtlinie

Eine IPv6-Sicherheitsrichtlinie sollte folgende Punkte abdecken:

  • Umgang mit automatischer Adressvergabe (SLAAC, DHCPv6)
  • Freigabeverfahren für Router Advertisements
  • Festlegung, welche ICMPv6-Typen erlaubt sind (z. B. Echo, ND, MLD)
  • Verbot nicht genehmigter Tunnelmechanismen (z. B. Teredo, ISATAP, 6to4)
  • Richtlinie für Privacy Extensions (eingeschränkt, erlaubt oder verboten)
  • Logging- und Auditvorgaben (zentrale Speicherung, Integrität, Aufbewahrungsfristen)
  • Anforderungen an Segmentierung, VLAN-Isolation und First-Hop-Sicherheit (RA-Guard, DHCPv6-Shield)
  • Integration in ISMS und BSI-Grundschutz-Bausteine

Ziel ist ein dokumentiertes, nachvollziehbares Sicherheitsniveau für jede IPv6-Komponente.

Betriebsrichtlinien

Betriebsrichtlinien definieren den sicheren und konsistenten Betrieb von IPv6-Systemen. Sie sind Bestandteil der Netzwerk- und Systembetriebsdokumentation.

  • Einheitliche Betriebsverfahren für IPv6-Hosts, Router, Firewalls und Gateways
  • Regelmäßige Kontrolle der aktiven RA- und DHCPv6-Quellen
  • Änderungsmanagement über genehmigte Change-Prozesse
  • Verwendung standardisierter IPv6-Betriebshandbücher für alle Standorte
  • RA-Guard und DHCPv6-Shield verpflichtend auf Switch-Ebene
  • Backup und Recovery müssen IPv6-spezifische Konfigurationen einschließen
  • IPv6-Dienste im Monitoring erfassen (Interfaces, Erreichbarkeit, Routing)

Diese Regeln schaffen Betriebssicherheit und verhindern Wildwuchs.

Freigabe- und Prüfprozesse

  • Jedes neue IPv6-Netz, Gerät oder Subnetz benötigt formale Freigabe.
  • Technische Prüfung erfolgt durch Security-Team oder IPv6-Verantwortlichen.
  • Freigabe enthält: Zeitstempel, Version, Verantwortlichen, Prüfergebnis.
  • Wiederkehrende Überprüfung der Wirksamkeit (Review-Zyklen).
  • Checkliste für Freigaben:
    • RA-Guard aktiv?
    • DHCPv6-Shield konfiguriert?
    • Logging im SIEM aktiv?
    • Monitoring mit IPv6-Metriken aktiv?
    • DNSv6 und Reverse-Zonen gepflegt?

Diese Checkliste ist Teil des Audit- oder ISMS-Systems.

Sicherheitsüberwachung

IPv6 muss im Monitoring, Logmanagement und SIEM voll integriert sein.

  • Verantwortliche für Log-Review und Alarmbewertung sind benannt.
  • Review-Intervalle definiert (wöchentlich, monatlich, quartalsweise).
  • Abweichungen dokumentieren und bewerten.
  • Automatische Alarme für verdächtige RA-, ND- oder ICMPv6-Aktivitäten.
  • IDS/IPS-Signaturen für IPv6 aktivieren (z. B. Suricata, Zeek).
  • SIEM-Korrelationen erweitern um IPv6-Felder.

So wird IPv6-Sicherheit messbar und überprüfbar.

Verbindung zu ISMS und BSI-Grundschutz

IPv6 ist Bestandteil der organisatorischen Informationssicherheit.

  • Integration in bestehende Sicherheitsrichtlinien und Gefährdungsanalysen.
  • Einbindung in ISMS-Prozesse (Risikoanalyse, Audit, Maßnahmendokumentation).
  • Umsetzungskontrolle durch ISB oder Security Officer.
  • Richtlinienpflege im ISMS-Tool oder Wiki.
  • Conformity Checks: Abgleich des Soll-Zustands (Richtlinie) mit dem Ist-Zustand (Konfiguration).

IPv6 wird damit zu einem dokumentierten, auditierten Teil der Sicherheitslandschaft.

Notfall- und Patchmanagement

  • IPv6-relevante Systeme in Notfall- und Wiederanlaufpläne integrieren.
  • Testfälle für IPv6-Kommunikation (DNS, Firewall, Routing) regelmäßig prüfen.
  • Patchmanagement erweitert auf IPv6-Komponenten (Router, Switches, Firewalls, Systeme).
  • Verantwortlichkeiten, Eskalationswege und Kommunikationsabläufe festlegen.
  • Notfall-Skript für den temporären IPv6-Abschaltmodus (z. B. im Incident Response).

Ein funktionierendes Notfallmanagement verhindert Ausfall und Datenverlust im Ernstfall.

Fazit

IPv6-Sicherheit ist ein organisatorisch steuerbares Thema. Richtlinien, Freigabeprozesse und Überwachung bilden das Rückgrat eines stabilen und revisionsfähigen Betriebs. IPv6 darf nicht als technisches Experiment verstanden werden, sondern als fester Bestandteil der Sicherheits- und Governance-Struktur.

Eine IPv6-Sicherheitsrichtlinie ist keine Option, sondern die Grundvoraussetzung für einen sicheren Betrieb.

Abgerufen von „http://wiki.ixheim.de/index.php?title=IPv6_Sicherheits-_und_Betriebsrichtlinien_Artikel&oldid=65026