https://wiki.ixheim.de/index.php?action=history&feed=atom&title=IPv6_Sicherheits-_und_Betriebsrichtlinien_Artikel 2026-06-29T14:14:15Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=IPv6_Sicherheits-_und_Betriebsrichtlinien_Artikel&diff=65026&oldid=prev 2025-10-13T05:53:21Z

<p><span dir="auto"><span class="autocomment">IPv6 Sicherheits- und Betriebsrichtlinien</span></span></p> <table class="diff diff-contentalign-left diff-editfont-monospace" data-mw="interface"> <col class="diff-marker" /> <col class="diff-content" /> <col class="diff-marker" /> <col class="diff-content" /> <tr class="diff-title" lang="de"> <td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Nächstältere Version</td> <td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Version vom 13. Oktober 2025, 05:53 Uhr</td> </tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l1" >Zeile 1:</td> <td colspan="2" class="diff-lineno">Zeile 1:</td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>== IPv6 Sicherheits- und Betriebsrichtlinien ==</div></td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">=</ins>== IPv6 Sicherheits- und Betriebsrichtlinien <ins class="diffchange diffchange-inline">=</ins>==</div></td></tr> <tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td></tr> <tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>IPv6 verändert die Sicherheits- und Betriebsanforderungen grundlegend.   </div></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>IPv6 verändert die Sicherheits- und Betriebsanforderungen grundlegend.   </div></td></tr> </table>

Thomas.will https://wiki.ixheim.de/index.php?title=IPv6_Sicherheits-_und_Betriebsrichtlinien_Artikel&diff=65025&oldid=prev 2025-10-13T05:53:09Z

<p>Die Seite wurde neu angelegt: „== IPv6 Sicherheits- und Betriebsrichtlinien == IPv6 verändert die Sicherheits- und Betriebsanforderungen grundlegend. Mechanismen wie Router Advertisement…“</p> <p><b>Neue Seite</b></p><div>== IPv6 Sicherheits- und Betriebsrichtlinien ==<br /> <br /> IPv6 verändert die Sicherheits- und Betriebsanforderungen grundlegend. <br /> Mechanismen wie Router Advertisements, Neighbor Discovery oder SLAAC schaffen neue Angriffsflächen, die durch klassische IPv4-Kontrollen nicht abgedeckt werden. <br /> Dieser Artikel erweitert die Inhalte der Folien und beschreibt, wie IPv6-spezifische Sicherheits- und Betriebsrichtlinien organisatorisch verankert werden.<br /> <br /> === Ziel der IPv6-Sicherheits- und Betriebsrichtlinien ===<br /> * Aufbau einer verbindlichen IPv6-Sicherheitsrichtlinie<br /> * Definition klarer Betriebs- und Freigabeprozesse<br /> * Sicherstellung von Auditfähigkeit, Nachvollziehbarkeit und Compliance<br /> <br /> IPv6-Sicherheit ist kein rein technisches Thema, sondern Teil der Organisationsstruktur – eingebettet in Governance, ITSM und ISMS.<br /> <br /> === Warum neue Richtlinien erforderlich sind ===<br /> IPv6 bringt neue Protokolle und Mechanismen mit sich, die in IPv4 nicht existieren. <br /> Alte Richtlinien und Filterlisten reichen nicht mehr aus. <br /> * Neue Mechanismen: Router Advertisements, Neighbor Discovery, DHCPv6<br /> * Alte Annahmen (z. B. NAT = Sicherheitsbarriere) gelten nicht mehr<br /> * „Security by Obscurity“ funktioniert nicht – der gesamte IPv6-Adressraum ist scannbar<br /> * IPv6-Kommunikation erfolgt oft automatisch, auch ohne bewusste Aktivierung durch den Administrator<br /> <br /> Eine IPv6-Sicherheitsrichtlinie definiert verbindlich, wie diese Technologien zu steuern, zu dokumentieren und zu überwachen sind.<br /> <br /> === Kritische IPv6-spezifische Risiken ===<br /> * '''Rogue Router Advertisements:''' Nicht autorisierte Router senden RAs und manipulieren die Netzwerkkonfiguration.<br /> * '''Address Spoofing:''' Durch selbstständige Adressbildung (SLAAC) können Hosts falsche Adressen nutzen.<br /> * '''Vergessene Tunnel:''' Automatische oder alte Tunnelmechanismen bleiben aktiv und öffnen unkontrollierte Verbindungen.<br /> * '''Dual-Stack Policy Gaps:''' Unterschiedliche Sicherheitsregeln für IPv4 und IPv6 führen zu inkonsistentem Schutz.<br /> * '''Privacy Extensions:''' Erschweren Forensik und Zuordnung durch häufig wechselnde Adressen.<br /> <br /> Diese Risiken sind vor allem organisatorisch zu adressieren – durch Regeln, Freigaben, Überwachung und Schulung.<br /> <br /> === Inhalte einer IPv6-Sicherheitsrichtlinie ===<br /> Eine IPv6-Sicherheitsrichtlinie sollte folgende Punkte abdecken:<br /> <br /> * Umgang mit automatischer Adressvergabe (SLAAC, DHCPv6)<br /> * Freigabeverfahren für Router Advertisements<br /> * Festlegung, welche ICMPv6-Typen erlaubt sind (z. B. Echo, ND, MLD)<br /> * Verbot nicht genehmigter Tunnelmechanismen (z. B. Teredo, ISATAP, 6to4)<br /> * Richtlinie für Privacy Extensions (eingeschränkt, erlaubt oder verboten)<br /> * Logging- und Auditvorgaben (zentrale Speicherung, Integrität, Aufbewahrungsfristen)<br /> * Anforderungen an Segmentierung, VLAN-Isolation und First-Hop-Sicherheit (RA-Guard, DHCPv6-Shield)<br /> * Integration in ISMS und BSI-Grundschutz-Bausteine<br /> <br /> Ziel ist ein dokumentiertes, nachvollziehbares Sicherheitsniveau für jede IPv6-Komponente.<br /> <br /> === Betriebsrichtlinien ===<br /> Betriebsrichtlinien definieren den sicheren und konsistenten Betrieb von IPv6-Systemen. <br /> Sie sind Bestandteil der Netzwerk- und Systembetriebsdokumentation.<br /> <br /> * Einheitliche Betriebsverfahren für IPv6-Hosts, Router, Firewalls und Gateways<br /> * Regelmäßige Kontrolle der aktiven RA- und DHCPv6-Quellen<br /> * Änderungsmanagement über genehmigte Change-Prozesse<br /> * Verwendung standardisierter IPv6-Betriebshandbücher für alle Standorte<br /> * RA-Guard und DHCPv6-Shield verpflichtend auf Switch-Ebene<br /> * Backup und Recovery müssen IPv6-spezifische Konfigurationen einschließen<br /> * IPv6-Dienste im Monitoring erfassen (Interfaces, Erreichbarkeit, Routing)<br /> <br /> Diese Regeln schaffen Betriebssicherheit und verhindern Wildwuchs.<br /> <br /> === Freigabe- und Prüfprozesse ===<br /> * Jedes neue IPv6-Netz, Gerät oder Subnetz benötigt formale Freigabe.<br /> * Technische Prüfung erfolgt durch Security-Team oder IPv6-Verantwortlichen.<br /> * Freigabe enthält: Zeitstempel, Version, Verantwortlichen, Prüfergebnis.<br /> * Wiederkehrende Überprüfung der Wirksamkeit (Review-Zyklen).<br /> * Checkliste für Freigaben:<br /> ** RA-Guard aktiv?<br /> ** DHCPv6-Shield konfiguriert?<br /> ** Logging im SIEM aktiv?<br /> ** Monitoring mit IPv6-Metriken aktiv?<br /> ** DNSv6 und Reverse-Zonen gepflegt?<br /> <br /> Diese Checkliste ist Teil des Audit- oder ISMS-Systems.<br /> <br /> === Sicherheitsüberwachung ===<br /> IPv6 muss im Monitoring, Logmanagement und SIEM voll integriert sein.<br /> <br /> * Verantwortliche für Log-Review und Alarmbewertung sind benannt.<br /> * Review-Intervalle definiert (wöchentlich, monatlich, quartalsweise).<br /> * Abweichungen dokumentieren und bewerten.<br /> * Automatische Alarme für verdächtige RA-, ND- oder ICMPv6-Aktivitäten.<br /> * IDS/IPS-Signaturen für IPv6 aktivieren (z. B. Suricata, Zeek).<br /> * SIEM-Korrelationen erweitern um IPv6-Felder.<br /> <br /> So wird IPv6-Sicherheit messbar und überprüfbar.<br /> <br /> === Verbindung zu ISMS und BSI-Grundschutz ===<br /> IPv6 ist Bestandteil der organisatorischen Informationssicherheit.<br /> * Integration in bestehende Sicherheitsrichtlinien und Gefährdungsanalysen.<br /> * Einbindung in ISMS-Prozesse (Risikoanalyse, Audit, Maßnahmendokumentation).<br /> * Umsetzungskontrolle durch ISB oder Security Officer.<br /> * Richtlinienpflege im ISMS-Tool oder Wiki.<br /> * Conformity Checks: Abgleich des Soll-Zustands (Richtlinie) mit dem Ist-Zustand (Konfiguration).<br /> <br /> IPv6 wird damit zu einem dokumentierten, auditierten Teil der Sicherheitslandschaft.<br /> <br /> === Notfall- und Patchmanagement ===<br /> * IPv6-relevante Systeme in Notfall- und Wiederanlaufpläne integrieren.<br /> * Testfälle für IPv6-Kommunikation (DNS, Firewall, Routing) regelmäßig prüfen.<br /> * Patchmanagement erweitert auf IPv6-Komponenten (Router, Switches, Firewalls, Systeme).<br /> * Verantwortlichkeiten, Eskalationswege und Kommunikationsabläufe festlegen.<br /> * Notfall-Skript für den temporären IPv6-Abschaltmodus (z. B. im Incident Response).<br /> <br /> Ein funktionierendes Notfallmanagement verhindert Ausfall und Datenverlust im Ernstfall.<br /> <br /> === Fazit ===<br /> IPv6-Sicherheit ist ein organisatorisch steuerbares Thema. <br /> Richtlinien, Freigabeprozesse und Überwachung bilden das Rückgrat eines stabilen und revisionsfähigen Betriebs. <br /> IPv6 darf nicht als technisches Experiment verstanden werden, sondern als fester Bestandteil der Sicherheits- und Governance-Struktur.<br /> <br /> '''Eine IPv6-Sicherheitsrichtlinie ist keine Option, sondern die Grundvoraussetzung für einen sicheren Betrieb.'''</div>

Thomas.will