IPv6 Sicherheit
Version vom 18. April 2024, 19:49 Uhr von Thomas.will (Diskussion | Beiträge) (→IPv6-Sicherheitsrisiken und Gegenmaßnahmen)
IPv6-Sicherheitsrisiken und Gegenmaßnahmen
- Bei der Sicherheit in IPv6-Netzwerken müssen spezifische Angriffsvektoren beachtet und entsprechende Schutzmaßnahmen implementiert werden.
- Hier sind einige der fokussierten Sicherheitsbedenken und Strategien für das Netzwerkmanagement
Router Advertisement (RA) Spoofing
- Problem: Angreifer senden gefälschte RA-Nachrichten, um den Netzwerkverkehr zu stören oder umzuleiten.
- Gegenmaßnahme: Einsatz von RA Guard zur Überprüfung der Autorisierung von Routern und Konfiguration von RA-Filtern auf Switches.
DHCPv6 Spoofing
- Problem: Angreifer können sich als DHCPv6-Server ausgeben und Clients falsche Netzwerkinformationen zukommen lassen.
- Gegenmaßnahme: Sicherstellung der Verwendung authentifizierter DHCPv6-Server und Konfiguration von DHCPv6 Snooping.
Neighbor Discovery Protocol (NDP) Spoofing
- Problem: Manipulation der Neighbor Cache Einträge durch gefälschte NDP-Nachrichten, analog zu ARP Spoofing in IPv4.
- Gegenmaßnahme: Einsatz von NDP Monitoring und Inspection, sowie Secure Neighbor Discovery (SEND) zur Absicherung von NDP-Nachrichten.
Rogue IPv6 Devices
- Problem: Nicht autorisierte Geräte bieten IPv6-Dienste an oder machen Routing-Ankündigungen.
- Gegenmaßnahme: Einrichtung von Netzwerkzugangskontrolle (NAC) und Verwendung von IEEE 802.1X für die Zugangskontrolle.
IPv6 First-Hop Security Features
- Problem: Angriffe auf das lokale Link-Netzwerk.
- Gegenmaßnahme: Nutzung von Funktionen wie Source Guard, RA Guard und DHCP Guard.
Verschlüsselung und Integrität
- Problem: Notwendigkeit des Schutzes der Kommunikation zwischen Hosts.
- Gegenmaßnahme: Konfiguration von IPsec zur Gewährleistung von Vertraulichkeit, Integrität und Authentizität.
Management Traffic Security
- Problem: Sicherstellung der Sicherheit des Management-Verkehrs.
- Gegenmaßnahme: Einsatz von SNMPv3, SSH statt Telnet und HTTPS für das Web-Management.
ICMPv6 Flood Attack
- Problem: Denial-of-Service-Angriffe durch eine Flut von ICMPv6-Paketen.
- Gegenmaßnahme: Rate-Limiting für ICMPv6 Nachrichten zur Begrenzung der Verarbeitungslast.
Diese Sicherheitsmaßnahmen sind essentiell für die Aufrechterhaltung der Netzwerkintegrität und für den Schutz vor spezifischen IPv6-basierten Bedrohungen.