Während unsere Mitglieder IPv6 auf unserer Cloud-Plattform einführen, dachte ich, es wäre eine gute Idee, einige unserer Erkenntnisse zu teilen, die Ihnen den Einstieg in das IPv6-Universum erleichtern werden. Hoffentlich sparen Sie dadurch etwas Zeit und Mühe bei Ihrer IPv6-Bereitstellung.
Die meisten Benutzer, die IPv6 bereitstellen, verwenden Dual-Stack-Implementierungen – das heißt, sie haben IPv4 und IPv6 ausgeführt und erlauben Datenverkehr auf beiden Arten von Netzwerkadressen. Wir gehen davon aus, dass Sie bereits mit IPv4 vertraut sind und nun mit der Verwendung von IPv6 beginnen möchten.
Das Ziel dieses Artikels ist es, Sie über einige potenzielle Fallstricke aufzuklären, bevor Sie IPv6 aktivieren. Bitte berücksichtigen Sie Folgendes, bevor Sie IPv6 aktivieren:
- Die Aktivierung von IPv6 könnte Ihre Sicherheitslage vollständig umgehen. IPv6 ist ein völlig anderes Netzwerk mit anderen Adressen. Durch die Aktivierung von IPv6 könnten Sie Ihre Sicherheitsprodukte ausschalten oder umgehen. Zum Beispiel wird die typische Port-Filterung unter Linux mit iptables durchgeführt, was nur für IPv4 gilt; Um IPv6 zu sichern, müssen Sie ip6tables verwenden. Außerdem müssen Sie darauf achten, wie Sie den Datenverkehr leiten, da er möglicherweise über eine unbeabsichtigte Schnittstelle geleitet wird. Stellen Sie sicher, dass Sie einen gut durchdachten Plan für alle Ihre Geräte und Sicherheitsprodukte haben, bevor Sie IPv6 aktivieren.
- IPv6 hat keine Broadcast-Fähigkeit wie IPv4! Blockieren Sie Multicast nicht, da Sie sonst auf seltsame, zeitweilige Probleme stoßen können, deren Debugging verwirrend sein kann. IPv6 unterstützt nur Multicast, Unicast und Anycast. Es ist wichtig zu verstehen, dass ein Großteil des Broadcast-Verkehrs in IPv6-Multicast umgestaltet wurde.
- ICMP in IPv6 (ICMPv6) wird ebenfalls neu konzipiert. Es ist völlig anders als die vorherige Version mit vielen neuen Features, Funktionen und Möglichkeiten. Es ist eine gute Idee, sich über die Änderungen auf dem Laufenden zu halten oder zumindest zu verstehen, dass ICMP unter IPv6 anders ist.
- IPv6 ist nicht unbedingt sicherer als IPv4. Dieser Mythos bleibt wahrscheinlich bestehen, weil IPsec in IPv6 integriert ist, im Gegensatz zu einem Bolt-on für IPv4 (was bedeutet, dass es nicht universell für IPv4 ist). Nur weil IPsec unterstützt wird, bedeutet das nicht, dass es verwendet wird. Außerdem stoppt es andere Arten von Angriffen (wie die Anwendungsschicht) nicht. Nur weil Sie IPv6 verwenden, heißt das nicht, dass Sie „sicherer“ sind oder dass Sie sich keine Sorgen um die Sicherheit machen müssen, weil Sie IPv6 verwenden.
- Umgekehrt wird aufgrund des großen Adressraums in IPv6 NAT (Network Address Translation) nicht benötigt. Das bedeutet nicht, dass IPv6 weniger sicher ist, weil Sie nicht hinter einem NAT-Gerät sitzen, da es problematisch ist, sich nur auf ein NAT-Gerät zu verlassen. IPv6 macht wahrscheinlich deutlicher, dass es keine gute Idee ist, sich aus Sicherheitsgründen auf NAT-Geräte zu verlassen (die entwickelt wurden, um mit dem begrenzten Adressraum von IPv4 fertig zu werden).
Hoffentlich hat Sie dieser Artikel dazu inspiriert, sich mit IPv6 und seinen Versprechungen vertraut zu machen. Da die IPv6-Anpassung aufgrund eines schwindenden Angebots an IPv4-Adressraum zunimmt, erwarten wir, dass IPv6 zum De-facto-Standard bei der Bereitstellung neuer Geräte wird, insbesondere im Zeitalter des Internets der Dinge.
Im Folgenden finden Sie einige Links, die Sie als Nächstes überprüfen könnten:
So aktivieren und konfigurieren Sie IPv6 für einen Cloud-Server:
So aktivieren und konfigurieren Sie IPv6
IPv6-Einführung/Statistik:
https://www.google.com/intl/en/ipv6/statistics.html
Unterschiede zwischen IPv4 und IPv6:
https://www.juniper.net/documentation/en_US/learn-about/ipv4-ipv6-differences.pdf
Häufig gestellte Fragen zu IPv6:
https://www.internetsociety.org/deploy360/ipv6/faq/
Häufig gestellte Fragen zur IPv6-Sicherheit:
https://www.internetsociety.org/wp-content/uploads/2019/02/Deploy360-IPv6-Security-FAQ.pdf