Firewall für VPNs mit IPv6 einrichten

Bei Kombinationen aus IPv6, VPN und DMZ kann ein Sicherheitsproblem entstehen. Wir zeigen, welche Firewall-Einstellungen dagegen helfen.

Artikel verschenken

05.09.2018, 13:08 Uhr

Lesezeit: 6 Min.

c't Magazin

Von

Johannes Weber

Firewall für VPNs mit IPv6 einrichten
- Gegenmaßnahmen ergreifen
- Statische IPv6-Route einrichten
- Unicast Reverse Path Forwarding verwenden
- Explizite Security-Richtlinien einrichten

Artikel in c't 18/2018 lesen

IPv6 verbreitet sich immer mehr, allerdings sind Firmen dadurch einem unterschätzten Sicherheitsrisiko ausgesetzt, wenn sie über das VPN auf Server in der DMZ zugreifen: Anwendungen wie IP-Telefonie oder Mail-Verkehr könnten plötzlich blank übers Internet laufen, sollten sie nicht von sich aus verschlüsseln. Denn die Netzwerkgeräte eines lokalen Standorts können die Server, die in der Demilitarisierten Zone (DMZ) des entfernten Standorts stehen, nicht nur über eine, sondern über zwei IPv6-Routen erreichen. Bricht die IPv6-VPN-Verbindung ab, schickt die Firewall die IPv6-Pakete fröhlich per Default Route übers Internet zum Ziel.

Das widerspricht dem Sicherheitsgedanken, ist aus Routing-Sicht aber völlig korrekt, denn die global gültigen IPv6-Quelladressen dürfen im Internet geroutet werden, und sowohl Quelle als auch Ziel haben solche IPv6-Adressen. Der Security-Admin merkt davon nichts, wenn er seine Systeme nicht für diesen Fall vorbereitet hat. Und die Nutzer beklagen sich nicht, denn ihre Anwendungen laufen ja bis auf eine kurze Unterbrechung reibungslos weiter.

Zwei Routen zu DMZ-Zielen: Bricht eine IPv6-VPN-Verbindung ab, gilt die VPN-Route nicht mehr. Firewalls ohne weitere Vorkehrungen schicken dann IPv6-Pakete, die fürs VPN bestimmt sind, fröhlich per Default Route übers Internet zum Ziel, sodass alle Anwendungen normal zu funktionieren scheinen - aber so sind vertrauliche Daten mangels VPN-Verschlüsselung lesbar.

Bei Zugriffen auf Server über das veraltete IPv4 tritt dieses Problem nicht auf, denn die Netzwerkgeräte und die Firewall kennen nur eine Route dorthin, und die führt über das VPN-Gateway.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Linux-Workstation mit 96-Kern-ARM-Prozessor im Test

MIFcom integriert in seiner Workstation eine ARM-basierte Server-CPU von Ampere. Wir testen unter Ubuntu-Linux, für welche Aufgaben der Rechner geeignet ist.

Akkubrände: Zwischen Panikmache und Fakten – ein Überblick

Medien berichten immer wieder von Bränden durch Akkus. Wir klären, wie Akkus als Gefahrenquelle zu bewerten sind und was man zur Vorbeugung tun kann.

So abhängig ist Deutschland vom Strom aus dem Ausland

Aktuell importiert Deutschland mehr Strom als es exportiert. Das ist allerdings eine gute Nachricht und kein Zeichen für eine Energiekrise.

Gehälter 2024: Das verdienen SAP-Berater in Deutschland

SAP-Berater konzentrieren sich auf die Software einer einzigen Firma und helfen bei der Einführung. Dafür müssen sie Wissen in IT und Wirtschaft vereinen.

Wie Sie macOS auf dem iPad nutzen

Das iPad ist bereits ein halber Laptop, warum nicht das mächtigere macOS darauf nutzen? Was Apple nicht will, lässt sich auf anderem Wege durchaus erreichen.

Windows XP auf dem iPad installieren: So wird das iPad zum Retro-PC

Apple lässt jetzt auch den PC-Emulator UTM SE in den App Store. Wir zeigen, wie Sie Windows XP und DOS aufs iPad holen und Klassiker wie SimCity spielen.

Windows 11 auf Macbook

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}