IPv6-Sicherheitsaspekte

IPv6 bringt echte Verbesserungen mit – aber auch neue Angriffsflächen. Viele Sicherheitsteams kennen IPv4-Bedrohungen gut, übersehen aber, dass IPv6 eigene Protokolle und Mechanismen mitbringt, die eigene Schwachstellen haben. Dazu kommt die Gefahr durch schlecht konfigurierte Dual-Stack-Systeme, wo IPv6 ungewollt aktiv ist. Wer IPv6 betreibt, muss es auch absichern.

1. Neue Angriffsflächen durch NDP

Das Neighbor Discovery Protocol ersetzt ARP – und bringt dabei ähnliche Schwachstellen mit. Da NDP auf ICMPv6 basiert und keine Authentifizierung erfordert, sind Spoofing-Angriffe möglich:

AngriffNDP Spoofing

Ein Angreifer sendet gefälschte Neighbor Advertisements, um seinen eigenen MAC-Eintrag im Neighbor Cache anderer Hosts zu platzieren. Entspricht ARP Spoofing bei IPv4 – ermöglicht Man-in-the-Middle-Angriffe.

AngriffRogue Router Advertisement

Ein nicht autorisierter Router sendet gefälschte RAs, um sich als Default-Gateway auszugeben oder falsche Präfixe zu verteilen. Hosts konfigurieren sich auf Basis dieser RAs – alle ihre IPv6-Adressen und ihr Default-GW können manipuliert sein.

AngriffDAD DoS

Ein Angreifer antwortet auf alle Duplicate Address Detection-Nachrichten mit einem Neighbor Advertisement, sodass kein Host eine Adresse aktivieren kann – Denial of Service auf Adressebene.

2. SEND – Secure Neighbor Discovery

SEND (RFC 3971) ist die kryptographische Erweiterung für NDP. Es verwendet Cryptographically Generated Addresses (CGA) und RSA-Signaturen, um NDP-Nachrichten zu authentifizieren. Ein Angreifer ohne den privaten Schlüssel kann keine gültigen NDP-Nachrichten fälschen.

SEND löst NDP-Spoofing-Angriffe konzeptionell elegant – ist aber in der Praxis kaum verbreitet, weil der Aufwand hoch und die Unterstützung in Betriebssystemen und Netzwerkgeräten begrenzt ist. Stattdessen wird in Unternehmen oft auf Layer-2-Mechanismen gesetzt.

3. RA Guard – Rogue RA verhindern

RA Guard (RFC 6105) ist ein Switchfeature: Der Switch verwirft Router-Advertisement-Nachrichten auf Ports, an denen kein Router berechtigt ist. Damit können Endgeräte und Workstations keine RAs ins Netz injizieren – selbst wenn sie es versuchen. RA Guard ist heute auf modernen Managed Switches verfügbar und sollte in Unternehmensnetzen aktiviert sein.

MaßnahmeRA Guard

Switch-Feature: Verwirft RAs von nicht-autorisierten Ports. Schützt vor Rogue Router Advertisements.

MaßnahmeDHCPv6 Snooping

Ähnlich wie DHCP Snooping bei IPv4: Nur autorisierte Ports dürfen DHCPv6-Antworten senden.

MaßnahmeIPv6 Firewall-Regeln

Separate Regelwerke für IPv6. Fehler: IPv4-Regeln gelten nicht für IPv6-Traffic. Beide Stacks absichern.

MaßnahmePrivacy Extensions

RFC 4941: Zufällige, wechselnde IIDs statt EUI-64. Verhindert Tracking von Geräten über Adressen.

4. Dual-Stack-Sicherheitsfallen

Eines der häufigsten Sicherheitsprobleme in der Praxis ist ein schlecht konfiguriertes Dual-Stack-Netz. Viele Administratoren sichern IPv4 sorgfältig ab – und vergessen dabei, dass IPv6 auf den gleichen Geräten ebenfalls aktiv ist.

IPv6 ungewollt aktiv: Moderne Betriebssysteme aktivieren IPv6 standardmäßig, auch wenn der ISP kein IPv6 anbietet. Link-Local-Adressen sind immer vorhanden und für lokale Angriffe nutzbar.
Firewalls ohne IPv6-Regeln: Eine Firewall mit strengen IPv4-Regeln und keinen IPv6-Regeln lässt IPv6-Traffic ungehindert durch.
Monitoring blind für IPv6: IDS/IPS-Systeme, die nur IPv4 überwachen, sehen IPv6-Angriffe nicht.
Tunneling als Backdoor: Mechanismen wie Teredo können IPv6-Traffic durch NAT-Grenzen und Firewalls schmuggeln, wenn sie nicht explizit geblockt werden.

5. Adress-Scanning: IPv6 ist resistent, aber nicht immun

In IPv4 ist Netzwerk-Scanning einfach: Ein /24 hat 256 Adressen, ein vollständiger Scan dauert Sekunden. In IPv6 hat ein /64-Subnetz 2⁶⁴ Adressen – ein vollständiger Scan wäre selbst mit Milliarden Paketen pro Sekunde astronomisch langsam. Das macht klassisches Port-Scanning in IPv6-Netzen praktisch unmöglich.

Dennoch gibt es intelligente Scan-Methoden: Angreifer nutzen bekannte Muster (EUI-64-basierte Adressen, SLAAC-Defaultwerte, Subnetz-Präfixe aus DNS) und scannen gezielt Subnetze mit niedrigen Interface-IDs (::1, ::2, ::100). Geräte mit EUI-64-Adressen sind durch ihre MAC-Adresse im IID faktisch identifizierbar – ein weiterer Grund für Privacy Extensions.

6. IPsec in IPv6

In IPv6 ist IPsec nicht optional – es ist als Teil des Standards vorgesehen. In der Praxis bedeutet das aber nicht, dass IPsec automatisch aktiv ist: Es muss weiterhin konfiguriert werden. Der Unterschied zu IPv4 liegt in der stärkeren konzeptionellen Integration und der Tatsache, dass IPv6-Geräte IPsec unterstützen müssen.

IHK-Relevanz: IPv6-Sicherheit wird in Prüfungen noch selten tief abgefragt, aber Grundlagen wie NDP-Spoofing, RA Guard und die Dual-Stack-Sicherheitsfalle (fehlende IPv6-Firewall-Regeln) tauchen auf. Merke: Was bei ARP-Spoofing gilt, gilt analog für NDP-Spoofing.

💡 Querverweise: ARP-Spoofing und Man-in-the-Middle-Angriffe in Angriffsmethoden. Firewalls und Paketfilter für IPv4 und IPv6 in Paketfilter-Grundlagen.