In vielen Unternehmensnetzen findet sich bereits IPv6, obwohl es dort offiziell noch gar nicht eingeführt wurde. Wer dies als Reseller nicht wirksam verhindert, setzt die Sicherheit des Kundennetzwerks aufs Spiel, weiß Dietmar Schnabel, Geschäftsführer D-A-CH und Osteuropa bei Blue Coat Systems.
Für die meisten Unternehmen liegt der offizielle Umstieg von IPv4 auf IPv6 noch in weiter Ferne. Das belegen auch Auswertungen von Google, denen zufolge Mitte Juni 2012 lediglich 0,23 Prozent aller Besucher aus Deutschland über IPv6 auf die Website www.google.com zugegriffen haben.
Foto: Ronald Wiltscheck
Doch selbst wenn für Unternehmen die Einführung des Internetprotokolls Version 6 (IPv6) erst ein Projekt für 2013 oder später ist, haben die Hersteller von IT-Komponenten das Thema schon längst aufgegriffen. Und genau hier liegt das Problem. Denn zumindest Teile der IT-Infrastruktur von Unternehmen sind dadurch bereits heute voll IPv6-fähig. Das wiederum bedeutet, dass im klassischen IPv4-Unternehmens-LAN heute durchaus IPv6-Verkehr fließen kann - und zwar auch dann, wenn die kundeneigene IT-Strategie dies eigentlich noch gar nicht vorsieht.
Was heißt das konkret? Windows Server 2008 und Windows 7 unterstützen IPv6 heute komplett und nativ. Apple hat IPv6 seit Mac OS X 10.1 implementiert, standardmäßig aktiviert ist das Protokoll seit OS X 10.3. iPhone und iPad sprechen seit Juni 2010 dank iOS 4 fließend IPv6. Und auch Android unterstützt seit der Version 2.3.4 aus dem Jahr 2011 das Internetprotokoll der nächsten Generation. Switches, Router und Firewalls der bekannten Hersteller unterstützen mittlerweile von Haus aus IPv6.
Ist IPv6 auf Servern, PCs, Macs, Smartphones und Tablets im Unternehmensnetz nicht explizit deaktiviert, können diese Endgeräte bereits über IPv6 miteinander kommunizieren. Unterstützen dann auch noch Firewall, WAN-Gateway und der Internetanschluss IPv6, sind auch Verbindungen nach außen möglich. Besonders pikant: In der Regel sind dann alle Geräte über ihre öffentliche IPv6-Adresse auch direkt aus dem Internet heraus erreichbar.
Probleme mit Sicherheit und Compliance
Besagt eine Richtlinie, dass IPv6 erst ab 2014 offiziell unterstützt wird, und findet sich bereits heute IPv6-Verkehr im Unternehmensnetz, so ist dies eine Verletzung der entsprechenden Compliance-Vorgabe. Können Endgeräte über IPv6 ungehindert an der Firewall vorbei auf das Internet zugreifen, so ist dies mit hoher Wahrscheinlichkeit ein Verstoß gegen Sicherheitsrichtlinien. Spätestens wenn dann Malware IPv6 nutzt, um ausgespähte Daten unbemerkt an lokalen Sicherheitsvorkehrungen vorbei an ihre Heimatserver zu übermitteln, wird jedem CIO klar, dass unkontrolliertes IPv6 ein ernsthaftes Sicherheitsproblem darstellt.
Um wieder die Kontrolle über potenziellen IPv6-Verkehr im Kundennetzwerk zu erhalten, müssen Reseller zu allererst das Protokoll im LAN sichtbar machen. Dabei helfen ihnen Appliances, die als transparente Bridge vor dem Internet-Gateway sämtlichen durchlaufenden Datenverkehr analysieren - und auf Wunsch dort auch blockieren. Derartige Geräte erkennen neben unzähligen IPv4-Anwendungen heute schon zahlreiche IPv6-basierte Applikationen und ermöglichen die Erstellung und Durchsetzung entsprechender IPv6-Richtlinien.
Chancen für Reseller
Für Reseller und Systemhäuser bietet sich jetzt die Gelegenheit, ihren Kunden im Rahmen eines Netzwerk-Assessments aufzuzeigen, ob sie IPv6 in ihren Netzen haben. Dazu installiert der Partner über den Zeitraum von ein paar Tagen eine entsprechende Appliance transparent im Netz seines Kunden und erstellt ihm im Anschluss eine Analyse seines Datenverkehrs. Da unerwarteter IPv6-Verkehr meist nicht die einzige Überraschung ist, wird der Kunde diese Informationen für die weitere Planung seines Netzwerks dankbar aufnehmen. Einige Hersteller entsprechender Appliances unterstützen ihre Partner auch durch Testgeräte, die sie für solche Netzwerk-Assessments kostenlos zur Verfügung stellen. (rw)