Sichere Verkehrslenkung
Firewall-Empfehlungen für VPNs mit IPv6
Weil sich IPv6 zusehends verbreitet, werden manche schon länger bekannte Probleme jetzt akut. Dazu zählt ein Sicherheitsproblem durch unerwünschtes Routing bei Kombinationen aus IPv6, VPN und DMZ. Wir zeigen, welche Firewall-Einstellungen dagegen helfen.
Wenn Firmen über das VPN mittels IPv6 auf Server zugreifen, die zusätzlich in der DMZ stehen, sind sie einem unterschätzten Sicherheitsrisiko ausgesetzt. Die Netzwerkgeräte des lokalen Standorts können die Server, die in der DMZ des entfernten Standorts stehen, nicht nur über eine, sondern über zwei IPv6-Routen erreichen: über die beabsichtigte VPN-Route sowie über die Default Route übers Internet. Im Normalfall leitet die VPN-Firewall den für den entfernten Standort bestimmten Verkehr zwar über das VPN – dafür sind ja die Routing Regeln für das Site-to-Site-VPN da. Doch wenn das VPN zusammenbricht, nimmt das Unheil seinen Lauf: Die VPN-Route funktioniert nicht mehr und dann nutzt die VPN-Firewall ersatzweise die Default Route. Dabei laufen Anwendungen, die nicht von sich aus verschlüsseln, blank übers Internet (z. B. IP-Telefonie oder Mail-Verkehr).
Das widerspricht zwar dem Sicherheitsgedanken, ist aus Routing-Sicht aber völlig korrekt, denn die global gültigen IPv6-Quelladressen dürfen im Internet geroutet werden, und sowohl Quelle als auch Ziel haben solche IPv6-Adressen.