WE DO ASCII

Entrümpeln: IPv4 los werden

IPv6 wird zunehmend zu einer Selbstverständlichkeit. Allerorten schreitet die Einführung voran. Besondere Aufmerksamkeit verdient dabei die Frage, wie man die Vorgängerversion los wird.

Denn IPv6 bietet deutliche Kosten- und Performancevorteile. Wer aber von ihnen voll profitieren will, muss Wege finden, das alte IPv4 aus seinem Netzwerk herauszulösen. Eine Operation, die Umsicht und Erfahrung braucht.

Selten empfiehlt sich die Umstellung aller Prozesse und Komponenten in einem Zug auf ausschließlich IPv6. Industrieunternehmen etwa wollen nicht gleich komplette Produktionsstraßen ersetzen. Und das Internet spricht in Teilen immer noch ausschließlich IPv4. Warum hier den Kommunikationsfaden ohne Not abreißen?

Vergleichsweise einfach ist die Entscheidung über die Verbindung mit dem Internet. Solange mancherorts, wie bei bund.de, IPv4 immer noch zwingend erforderlich ist, heißt es in den sauren Apfel zu beißen und doppelgleisig zu fahren mit Dual Stack IPv4/IPv6. Der Apfel schmeckt sauer, denn er beinhaltet unter anderem doppelte Firewalls, doppelte Routerkonfiguration, doppeltes Troubleshooting.

Im internen Netzwerk finden sich schon eher Möglichkeiten, IPv4 relativ schnell loszuwerden. In Teilen jedenfalls. Welche sich am besten eignen, zeigt sich nach sorgfältiger Analyse.

Bewährt hat sich eine Vorgehensweise, die bei den verschiedenen Netzen ansetzt, die ein Unternehmen intern betreibt – in der Verwaltung, in der Produktion, im Rechenzentrum, das Telefonnetz, das WLAN usw.. Im Mittelpunkt steht die Frage: In welchem Netz ergeben sich die größten Spareffekte mit dem geringsten Aufwand? Die Antwort unterscheidet sich je nach Branche und individuellem Unternehmen. Oft bieten sich das WLAN als erste Kandidaten an, das VOIP-Netz oder das Rechenzentrum.

Jede Komponente eines Netzwerks kommt dabei auf den Prüfstand: Kann sie tatsächlich auskommen ohne IPv4? Essentiell auch der genaue Blick ins Asset Management: Welche Dienste sollten wann erneuert werden, welche Software, welche Hardware? Hier gilt es, teils gegenläufige Kriterien auszutarieren. In den Mittelpunkt rücken meist die Themen Betriebssicherheit, Business Continuity, Hardware- und Lizenzkosten.

Am Ende steht nicht immer ein Ja oder ein Nein zur Verabschiedung vom alten Netzwerkprotokoll. Manchmal sind hybride Zwischenlösungen die besten. Wenn eine große Blechstanze in einer Produktionsstraße zwingend auf Windows NT angewiesen ist, und ein Ersatz viele Millionen Euro kostet, macht es unter Umständen Sinn, die ganze Produktionsstraße einstweilen als Insel zu konzipieren, auf der intern weiter ausschließlich IPv4 gesprochen wird, während sie nach Draußen über IPv6 kommuniziert, zum Beispiel mit der Bestandsplanung.

Beim Rückbau von IPv4 muss das Augenmerk auf der Reihenfolge liegen, in der Dienste, Software und Hardware aus dem Spiel genommen und ersetzt werden. Das Ergebnis ist eine einfachere Netzwerkarchitektur, robuster und kostengünstiger zu betreiben.

Entgiften: sys4 und BSI machen das DNS sicherer

Die Verletzlichkeit des Domain Name Systems wirkt frappierend. Sie war natürlich nie im Sinne seiner Erfinder, und kann als Ausdruck einer gewissen, längst verflogenen Unschuld gelten.

Vielfältig sind die Möglichkeiten, das DNS zu manipulieren. Eine berüchtigte Methode ist das sogenannte DNS Cache Poisoning. Dabei werden Einträge im DNS manipuliert, um Adressanfragen fehlzuleiten.

Der Angriffsvektor ist seit 2013 bekannt. Entsprechende Nameserver-Patches gaben vorübergehend Anlass zur Hoffnung, das Problem sei aus der Welt. Doch schnell wurde deutlich, dass DNS Cache Poisoning findet weiterhin stattfindet. In welchem Umfang, und welches Gegengift geeignet erscheint, untersuchte sys4 im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Dabei identifizierte sys4 eine wirksame Maßnahme, das DNS gegen Cache Poisoning zu immunisieren: Die Begrenzung von DNS-Antworten über das User Datagram Protocol (UDP) auf eine Größe von maximal 1232 Bytes.

Dosieren: E-Mail Authentication langsam scharf stellen

E-Mail Authentication mit SPF, DKIM und DMARC ist ein mächtiges Werkzeug im Kampf gegen Phishing und Spammer. Wer sich für diese Troika entscheidet, stärkt seine Reputation und Handlungsfähigkeit im Netz – sofern die Einführung mit der nötigen Umsicht erfolgt.

Wer zu forsch agiert läuft Gefahr, die E-Mail-Kommunikation seines Unternehmens aus Versehen zu strangulieren. Ein präzise orchestriertes Staging von SPF, DKIM und DMARC ist notwendige Erfolgsbedingung. Die Policy muss schrittweise schärfer geschaltet werden.

Oft bringt sie nämlich Dinge zum Vorschein, die bis dato im Dunkeln lagen – jedenfalls aus Sicht der IT. Klassiker: Der Server, über den halb vergessene E-Mail-Formulare laufen. Oder: Externe Mailinglisten, die Kolleginnen und Kollegen im Unternehmen nutzen, und wo Beiträge unter Verwendung ihrer Absenderadressen geforwarded werden. Oder: Die externe E-Mail-Marketingplattform, die von der Werbeabteilung genutzt wird, ohne dass die IT davon weiß.

Modernes Internet

E-Mail

Die Nutzung von E-Mail wächst weiter. Wir sind weltweit führend bei performanten Plattformen, die hohe Zustellraten, Stabilität und optimalen Schutz vor Malware vereinen.

DNS

Das DNS ist der Schlüssel für Identity Management. Wir sind die Spezialisten für Aufbau und Modernisierung eines zukunftssicheren und widerstandsfähigen DNS.

IP

IPv6 macht IT leistungsfähiger, robuster und kostengünstiger. Wir helfen bei der Umstellung. Mit weltweit führendem Expertenwissen.

Plattformen

Wir konzipieren und bauen Plattformen für den Bereich der kritischen Infrastruktur (KRITIS). Das Solution Design auf Basis umfangreicher Praxiserfahrung ist unsere Stärke.

Abuse

Abuse gefährdet Geschäft. Auf nationaler und internationaler Ebene erarbeiten wir Industriestandards für Gegenmaßnahmen. Die Systemlast eines Providers haben wir um den Faktor 1000 gesenkt.

Blog

Michael Schwartzkopff
17 Jun 2023

Netbox Webhook Talking to an Ansible Rulebook

Deploying the information from netbox to the devices with ansible is quite a pain. Ansible does not offer an API, that netbox could talk to. The simple solution is to setup a cron job that gathers the information from netbox and uses ansible to deploy the configurations. The netbox inventory plugin for ansible make thing much easier, but this solution is not satisfying. The new event driven automation (EDA) for ansible solves the problem.
Michael Schwartzkopff
14 Jun 2023

KEA DHCP with Vendor Specific Options

The documentation about the vendor specific options (VSO) in the KEA DHCP server of ISC is perhaps difficult to understand. At least I had my problems with the official documentation. So I asked Carsten Strotmann to help me out. In this article I want to present Carstens solution to configure a vendor specific attribute in the KEA DHCP server. As an example I use the Cisco Plug-and-Play service that is used for modern zero touch deployments without a TFTP server.
Michael Schwartzkopff
20 May 2023

Config Provisioning with Netbox and Ansible

Recently I upgraded to version 3.5.1 of netbox and I was very pleased to see a new section Provisioning in the left menu. Of course I tested it immediately. Please find my first impressions below. Configuration TemplatesThe Provisioning section of the new version of netbox is the entry point for the well-known Config Contexts and the new Config Templates. The netbox project does hide the documentation for the new feature under, well, the Features section and the Configuration Redering subsection of the netbox documentation.
Kontakt