IPv6 Security einfach erklärt – Schutzkonzept für Unternehmen

Mit IPv6 bekommst du riesige Adressräume, einfachere Netzplanung und oft bessere Performance. Gleichzeitig ändern sich einige Sicherheitsregeln gegenüber IPv4. Wer hier nur gewohnte Muster übernimmt, riskiert sichtbare Lücken oder schießt sich mit zu harten Filtern ins Knie.

Die gute Nachricht: Ein solides IPv6-Sicherheitskonzept ist gut machbar. Wenn du Adressierung, Segmentierung, ICMPv6, Router Advertisements und DNS richtig behandelst, wirkt dein bestehendes Sicherheitssetup auch im IPv6-Teil des Netzes. Dieser Leitfaden führt dich Schritt für Schritt durch die wichtigsten Punkte und zeigt, was du sofort umsetzen kannst.

Was an IPv6 sicherheitsrelevant anders ist

IPv6 ersetzt Broadcast durch Multicast, nutzt Neighbor Discovery statt ARP und verteilt Adressen oft per SLAAC über Router Advertisements (RA). Viele Werkzeuge sind gleich benannt, arbeiten aber anders. Wichtig ist: ICMPv6 ist grundlegend für Erreichbarkeit und Path MTU Discovery. Es blind zu blocken führt zu unerklärlichen Störungen.

Adressierung und Planung – die Basis

Präfixe und Segmentierung

Plane pro VLAN/Subnetz ein /64. Das ist in IPv6 Best Practice und Voraussetzung für SLAAC. Für Server- oder Managementsegmente kannst du zusätzlich statisch oder per DHCPv6 adressieren, solange der Host ein /64 sieht.

ULA oder globale Adressen

Unique Local Addresses (ULA, fd00::/8) eignen sich für rein interne Dienste. Für Systeme mit Internetbezug sind globale Unicast-Adressen (GUA) üblich. NAT ist in IPv6 nicht erforderlich. Merke: NAT66 ist kein Sicherheitsfeature – die Firewall schützt, nicht die Übersetzung.

Adressvergabe – SLAAC, DHCPv6 und Privacy

SLAAC vs DHCPv6

Mit SLAAC verteilen Router Präfixe per RA, der Host baut sich die Adresse selbst. DHCPv6 ergänzt oder ersetzt das, wenn du reservierte Adressen, Optionen oder Inventarisierung brauchst. Viele Umgebungen fahren SLAAC + DHCPv6 für DNS.

Privacy Extensions

Aktiviere für Clients Privacy Extensions bzw. temporäre Adressen. Das erschwert Tracking und verringert Angriffsfläche auf feste Interface-IDs. Für Server deaktiviere Privacy und nutze stabile Adressen, damit DNS und ACLs zuverlässig bleiben.

Perimeter absichern – Firewall und ICMPv6

Default-Deny mit gezielten Freigaben

Fahre eingehend Default-Deny und erlaube nur notwendige Ports. Ausgehend definierst du Egress-Regeln, mindestens für kritische Serversegmente. Nutze IPv6-ACLs genauso selbstverständlich wie bei IPv4.

ICMPv6 richtig behandeln

Erlaube notwendige ICMPv6-Typen für Neighbor Discovery, Router Solicitation/Advertisement sowie Fehlermeldungen und Packet Too Big. Diese Nachrichten halten Erreichbarkeit und MTU-Aushandlung am Leben. Pingein- und -ausgänge kannst du nach Bedarf ratenbegrenzen, aber nicht komplett verbieten.

Zugriff im Layer 2 – Schutz vor Rogue RAs und DHCPv6

RA Guard und DHCPv6 Guard

Aktiviere auf Access-Switches RA Guard. So können nur autorisiert angeschlossene Routerports RAs senden. Ergänzend verhindert DHCPv6 Guard, dass fremde DHCPv6-Server Adressen verteilen. Beides ist in Enterprise-Switches standardmäßig vorhanden und mit wenigen Regeln aktivierbar.

ND Inspection und Port-Sicherheit

Neighbor Discovery Inspection prüft NS/NA-Verkehr gegen eine Binding-Tabelle und blockt Spoofing. Port-Security, 802.1X und MAC-Limits bleiben nützlich – auch im IPv6-Netz.

Routing und Protokolle absichern

OSPFv3, BGP und Co.

Nutze bei Routingprotokollen Authentifizierung und Transportverschlüsselung, setze TTL/Hop-Limits und filtere unbekannte Nachbarn an Peering-Ports. Halte Control-Plane-ACLs knapp und dokumentiert.

Übergangs- und Tunnellösungen

Deaktiviere auf Endgeräten alte Tunneling-Mechanismen wie Teredo, 6to4 oder ISATAP, wenn du sie nicht bewusst einsetzt. Sie umgehen oft deine Perimeterregeln und erschweren Monitoring.

DNS, Namespaces und Zertifikate

AAAA und Reverse

Pflege AAAA-Records für erreichbare Dienste und ip6.arpa PTR für wichtige Server. Split-DNS hilft, interne Namen nur intern aufzulösen. Achte darauf, dass Zertifikate sowohl A als auch AAAA abdecken, wenn du Dienste dual-stack betreibst.

Resolver-Pfade

Verteile DNS-Server per DHCPv6 oder RDNSS in RA. Beides ist möglich, je nach Client. Prüfe, was deine Betriebssysteme tatsächlich nutzen, und halte den Rollout einheitlich.

Logging, Monitoring und Sichtbarkeit

Metriken und Flows

Sammle Syslog, NetFlow/IPFIX und DNS-Logs auch für IPv6. Viele Vorfälle bleiben sonst unsichtbar, weil Tools nur IPv4 betrachten. Prüfe, dass IDS/IPS, EDR und Vulnerability Scanner IPv6-fähig sind.

Adressnotation und Suchen

IPv6-Adressen sind lang. Standardisiere Schreibweise und Abkürzungsregeln in deiner Doku. Nutze Präfix-Filter in SIEM-Queries, arbeite mit Tags und Asset-IDs, nicht nur mit IPs.

Segmentierung und Zero Trust

/64 pro Zone und klare ACLs

Gib jeder Sicherheitszone ein eigenes /64 und definiere klare, gerichtete Regeln zwischen den Zonen. Nutze Microsegmentation auf Host- oder Hypervisor-Ebene, damit Kompromittierungen lokal bleiben.

Identitätsbasierte Policies

Kopple Zugriffe zusätzlich an Identität und Gerätestatus. IPv6 macht Adressenwechsel leicht – Identität plus mTLS oder ZTNA schafft stabile Kontrolle.

Häufige Irrtümer – kurz geradegerückt

NAT sorgt für Sicherheit

Falsch. NAT66 bringt keinen Sicherheitsgewinn. Entscheidend sind Stateful Firewalls, Policies und Härtung.

ICMPv6 kann man sperren wie ICMP

Gefährlich. ICMPv6 ist notwendig. Sperre nur überflüssige Typen und rate-limit den Rest.

IPv6 ist zu groß zum Scannen, also sicher

Trügerisch. Angreifer nutzen Multicast, NDP und Fehlkonfigurationen. Härtung bleibt Pflicht.

Dein 30-Tage-Startplan

Beginne mit einem Inventar: Wo ist IPv6 aktiv, welche Präfixe nutzt du, welche Geräte sprechen schon IPv6. Aktiviere RA Guard und DHCPv6 Guard auf den User-VLANs. Setze am Perimeter Default-Deny, erlaube notwendiges ICMPv6 und überprüfe DNS-Pfade. Deaktiviere Teredo/6to4/ISATAP in den Baselines. Richte Logs und ein Dashboard für IPv6-Flows ein. Danach gehst du Zone für Zone durch und ergänzt ACLs und Dokumentation.

Fazit

IPv6 Security ist keine neue Welt, aber eine angepasste. Mit /64 pro Segment, stabilen Policies, korrektem ICMPv6-Handling, RA- und DHCPv6-Guard, sauberem DNS und sichtbarem Monitoring erreichst du schnell ein robustes Sicherheitsniveau. Verabschiede dich von NAT-Mythen, setze auf Stateful Filtering und Segmentierung und halte dein Setup einheitlich dokumentiert. So wird dein IPv6-Netz sicher, vorhersagbar und gut betreibbar.