IPv6 - eine Bestandsaufnahme der Firewall-Settings für DE-Domains

Intro

Im Rahmen des Umbaus unserer Stresstest-Plattform auf IPv6 haben wir uns aktuell angesehen, wie die Sicherheitslage für DE-Domains ist, die neben IPv4 auch über IPv6 erreichbar sind.

TL;DR: Insgesamt sind auf Domainebene und ASN-Betreiberebene (Hosting-Provider) große Unterschiede im Vergleich des IPv4 und IPv6-Setups (offene Ports) zu finden. Dies deutet unserer Meinung nach stark darauf hin, dass sich ein Großteil der Server/Systemverantwortlichen nicht bewußt ist, dass die eigene Infrastruktur über IPv6 erreichbar und deswegen ein vernachlässigtes oder nicht vorhandenes Firewalling für die IPv6-Bereiche zu messen ist. Bei immerhin 25% der Provider ist zu sehen, dass einige Domains ein synchrones Firewall-Setup für IPv4 und IPv6 aufweisen; das Thema IPv6-Sicherheit also zumindest ab und an adressiert wird.

Methodologie

Als Datenbasis dienen uns die Top 25.000 DE-Domains aus den Alexa Top 1 Mio Websites. Für alle Domains haben wir überprüft, ob auf example.com / www.example.com ein IPv6 - Adresse konfiguriert wurde und dann (via Shodan) geschaut, ob die offenen Ports für die Domain bei IPv4 und IPv6 abweichen. Neben der reinen Domain-Analyse haben wir dann noch ausgewertet, in welchem ASN/über welchen Provider die Domain erreichbar ist.

Es gilt die Grundannahme, dass die Domains durch eine Firewall geschützt wird, die jeweils für IPv4 und IPv6 konfiguriert sein muss, und dass ein professionell betriebener Webserver ausser Port 80 und 443 keine weiteren Ports nach aussen offen haben sollte.

Es konnten insg. 24.266 Domains aufgelöst werden, von denen 9165 über IPv4 und IPv6 erreichbar waren (38%), und 15101 nur über IPv4 (62%)

Im weiteren Verlauf werden wir nur diese 9165 Domains betrachten


bei 649 Domains (8%) waren bei IPv4 und IPv6 die gleichen Ports offen, während bei 8516 Domains (92%) unterschiedliche Ports offen waren.

Dies läßt auf ein abweichendes Firewall-Setup schließen


Die 9165 Domains sind in insg. 206 ASNs gelistet. Bei nur 7 (3%) war der gleiche Port-Status für alle Domains bei IPv4 und IPv6 zu finden.
Immerhin 76 ASN-Provider (25%) hatten einige Domains mit gleichem Setup, während bei 123 ASN-Providern (68%) keine einzige Domain mit gleichem Setup zu finden war.


Offene Ports, aufgeteilt nach IPv4 und IPv6

Die untenstehende Tabelle zeigt offene Ports jenseits von 80/443, die wir auf den Webservern gefunden haben. Erstaunlich ist die hohe Zahl an Application-Servern, die über Ports wie 8080/8443/8880 direkt ohne Reverse-Proxy zu erreichen waren. Wir werden in einem nächsten Artikel diese Ergebnis näher untersuchen.
Port IPv4 IPv6

Liste der Provider, aufgeteilt nach ASN und registrierten Domains

  • Domains: Gesamtzahl der Domains für dieses ASN
  • OK: Anzahl Domains, bei denen die gleichen Ports für IPv4 und IPv6 offenen sind
  • Diff: Anzahl Domains, bei denen die unterschiedliche Ports für IPv4 und IPv6 offenen sind
  • Prozent: Prozentangabe für OK-Domains, basierend auf der Gesamtzahl der Domains für dieses ASN
ASN Name Domains OK Diff Prozent OK