Veröffentlicht am

IPv6 – Ein erstes Fazit

Seit zehn Monaten sprechen meine Geräte IPv6.

Warum ist das so erwähnenswert? Die Erklärung ist einfach: Nachdem die letzten IPv4 Adressen vergeben wurden, wird es langsam eng im IPv4-Adressraum.

Natürlich ist jetzt nicht schlagartig Schluss mir neuen IP-Adressen, denn durch Wechsel bei den Providern und Hostinganbietern werden immer auch wieder einmal Adressen frei.

Obwohl also kein akuter Zeitdruck herrscht, habe ich mich entschlossen den nächsten Schritt zu vollziehen und praktische Erfahrungen zu sammeln. Nach den erfolgreichen Tests am IPv6 Tag im Juni 2011 besteht nur noch geringe Skepsis, dass ein zweigleisiger Betrieb funktionieren wird.

Wie sieht jetzt das Fazit nach rund zehn Monaten Dualstack-Betrieb aus?

Ganz einfach. Im Grunde hat niemand von der Umstellung etwas bemerkt. Für den Empfänger/Kunden/Besucher ändert sich in der Regel auch nichts. Die Implementierung des neuen IP-Protokolls ist so ausgelegt, dass beide Verfahren nebeneinander funktionieren. So sind alle unsere Maschinen auch weiterhin über die altbewährten IPv4 Adressen erreichbar.

Kurz zur Erinnerung ein paar Grundlagen:

Was ist IPv6 eigentlich?

IPv6 ist eigentlich nichts anderes als was wir mit den neuen Postleitzahlen gemacht haben: Die Anzahl möglicher Adressen wurde ausgeweitet. Unter IPv4 ist die Länge einer IP-Adresse begrenzt auf 32 Bit. Hier stehen somit insgesamt 2^32 Adressen (ca. 4.2 Milliarden Adressen) zur Verfügung. Das klingt eigentlich viel, nur sind diese Adressen nicht einzeln vergebbar, sondern werden in der Regel in Blöcken vergeben. Und diese Blöcke sind derzeit erschöpft.

Was liegt also näher, als die Anzahl der Adressen zu vergrößern? Es wurde also beschlossen, die Länge der Adressen auf 128 Bit auszuweiten. Das bedeutet dann 2^128 Möglichkeiten. Und diese Anzahl dürfte erst einmal reichen.

Wie sieht man etwas von IPv6?

Eigentlich gar nicht. Weder bei den Mailadressen, noch beim Aufruf von Webseiten ändert sich für den Nutzer etwas. Nur die Administratoren im Netzwerk haben ein wenig zu tun.

Neue Routen müssen gesetzt werden, Firewallregeln angepasst werden und Router umkonfiguriert werden.

Aus den alten Adressen der Form „178.63.52.37“ wird jetzt „2a01:4f8:120:7386::2“. Beides wird aber im Webbrowser immer noch als „www.vico.de“ angesprochen. Im Hintergrund laufen die eigentlichen Abfragen vor dem Aufruf der Seite automatisch ab. Alle Browser und Hilfsprogramme sind mittlerweile so ausgelegt, dass sie je nach Konfiguration zunächst versuchen, das Ziel per IPv6 anzusprechen. Wenn das nicht klappt, wird einfach auf das altbewährte IPv4 zurück geschaltet.

Und wie sieht die Empfehlung aus?

Erfahrungen sammeln schadet nicht. Also einfach in bestimmten Bereichen den Schritt wagen und auf den Dualbetrieb wechseln. Also zum Beispiel externe Server und Firewalls umstellen und Erfahrungen sammeln.

Danach dann IPv6 in einzelnen (unkritischen!) Bereichen des eigenen Netzwerks in Betrieb nehmen und sehen, ob alles wie geplant funktioniert. Also vielleicht erst einmal nur einen Proxyserver mit einem Tunnel an den IPv6 Backbone anbinden. Und wieder Erfahrungen sammeln. Denn hier wird es spannend: Bislang vorhandene Zugriffsbeschränkungen auf Basis der IP-Adresse greifen möglicherweise nicht. Also aufgepasst, das nicht plötzlich mehr erlaubt ist, als geplant.

Spätestens wenn Endgeräte im internen Netzwerk mit IPv6 angebunden werden, muss man sich darüber im Klaren sein, dass jetzt das interne Netz nicht mehr durch ein bislang vorhandenes NAT abgetrennt wird. Das Internet reicht also möglicherweise bis auf den lokalen Schreibtisch!

Um einen gangbaren Weg in Ihrem Unternehmen aufzuzeigen und Fehler zu vermeiden, stehen wir gerne zur Verfügung. Sprechen Sie uns an.

Veröffentlicht am

IPv6-Chance und Risiko


IPv6 - Die Zeit ist reifIm Hintergrund wird schon fleißig am Internet der Zukunft gewerkelt.

 

IPv6, also Internet Protocol, Version 6 steht seit einiger Zeit in den Startlöchern. Ein paar Hintergründe finden sie hier.

Der größte Antrieb für IPv6 dürften Multimediaanwendungen im Netz sein. Welcher Admin hat nicht schon Stunden damit verbracht, ein neu eingeführtes Übertragungsprotokoll für Video- oder Audiotelefonate zu implementieren? Da viele dieser Protokolle auf UDP-Basis agieren, war es unendlich schwer, Firewalls dazu zu bringen sich diesen Netzverkehr ordentlich zu merken. So lange nur ein Anwender im Netz telefoniert, ist ja noch alles einfach. Aber das verbindungslose UDP ist einfach nicht in der Lage sich zu merken, wer mit wem telefoniert, wenn mehrere Datenströme gleichzeitig aktiv sind.

Als Hilfsmittel wurde dann in allen Bereichen mit externen Vermittlungsservern gearbeitet. Fast alle Messenger wie Hotmail (MSN) oder ICQ arbeiten mit solchen Login-Servern. Selbst Skype setzt mit seinen verschiedenen Nodes auf diese externen Knotenpunkte. Anders wäre auch ein Rechner hinter einem NAT-Router auch nicht erreichbar. Der sich hinter dem NAT befindliche Rechner meldet sich bei der Vermittlung per TCP an, diese merkt sich die offizielle IP-Adresse, spricht diese im Bedarfsfall über einen TCP Rückkanal an und lässt es dann klingeln. Ab diesem Punkt können dann die Endteilnehmer miteinander per UDP reden, wenn der Firewall-Admin ausreichend Löcher in die Firewall gebohrt hat.

Dies alles entfällt mit IPv6, da jedes Endgerät direkt im Internet adressierbar wird. Damit wird dann endlich direkte Ende-zu-Ende Kommunikation möglich.

Leider liegt auch da genau das Risiko, denn momentan sind interne Netzwerke bei Privat- und Businessanwender durch den Router per NAT (Network Address Translation) aus Sicht des Internet ja unerreichbar. Im Internet taucht immer nur die IP-Adresse der Router-Aussenseite auf. Und auch nur diese kann angesprochen werden. Insofern kann NAT also durchaus als ein kleiner Baustein im Sicherheitskonzept gesehen werden.

Mit IPv6 wird sich das ein wenig verändern. Denn IPv6 wurde ja entwickelt, damit wieder jedes Gerät eine eindeutig im Internet erreichbare Adresse bekommen kann. NAT ist bei IPv6 in ganz klar definierten und seltenen Szenarien noch ein Thema.

Es ist also aus unserer Sicht durchaus angeraten, vor Einführung von IPv6 das eigene Firewall- und Routing-Konzept zu überprüfen und auf einen sicheren Stand zu bringen.