Es ist die Basis des Internets, andernfalls gäbe es kein Google, kein Facebook, keine Videkonferenzen, keinen E-Mail-Verkehr - das Internet Protocol in der Version 4, kurz IPv4. Doch der Jubilar, der 2011 sein 30-jähriges Jubiläum feiert (1981 im RFC 791 definiert), droht ein Opfer seines eigenen Erfolgs zu werden. In einer Zeit, in der immer mehr Handys online gehen, Stromzähler im Zuge der Smart Grids vernetzt werden oder das intelligente Haus langsam Realität wird, gehen IPv4 die Adressen aus, um diese Devices und Rechner im Netz erreichbar machen zu können. Ähnlich wie Hausnummern und Postleitzahlen ermöglichen es die mehr als vier Milliarden IP-Adressen, dass die Geräte im globalen Netz eindeutig angesprochen werden können. Abhilfe könnte das neue Internet Procol in der Version 6, IPv6, schaffen, denn es umfasst rund 340 Sextillionen (2 hoch 128) Adressen, womit sich nun wirklich jede Kaffeemaschine, wenn nicht gar jedes Sandkorn rund um den Globus, mit einer Adresse ausstatten lassen sollte. Neu ist IPv6 in Wirklichkeit nicht, es hat bereits 15 Jahre auf dem Buckel, reift aber erst jetzt zur Praxistauglichkeit heran.
Den letzten IPv4-Adressblock ist laut der für die globale Vergabe zuständige Internet Assigned Numbers Authority (IANA) bereits an die regionalen Registrierungsorganisationen (für Europa ist RIPE zuständig) vergeben worden (http://www.potaroo.net/tools/ipv4). Danach ist Schluss, zusammenhängende öffentliche Adressblöcke wird es dann nicht mehr geben. "Wer bis dahin nicht auf das neue IPv6-Protokoll umgestellt hat, steht möglicherweise im Regen", warnt Michael Rotert, Vorstandsvorsitzender beim eco, dem Verband der deutschen Internetwirtschaft. Welche Konsequenzen die Adressknappheit bereits hat, erzählte uns ein Praktiker: Im Kundenauftrag sollte er für eine geplante Unternehmensexpansion an mehreren Standorten einen zusammenhängenden IP-Adressblock reservieren. Er bekam aber keinen mehr. Jetzt muss das Unternehmen mit gesplitteten Adressräumen leben, was Routing und Netz-Management nicht unbedingt vereinfacht und damit höhere Kosten verursacht.
Alles nur Panikmache?
Werden die Adressen wirklich knapp, oder ist alles nur Panikmache? Gegner des neuen Internet Protocol v6 verweisen in diesem Zusammenhang gerne darauf, dass das Problem der Adressknappheit doch bereits hervorragend mit NAT gelöst sei. Bei der Network Adress Translation werden innerhalb eines Unternehmensnetzes private IP-Adressen verwendet, die jedoch im öffentlichen Internet - vereinfacht ausgedrückt - nicht sichtbar sein dürfen. Deshalb werden die internen Adressen am Übergang zum Internet in eine offizielle IPv4-Adresse übersetzt. Das Unternehmen benötigt so nur eine einzige, offiziell registrierte IP-Adresse. Zudem führen IPv6-Skeptiker gerne das Argument an, dass IPv6-Adressen im Internet bisher kaum genutzt würden, so dass die Entscheider in den Unternehmen noch viel Zeit hätten und deshalb abwarteten.
IPv6 hat wenig Charme
Die Zurückhaltung der Unternehmen erklärt sich Jürgen Zimmermann, Projektleiter IP-Einführung bei der Telekom Deutschland GmbH, unter anderem auch damit: "Die Einführung von IPv6 über Dual-Stack-Anschlüsse mag für manche Geschäftskunden einen ähnlichen Charme haben wie früher die Umstellung von der vier- auf die fünfstellige Postleitzahl. Wenn jedoch in diesem Jahr die letzten IPv4-Adressen vergeben werden, ist IPv6 die mittel- bis langfristige Voraussetzung dafür, dass die Web-Angebote aus dem gesamten Internet erreicht werden können."
Zudem dürfte in den nächsten Jahren der Bedarf an IP-Adressen drastisch steigen, wenn etwa für die rund 40 Millionen Haushalte in Deutschland die von der EU vorgeschriebene (Strom-)Zählerfernauslesung realisiert werden soll. "Dies ist jedenfalls nur über IPv6-Adressen zu realisieren", ist Zimmermann überzeugt, "zusammen mit der wachsenden Zahl an M2M-Anwendungen (etwa für Hausautomatisierung und Security-Anwendungen) wird ein Haushalt in den nächsten Jahren zwischen 50 und 500 direkt aus dem Netz adressierbare IP-Adressen benötigen."
NAT ist keine Lösung
Für Zimmermanns Argument der direkten IP-Adressierung spricht noch ein anderer Aspekt, den die IPv6-Kritiker oft unterschlagen: NAT ist eigentlich eine Krücke, die dem Grundprinzip des Internets widerspricht. Ein zentrales Designprinzip von IP und Internet war der Gedanke des Ende-zu-Ende-Prinzips: Nur die Endgeräte des Netzes sollten aktive Protokolloperationen vornehmen, während alle anderen Komponenten (wie Router) dazwischen die Datenpakete lediglich transparent weiterleiten und deshalb eindeutig adressierbar sein müssen.
Gegen dieses Prinzip verstößt IPv4 in Kombination mit NAT, denn die so angeschlossenen Rechner können nicht ohne weiteres aus dem Internet direkt angesprochen werden. Ein Umstand, der bei Protokollen und Services wie FTP, SIP oder IPsec, die auf den oberen Netzschichten aufsetzen, immer wieder zu Problemen führt und mehr oder weniger zuverlässig Workarounds erfordert. Allerdings sind sich Hersteller, Carrier und Service-Provider in Gesprächen mit der Computerwoche auch einig, dass derzeit in Sachen IPv6-Migration kein Anlass zur Panik besteht. "Noch gibt es die Killerapplikation für IPv6 nicht", führt etwa Alexander Pilger, Senior Consultant bei Controlware, aus. Gleichzeitig warnen die IT-Hersteller aber davor, das Thema ähnlich wie bei der Jahr-2000-Problematik auf die lange Bank zu schieben. Unisono geht man davon aus, dass größere Unternehmen für eine IPv6-Migration mit einem Projektrahmen von 15 bis 18 Monaten rechnen müssen. "Zudem könnte in etwa einem Jahr, wenn der Schuh zu drücken beginnt", so gibt Pilger zu bedenken, "qualifiziertes IPv6-Beratungs-Know-how ein knappes Gut werden." Deshalb raten eigentlich alle Befragten, sich bereits heute vorzubereiten, um für den Tag x gewappnet zu sein.
Migrations-Checkliste
Steffen Jansen, Trainer und Consultant bei Fastlane, hat in Sachen Migrationsnotwendigkeit eine einfache Checkliste parat (siehe Interview auf Seite 18): Demnach sollte sich mit einer Migration auf IPv6 beschäftigen, wer zwei der folgenden drei Kriterien innerhalb der nächsten drei Jahre für sein Unternehmensnetz nicht sicher ausschließen kann:
-
weltweite Vernetzung mit Business-Partnern und eigenen Standorten insbesondere im asiatischen Raum,
-
höherer Stellenwert von Peer-to-Peer-Anwendungen
-
und Compliance-Zwänge.
Auch Axel Föry, bei Cisco im Rahmen des Borderless Networking für IPv6 zuständig, rät Unternehmen, nicht einfach zu migrieren, sondern sich die Frage zu stellen, was es für ihr Business bedeuten kann, wenn sie nicht IPv6-bereit sind. Föry zufolge steht zumindest in den großen deutschen Unternehmen 2011 die IPv6-Technik auf der Agenda, "und es kann für Partner, Zulieferer oder Kunden teuer werden, wenn sie nicht vorbereitet sind und plötzlich in ihren Geschäftsbeziehungen per IPv6 kommunizieren müssen".
Deshalb sollten Unternehmen jetzt die Chance ergreifen, ohne hohen Zeit- und Kostendruck einen IPv6-Masterplan zu erstellen, um dann im Bedarfsfall schnell umstellen zu können. Die alte Ausrede "Warum mit IPv6 befassen, es wird im Netz eh nicht genutzt", zählt im Jahr 2011 nicht mehr. So hat beispielsweise die Internet Society den 8. Juni 2011 zum "World IPv6 Day" deklariert. An diesem Tag soll unter anderem die Interoperabilität der unterschiedlichen IPv6-Implementierungen getestet werden. Mit von der Partie sind etwa Internet-Schwergewichte wie Google, Facebook, Akamai oder Yahoo.
Hierzulande haben quer durch die Bank eigentlich alle deutschen Provider IPv6-Pläne in der Schublade. "Im Sommer 2011 beginnt voraussichtlich die Umstellung für die Content-Angebote der Telekom wie Music-, Video- oder Softwareload und das T-Online-Portal", kündigt IP-Projektleiter Zimmermann an.
Carrier rüsten für IPv6
Darüber hinaus sind bei der Telekom auch andere IP-basierende Dienste wie DSL/VDSL-Anschlüsse für Privatkunden oder hochwertige Anschlüsse mit fester IP-Adresse (CompanyConnect) für Geschäftskunden als IPv6-Varianten geplant. Ähnlich sieht die Situation bei anderen aus: So munkelt man in der Branche, dass auch Kabel Deutschland im Jahresverlauf wohl IPv6-Internet-Zugänge offerieren werde. Und auch 1&1 gibt an, dass der Konzern intern bereits "IPv6-ready" sei und theoretisch jederzeit umstellen könnte. Ähnlich äußert sich Dennis Knake, der Sprecher von QSC. Das eigene Netzwerk sei bereits IPv6-fähig, ein Rollout werde wohl im Verlauf des Jahres 2011 stattfinden. Grund hierfür seien derzeit noch fehlende Endgeräte.
Hersteller stellen Produkte um
Ein Mangel, der jedoch bereits bald der Vergangenheit angehören dürfte. Letztes Jahr preschte etwa AVM vor und kündigte für etliche seiner populären Fritzboxen ein IPv6-Update an. Auch bei D-Link glaubt man, dass IPv6 im Jahr 2011 bei den Carriern im Edge-Bereich an Bedeutung gewinnt und etliche Anbieter selbst im Consumer-Sektor auf das neue Protokoll umstellen. Deshalb liefert das Unternehmen künftig nur noch IPv6-fähige Endgeräte aus. Ältere für den Enterprise-Bereich konzipierte Geräte, so D-Link-Manager Mike Lange, seien schon seit längerem von Haus aus IPv6-bereit oder Upgrade-fähig. Anders sieht es jedoch bei den meisten Consumer-Geräten aus. Da hier meist Prozessorleistung und Arbeitsspeicher nicht ausreichen, wird der Anwender um eine Neuanschaffung nicht herumkommen. Ähnlich beschreibt man die Situation beim Wettbewerber Netgear.
Dagegen ist IPv6 bei den Herstellern von Enterprise-Equipment kein Thema. "Wo es möglich ist, wird es auch für alte Geräte ein Upgrade geben", bringt etwa Cisco-Manager Föry die Haltung seines Hauses auf den Punkt.
IPv6-bereit in Theorie und Praxis
Jedoch warnt Controlware-Consultant Pilger davor, blind den Readyness-Versprechen zu vertrauen. Die IT-Hersteller verständen hierunter teilweise Unterschiedliches. So seien beispielsweise alle aktuellen Betriebssysteme wie etwa Windows, Apple, Solaris, Linux oder BSD IPv6-fähig. Allerdings unterstütze nicht jedes System alle Features. Deshalb solle der Anwender genau prüfen, inwieweit IPv6 wirklich implementiert ist und was IPv6 für die Performance der Komponenten bedeutet.
Ebenso verhält es sich dem Berater zufolge mit der Hardware. Relativ gut bewertet Pilger hier den Umsetzungsstatus bei Netzkomponenten wie Routern, Firewalls oder Intrusion-Detection- und Prevention-Systemen. Nachholbedarf sieht er noch bei Content-Security-Systemen oder Personal Firewalls. Pilger weist ausdrücklich darauf hin, die Sicherheitsrisiken im IPv6-Umfeld nicht zu unterschätzen: "Die bösen Jungs sind schon IPv6-ready. Es gibt bereits Angriffs-Tools und Viren-Konstruktions-Kits, wo per Knopfdruck zwischen IPv4 und IPv6 gewechselt werden kann." Im Gegenzug werden klassische Netzwerk-Scans sehr aufwendig. "Pro Subnetz benötigt ein Angreifer 100 Millionen Pings pro Sekunde, das entspricht bei einem Durchsatz von 40 Gbit/s, mehr als 5800 Jahren", rechnet der Berater vor. Im Umkehrschluss bedeutet dies aber auch, dass sich ein Netz nicht mehr einfach mit Netzwerk-Scannern auf Sicherheitslücken untersuchen lässt. Zusätzliches Angriffspotenzial ergibt sich, wenn Betriebssysteme wie Windows 7 automatisch IPv6 aktivieren, aber im Unternehmen keine Sicherheitsmaßnahmen für IPv6 etabliert sind. Ohne angemessene Vorkehrungen muss der erste Schritt an dieser Stelle die Deaktivierung von IPv6 sein. Pilger zufolge sollte bei der Einführung von IPv6 die zentrale Frage aus Sicht der Informationssicherheit lauten: Wie kann das heute mit IPv4 erreichte Sicherheitsniveau eines Unternehmens auch mit IPv6 gehalten werden?
IPv6 als Chance betrachten
Angesicht des Aufwands und der zu erwartenden Tragweite dürften viele Unternehmen der IPv6-Migration mit Sorge entgegen sehen. Bernd Stock, Account Manager bei Controlware, hält das für einen Fehler. IT-Entscheidern erteilt er den Ratschlag, "die IPv6-Migration nicht nur als Bürde zu sehen, sondern auch als Chance zu betrachten." Das neue Internet Protocol biete eine Vielzahl zusätzlicher Möglichkeiten, die es jetzt zu nutzen gelte.
Diese Veränderungen bringt IPv6 für Unternehmensnetze mit sich
Adressraum: Wartete IPv4 mit seinen 32 Bit langen Adressen noch mit rund 4,3 Milliarden Adressen auf, stehen unter IPv6, das 128-Bit-Adressen verwendet, rund 340 Sextillionen Adressen zur Verfügung. Die für den Benutzer augenfälligste Änderung dabei ist die neue Schreibweise: Die 128-Bit-Adressen werden hexadezimal notiert - etwa so: 2001:0db8:85a3:08d3:1319:8a2e:0370:7344. Eine URL mit IPv6 und Port-Nummer schreibt sich dann wie folgt: http://[2001:0db8:85a3:08d3:1319:8a2e:0370:7344]:8080/. Dabei wird die Adresse in der Regel in zwei Bereiche unterteilt: Die ersten 64 Bit bilden allgemein gesprochen das Präfix, das sich aus Netzadresse des Providers und Subnetzes zusammensetzt. Die anderen 64 Bit werden aus dem Interface Identifier gebildet, der sich etwa aus der MAC-Adresse einer Netzschnittstelle bilden kann. Um eine gewisse Anonymität wie bei IPv4 zu gewährleisten, werden auch wechselnde Interface Identifier sowie variierende Provider-Präfixe diskutiert.
Besondere Adressen: Wie bei IPv4 existieren unter IPv6 besondere Adressen. Etwa Link-lokale Adressen (Link Local Unicast), die nur im gleichen Teilnetz erreichbar sind und von Routern eigentlich nicht weitergeleitet werden sollen.
Unique Local Unicasts definieren im IPv6-Umfeld private IP-Adressen. Allerdings wird derzeit noch über den genauen Aufbau dieser Adressen diskutiert, etwa ob es eine eindeutige Site-ID geben soll.
Ferner existieren Multicast-Adressen etwa für Broadcasts oder um alle Router in einem Bereich zu adressieren.
Vereinfachte Header: Unter IPv6 wurde der Aufbau der Header auf eine feste Länge von 40 Bytes festgelegt. Damit soll unter anderem im Vergleich zu IPv4 ein schnelleres Routing erreicht werden.
Autokonfiguration: Hier weisen sich die Geräte unter IPv6 automatisch selbst eine Adresse zu, weshalb das Verfahren auch als "Stateless Address Configuration" bekannt ist. Allerdings kann die Adressvergabe auch via DHCPv6 erfolgen, die so genannte Stateful Address Configuration. Des Weiteren sind Mischformen zwischen Autokonfiguration und DHCPv6 möglich.
Mobile IP ist eine Erweiterung des Standards und soll es ermöglichen, dass ein Endgerät überall - egal ob im Unternehmen oder im Home Office - unter der gleichen IP-Adresse erreichbar ist.
Multihoming vereinfacht es, ein Netz gleichzeitig von mehreren Providern mit IP-Adressen und Internet-Connectivity zu versorgen. In der Praxis könnten dadurch Unternehmen Netzbetreiber leichter wechseln oder gar dauerhaft mit mehreren Providern gleichzeitig arbeiten und so eventuell durch den verschärften Wettbewerb Kosten sparen.
IPsec ist im Gegensatz zu IPv4 nun keine Option mehr, sondern ein fester Bestandteil des Protokolls.
Bessere Multimedia-Fähigkeit: Im Gegensatz zum Vorgänger gehören nun QoS-Mechanismen von Haus aus zu IPv6. Dabei werden etwa Datenströme (Flows) neu klassifiziert, um den Transport von Audio- und Videodaten zu optimieren. Verbessern sollen sich auch die Flusskontrolle und die Erkennung von Engpässen.
ICMPv6: Eine zentrale Bedeutung für das Funktionieren des Internet Protocols hat nun das Internet Control Message Protocol. Konnte dieses unter IPv4 noch von der Firewall geblockt werden, ist es nun zwingend erforderlich. Mit ICMPv6 wird auch das Address Resolution Protocol (ARP) der IPv4-Welt abgelöst. Seine Nachfolge tritt das Neighbor Discovery Protocol (NDP) an. Aufgrund seiner zentralen Bedeutung für die Steuerung des Datenverkehrs sollten sich Netzadministratoren gerade unter Sicherheitsaspekten besonders intensiv mit ICMPv6 befassen.
Diese Zusammenstellung kann nur einen ersten Überblick über die Veränderungen im IPv6-Umfeld liefern. Wer tiefer in die Materie einsteigen will, sollte auf den Web-Seiten der IETF (Internet Engineering Task Force) einen Blick auf die einzelnen RFCs im Tool-Bereich (http://tools.ietf.org/) werfen.