GOETTINGEN (hi) - Nach wie vor brennt den Usern das Thema Sicherheit im Internet auf den Naegeln. Zumindest die naechste, dann sechste Generation des Netzwerkprotokolls IP verspricht hier verbesserte Verfahren.
In Goettingen diskutierten Mitglieder der deutschen Interessengemeinschaft Internet (Digi) sowie Besucher der fuenften "Opennet"-Konferenz Vor- und Nachteile des neuen Protokolls bein Internetworking.
Ein Dauerbrenner bleibt nach wie vor auch das Thema Sicherheit, wenn das Internet fuer den unternehmensweiten Datenaustausch genutzt werden soll. Allerdings stellt dieses Problem die Anwender dank der WWW-Euphorie nicht mehr vor unloesbare Probleme, da zahlreiche Hersteller bereits Firewalls anbieten. Einhellige Meinung der Experten war auf der Opennet, dass es eigentlich keinen Grund mehr gibt, auf das globale Netz fuer den firmeninternen Datenaustausch zu verzichten.
Zumal, so die Einschaetzung von Digi-Vorstand Hubert Martens, frueher oder spaeter sowieso kein Weg an TCP/IP vorbeifuehrt: Sei es, um historische SNA-Strukturen in die restliche Netzumgebung zu integrieren, oder auch nur, um die Kosten fuer ein X.25-Netz zu senken, in dem die Daten kuenftig via Internet versandt werden. So betreiben fast alle Teilnehmer des Kongresses bereits ein TCP/IP- Netz oder planen dies demnaechst zu tun. Quasi als Nebeneffekt wird bei den meisten Unternehmen zusaetzlich die Einfuehrung eines WWW- Servers in Erwaegung gezogen. Ueber die Tips und Ratschlaege, die die Interessengemeinschaft der deutschen TCP/IP-User diesbezueglich gab, berichtet die CW in der naechsten Ausgabe.
Angesichts der rasanten Ausbreitung des Internet - gab es im November 1990 gerade mal 4000 IP-Hosts in Deutschland, so stieg bis August 1995 die Zahl bereits auf 442000 - erscheint die Einfuehrung eines neuen Protokolls immer dringender geboten. Weltweit wird inzwischen von drei bis acht Millionen Hosts ausgegangen. Mit Blick auf dieses Wachstum wird der Adressraum des "IPv4" mittlerweile extrem knapp. Erschwerend kommt hinzu, so Digi-Vorstand Martens, dass die Groesse der Routing-Tabellen zu einem Problem wird, da beispielsweise Cisco-Router nur 1000 Eintraege unterstuetzen. Diese Schwierigkeiten sollen mit dem Protokoll der sechsten Generation geloest werden, von dem zur Zeit erste Betaversionen im Einsatz sind. Damit hinkt das Projekt "Neue IP- Generation" den urspruenglichen Plaenen ein halbes Jahr hinterher. Der Versionssprung kommt dadurch zustande, da es sich bei dem Release fuenf nur um eine Testversion handelte, die in der Praxis keine Bedeutung erlangte.
Neben den genannten Problemen gehen die Architekten des neuen Protokolls auch das Sicherheitsbeduerfnis an. So stellt "IPv6" bereits von Haus aus entsprechende Mechanismen bereit. Fuer neuartige Anwendungen wie Multimedia sowie neue Uebertragungsverfahren wie ATM unterstuetzt das Protokoll "Quality- of-Service"-Parameter, die dem zeitkritischen SNA-Verkehr ebenfalls zugute kommen.
Allerdings traegt der Neuling zum Bedauern etlicher Anwender aus dem Unix-Lager deutlich die Handschrift des Desktop-Monopolisten Gates. Die Company, der die einfache Netzwerkanbindung der Macs ein Dorn im Auge ist, setzte bei der Verabschiedung des neuen Protokolls auch ein Plug-and-play-Feature fuer die Installation durch. Damit kann die Konfiguration von Clients ueber das "Dynamic Host Configuration Protocol" (DHCP), so die Bezeichnung des Microsoft-Verfahrens, automatisch erfolgen. Nachteil dieses Mechanismus, der nach Meinung von Martens fuer grosse Unternehmen keinen Sinn macht, ist, dass einem User beziehungsweise Rechner keine feste IP-Adresse mehr zugeordnet wird. Die dauernde Adressaenderung erschwere das Management eines solchen Netzes.
Doch bei allen Aenderungen, das grundlegende Konzept der bisherigen IP-Generationen bleibt gewahrt: So gilt nach wie vor - entgegen den Vorstellungen von Oracle-Boss Larry Ellison, der einen billigen Netz-PC auf den Markt bringen moechte - die Designregel, dass moeglichst alle Intelligenz in den Endgeraeten und nicht im Netz stecken sollte. Auch in Sachen Uebertragungsverfahren ist und bleibt IP ein Datagrammverfahren, bei dem als Fortschreibung des Classless-IP-Adresskonzepts Netz- und Rechneradresse weiterhin identisch sind (siehe Kasten: "Neue Adressen").
Ebenfalls neu sind die Header, die sich an einem 64-Bit-Frame orientieren und so bereits fuer die kommenden 64-Bit-Rechner optimiert sind. Zudem verfuegt IP nun ueber eine feste Header- Struktur, wobei selten benutzte Funktionen in die Extension-Header verschoben wurden, die als sogenannte Option-Header nur dann vorhanden sein muessen, wenn sie wirklich benoetigt werden. Dank dieser flexiblen Struktur aus festem IP-Header und Option-Header sind beliebige IP-Header-Konfigurationen erlaubt (siehe Kasten "Die Header des IPv6"). Gleichzeitig mit der Umstellung der Header-Struktur haben die Architekten des IPv6 versucht, die Sicherheitsproblematik des Internets auf Protokollebene zu loesen. Gleich zwei Header, "Privacy" und "Authentification", sollen den sicheren Datentransport gewaehrleisten.
Allerdings stossen diese Methoden auf wenig Gegenliebe bei der politischen Seite. So ist ein Ausspruch des US-Vizepraesidenten Al Gore ueberliefert, dass ihm egal sei, mit welchem Sicherheitsverfahren verschluesselt werde, solange gewaehrleistet sei, dass der CIA den Code innerhalb von vier Stunden knacken koenne. Zudem entsteht ein organisatorisches Problem, da bisher die Frage noch nicht geloest ist, wer die Codes zur Verschluesselung vergibt.
Auch in einem anderen Punkt ist die Vergabe noch zu regeln. Die momentane Praxis, bei der die IPv6-Adressen den Anwendern vom Provider zugewiesen werden, stoesst bei den Usern nicht unbedingt auf Zustimmung. Momentan ist beispielsweise auch nicht entschieden, ob der Anwender bei einem Wechsel des Anbieters seine Adresse zurueckgeben und damit unter Umstaenden ein komplettes Netz mit 6000 Nodes neu konfigurieren muss. Ebenso ungeklaert ist, ob bei der Zusammenarbeit mit einem neuen Provider Zusatzkosten fuer das Routing von Paketen mit der Kennung des alten entstehen. Zudem waere die Vergabe via Provider mit dem Nachteil verbunden, dass anhand der Adresse erkennbar ist, wer wo seine Netzleistungen bestellt hat.
Erschwerend kommt hinzu, dass aufgrund fehlender Praxiserfahrungen eigentlich jede Applikation einzeln auf ihr Zusammenspiel mit IPv6 getestet werden muss. Offen ist auch die Frage, wann das TCP der naechsten Generation kommt und welche Auswirkung dies auf IP hat. Zumindest, so ist zu vermuten, muss dann der "Pseudo-Header" ueberarbeitet werden.
Angesichts der Unterschiede zu IPv4 rechnet Martens mit erheblichen Administrationsproblemen. Der IP-Experte raet Anwendern denn auch zu einer sanften Migration, die in drei Phasen unterteilt sein sollte. Als Grundvoraussetzung nennt der Digi- Vorstand eine strukturierte Netzdokumentation sowie die Bestandsaufnahme der vorhandenen Devices. Zusaetzlich sollten sich Migrationswillige bereits in dieser Phase Gedanken ueber ein Sicherheitskonzept machen.
Als zweites empfiehlt Martens den Entwurf eines IP-Adresskonzeptes, bei dem ueberlegt werden sollte, ob es nicht moeglich ist, eine grossangelegte Flurbereinigung in Sachen IPv4 durchzufuehren. Zudem sollte in dieser Phase die Entscheidung fuer einen Provider fallen, wobei zu beachten ist, wann dieser den User vermutlich zur Migration auf IPv6 zwingt.
Der dritte Schritt bei Martens Verfahren ist ein sogenanntes Einsatzkonzept. Dabei, so der dringende Rat des Praktikers, ist zu pruefen, welche Systeme oder Anwendungen von IPv4 abhaengig sind. Um verdeckte Schwierigkeiten zu erkennen, bietet sich der Aufbau eines Testnetzes an. Danach waere ein Uebergangssystem zwischen IPv4-Netz und IPv6-Netz zu konfigurieren, um so eventuelle Inkompatibilitaeten bei der Hardware aufzuspueren. Des weiteren ist zu ueberlegen, ob durch einen eventuellen Systemtausch bestimmter Komponenten nicht Netzbereiche komplett auf IPv6 umgestellt werden koennen. Verlaufen diese Versuche zufriedenstellend, steht der Migration nichts mehr im Wege.