Foto: tbcgfoto - Fotolia.com
Das Thema IPv6 gewinnt weiter an Brisanz. Auch wenn viele Firmen ihre Netzinfrastruktur noch nicht auf den erweiterten Adressraum umgestellt haben, ist das Wissen darüber schon weit verbreitet: Hardware und Software müssen gründlich geprüft werden, Mitarbeiter müssen geschult werden und Richtlinien, die das Netzwerk betreffen, müssen neu aufgesetzt oder angepasst werden. Das ist laut Infoblox allerdings noch lange nicht alles:
1. IP-Adress-Management-Tools einsetzen
IPv6 wird großen Einfluss darauf haben, wie IP-Adressen zugeteilt und verwaltet werden - das ist sicher die wichtigste Änderung bei der Umstellung. Der Wechsel von 32-Bit IPv4- zu 128-Bit IPv6-Adressen macht für Unternehmen die Überlegung notwendig, wie sie von nun an IP-Adressen zuteilen, aber auch tracken. Bei IPv4-Adressen war das einfach und konnte manuell erledigt werden, etwa mithilfe von Tabellen. Bei IPv6 funktioniert das nicht mehr, so der Hinweis von Infoblox: Schon die pure Länge zwinge Unternehmen dazu, IP-Adress-Management (IPAM)-Tools einzusetzen, die automatisiert und mit IPv6 kompatibel sind.
2. DNS-Architektur überprüfen
Sobald IPv6 auch im internen Netzwerk verwendet wird, müssen Unternehmen prüfen, ob der Rest der IP-Management-Infrastruktur bereit ist für die Umstellung. Wird etwa DHCP (Dynamic Host Configuration Protocol) für die Adresszuteilung genutzt, ist es erforderlich, dass auch der DHCP-Server IPv6-kompatibel ist. Laut Infoblox ist DCHP aber nur ein Teil dessen, was ein IPv6-Endpunkt benötigt. Zudem müssen auch DNS Domain Support, DNS Server-Adressen, Adressen von Netzwerk-Zeitservern und viele andere Elemente kompatibel mit IPv6 sein. Dafür muss eine moderne DNS-Infrastruktur implementiert, sowie die Kompatibilität zwischen DNS und DHCP-Systemen getestet werden.
3. Richtlinien für Sicherheit und Wartung überdenken
Auch die Richtlinien für Sicherheit und Wartung müssen beim Wechsel auf IPv6 angepasst werden. Das Problem laut Infoblox: Während die Schwächen von IPv4 hinlänglich bekannt sind und daher bekämpft werden können, gibt es diese Erfahrungswerte bei IPv6 noch nicht. Deshalb müssen etwaige Bedrohungen, die das neue System mit sich bringen kann, konsequent analysiert werden. Unternehmen sollten also bei der Umstellung auf IPv6 auch daran denken ihre Sicherheitsvorkehrungen zu überarbeiten.
4. Inventar der Netzwerk-Infrastruktur überprüfen
Eine Umstellung auf IPv6 kann nur funktionieren, wenn ein Unternehmen genau über sein Netzwerk und dessen Komponenten Bescheid weiß. Deshalb müssen Netzwerk-Infrastruktur und Traffic-Routing eingehend untersucht werden. So sollte beispielsweise jedes Subnetz daraufhin überprüft werden, ob die Verbindung zum Backbone auch unter dem neuen Protokoll funktioniert.
5. Kompatibilität der Anwendungen überprüfen
Unternehmen sollten sich vor der Annahme hüten, dass Anwendungen automatisch auch auf einem IPv6-basierten Netzwerk laufen - auch sie müssen vor einer Umstellung getestet werden. Bei IPv6 werden nämlich auch neue Layer 4 TCP-Protokolle eingesetzt (TCP 6 und UDP 6), die durchaus Auswirkungen auf einige Anwendungen haben können.
6. Backend-Tools aktualisieren
Um ein IPv6-Netzwerk verwalten und Probleme erkennen sowie lösen zu können, müssen Unternehmen evaluieren, ob ihre existierenden Tools dafür geeignet sein. Gegebenenfalls müssen hier gänzlich neue Lösungen angeschafft werden. Das gilt sowohl für den Betrieb als auch für die Wartung. So ist laut Infoblox etwa schon die Länge der IPv6-Adressen problematisch für manche Datenbanken, die solche Adressen nicht speichern können. Auch Analyzer und andere Überwachungslösungen sind häufig nicht IPv6-kompatibel.
7. Netzwerk-Performance im Auge behalten
Die Veränderungen durch IPv6 können sich negativ auf die Leistung eines Netzwerks auswirken. So sind etwa Header 40 Byte und damit doppelt so groß wie bei IPv4. Daher wird es gerade bei Anwendungen, die kleine Paketgrößen brauchen, merkliche Leistungsauswirkungen geben. Obwohl die meisten Systemanbieter wohl eine Strategie zur IPv6-Implementierung haben, gilt diese nicht unbedingt für die Leistung von Systemen, auf denen das IPv6-Protokoll läuft. Hier ist die Umstellung der Firmware ein erster Schritt. Für eine umfassende interne Umstellung wird aber die Hardware der Netzwerk-Infrastruktur zu großen Teilen verbessert werden müssen, um leistungsfähig genug zu bleiben.
8. Warnung: Spam-Filter neu entwickeln!
Spam-Blocker von heute stützen sich meistens auf DNS Black Lists (so genannte DNSBLs). Die werden allerdings bei der Umstellung auf IPv6 wertlos, da Hosts unter IPv4 nur einige hundert Adressen haben, so dass individuelle Adressen einfach aufgelistet und blockiert werden können. Bei IPv6 können Hacker einem Server dagegen Tausende von Adressen zuweisen und für jede neue Spam-Nachricht eine neue Adresse wählen. Ganze IPv6-Bereiche in DNSBL aufzulisten - so wird es aktuell bei IPv4 gemacht - ist keine Lösung, da diese aufgrund ihrer Größe Caches und DNS-Server zusammenbrechen lassen würden. Zudem ziehen DNS Caches neue Antworten älteren gegenüber oft vor, so dass die Vielzahl von DNSBL-Daten alle anderen DNS-Informationen aus dem Cache drängen würde. Oft wird zudem für DNSBL der gleiche Cache genutzt wie für alle anderen DNS-Anfragen. Das belastet wiederum alle anderen DNS-Server, die sich die gelöschten Antworten zurückholen müssen.
- Tools, die in das Netzwerk blicken
Was tut sich in meinem Netzwerk? Wo sind die neuralgischen Punkte oder welche Verbindungen werden aktuell aufgebaut? Wer sein Netzwerk im Griff behalten will, braucht dazu die richtigen Werkzeuge: Wir stellen sie vor! - Netzwerk-Analyse - Wireshark
Die rote Markierung zeigt es deutlich: Wireshark hat ein auffälliges Netzwerkpaket entdeckt. Hier ist es ein von Nexpose modifiziertes SNMP-Paket im Rahmen eines Vulnerabilität-Scans. - Netzwerk-Analyse - Wireshark
Wer redet mit wem? Die freie Software Wireshark analysiert die Anzahl und den Umfang der Datenpakete, die von allen beteiligten Sendern und Empfängern ausgetauscht wurden. - Netzwerk-Analyse - Wireshark
Wie setzt sich der Netzwerkverkehr eines Wireshark-Mitschnitts zusammen? In dem hier gezeigten Beispiel sind 3,83 Prozent der Datenpakete „malformed“, somit also modifiziert oder defekt. - Netzwerk-Analyse - LAN Search Pro
Wer Dateien finden will, möchte die Suche in der Regel auch auf die Netzwerklaufwerke ausdehnen: Die Freeware LAN Search Pro kann dabei auch die verstecken Ordner durchsuchen und anzeigen. - Netzwerk-Analyse - LAN Search Pro
Nach dem Finden der Dateien gleich entsprechend weiterarbeiten: LAN Search Pro ermöglicht die direkte Übergabe der gefundenen Informationen an den Explorer des Windows-Systems. - Netzwerk-Analyse - LAN Search Pro
Die Suche kann auch spezifischer sein: Nach der Suche mittels Wildcard über das gesamte Netzwerk hinweg, werden die gefundenen Dateien nach einer bestimmten Zeichenfolge durchsucht. - Netzwerk-Analyse - Netspeed Monitor
Nistet sich unauffällig in der Taskleiste ein: Der Netspeed Monitor bietet dem Anwender dann einen guten Überblick über die Up- und Download-Geschwindigkeit seines Systems. - Netzwerk-Analyse - Netspeed Monitor
Auch die auf dem System offenen UDP- und TCP-Endpunkte kann der Netspeed Monitor direkt und aktuell anzeigen. - Netzwerk-Analyse - Netspeed Monitor
Leider wird die nützliche Software Netspeed Monitor im Moment nicht mehr weiter entwickelt: Obwohl sie laut Web-Seite auch für Windows 8 geeignet sein sollte (bei einem Funktionieren unter Windows 7 nur logisch) verweigerte sie die Installation auf Windows 8.1. - Netzwerk-Analyse - Jperf
Weg von der Kommandozeile mit Hilfe von Java: Die Oberfläche JPerf ermöglicht eine einfachere Bedienung von iperf, verlangt aber bei der Inbetriebnahme etwas Verständnis auf der Systemebene. - Netzwerk-Analyse - Jperf
Wer die Bandbreite seines Netzwerks mit iperf untersuchen will, muss natürlich den verwendeten Kommunikations-Port (hier ist es 5001) auf den Systemen freigeben. - Netzwerk-Analyse - Jperf
Gleichmäßige Bandbreite im hohen Bereich: Dieses Beispiel zeigt eine Messung der Bandbreite eines WLANs (802.11ac) zwischen zwei Systemen unter Windows 8.1. - Netzwerk-Analyse - Wifi Analyzer
Welche WLAN-Netze mit welchen Bandbreiten und welche Sicherheit sind in Reichweite: Die Android-App Wifi Analyzer zeigt es übersichtlich an. - Netzwerk-Analyse - Wifi Analyzer
Da zeigt sich deutlich, welches WLAN am aktuellen Standort die beste Bandbreite zu bieten hat: Die grafische Übersicht der App Wifi Analyzer bietet vor allen Dingen auf Tablets einen guten Überblick. - Netzwerk-Analyse - Network Share Browser
Zeig‘ mir die Freigaben und die Drucker: Mit der einfachen freien Software Network Share Browser sieht der Anwender alle Daten auf einen Blick. - Netzwerk-Analyse - Network Share Browser
Ein Klick führt in die ausgewählte Freigabe: Der Network Share Browser bietet kaum zusätzliche Funktionen, arbeitet aber logisch und bietet dem Nutzer den direkten Zugriff auf die Freigaben im Windows Explorer. - Netzwerk-Analyse - Network Scanner
Welche Systeme sind im Netzwerk zu finden? Das Werkzeug Network Scanner von SoftPerfect kann ohne weitere Installation auch direkt vom USB-Stick eingesetzt werden. - Netzwerk-Analyse - Network Scanner
Weitere Informationen direkt aus den Systemen auslesen: Da der Network Scanner WMI unterstützt kann ein Administrator mit den richtigen Zugriffsrechten direkt die Systeminformationen der Rechner im Netz auslesen. - Netzwerk-Analyse - Network Scanner
Welche Geräte bieten UPnP-Zugriff (Universal Plug and Play) im Netzwerk an? Diese Informationen kann allein vom Sicherheitsaspekt her interessant sein und wird vom SoftPerfect Network Scanner ebenfalls angezeigt.