IPv6 im Detail

Publiziert am 24.Aug. 2012 um 08:59 Uhr in Produkte   von Gast-Autor

Anzeige:
Werben Sie hier!

Am 6. Juni hat der IPv6 Launch Day stattgefunden und ist von den allermeisten Anwendern unbemerkt geblieben. Auf diesen Tag hin sollten möglichst viele Internetprovider, Webseiten-Betreiber und Hersteller von Netzwerk-Hardware IPv6 unterstützen. Der Netzwerk-Profi und Gastautor Mathias Menzer erklärt die Details zu IPv6 für alle Anwender verständlich und ausführlich.

 

Für die Betrachtung des Rahmens für IPv6 ist ein kurzer Exkurs in die Netzwerkprotokolle notwendig. Die Protokolle stellen bei der Kommunikation in Netzwerken sicher, dass sich alle Teilnehmer verstehen. Dabei befinden sich mehrere Protokollschichten übereinander, die jeweils aufeinander aufbauen und verschiedene Aspekte der Kommunikation abdecken.

Anzeige:
Werben Sie hier!

Auf unterster Schicht werden durch das Anlegen oder Wegnehmen eines elektrischen Spannungsleiters Informationen übermittelt. Ein Netzwerk-Kabel enthält mehrere dieser Leiter in Form von Drähten. Iin Heim- und den meisten Firmennetzen werden darüber Daten mittels Ethernet übertragen. Die Spezifikationen von Ethernet bezeichnen nicht nur Hardware-Komponenten wie Stecker- und Kabeltypen, sondern auch die zu nutzenden Übertragungsmethoden, die zur Umwandlung von digitalen Informationen in elektrische Signale notwendig sind.

Jedoch ist Ethernet nur für den Aufbau kleiner, örtlich begrenzter Netze geeignet. Bereits um mehr als zwei Geräte zu verbinden, werden Hilfsmittel wie Hubs oder Switches notwendig. Um gröere und vor allem regionale und globale Netze zu ermöglichen, wird ein weiteres Protokoll benötigt, das Internet Protocol (IP). Es trennt Netze voneinander und teil ein Netz in Bereiche auf. Die IP-Adressen werden unabhängig von der Hardware-Adresse vergeben, das heisst, sie können entsprechend aus einem zusammenhängenden Bereich gewählt werden. IP nutzt auch das sogenannte Routing, dabei werden Netzwerk-Datenpakete anhand von Routing-Tabellen an Zieladressen weitergeleitet. Diese beiden Eigenschaften ermöglichten erst die Entstehung des Internets.

IP ist ein paketorientiertes Protokoll. Das bedeutet, es schickt Netzwerk-Datenpakete einfach ab. Sobald sie zur Netzwerkschnittstelle hinaus sind, kümmert es sich nicht weiter um deren Verbleib. IP baut also keine Sitzungen (Englisch: Sessions) auf, innerhalb derer eine zuverlässige Datenübertragung geprüft und gewährleistet wird. Auch besitzt es keine einfache Schnittstelle für die gezielte Übertragung der Daten von Anwendungen. Dies bietet das „Transmission Control Protocol“ (TCP) mit TCP-Ports. Wird ein Paket an einen solchen Port adressiert, so reicht TCP es automatisch an das zum Port gehörende Programm weiter. Als Beispiel sei hier Port 80 genannt, über den Webbrowser von einem Webserver die Herausgabe einer Webseite erfragen können.

TCP stellt sicher, dass die gesendeten Daten auch wirklich am anderen Ende ankommen, weshalb die Kombination dieser Protokolle als TCP/IP bekannt ist und das Rückgrat des Internet darstellt. Alle wichtigen Protokolle höherer Ebenen setzen für eine zuverlässige Datenübertragung auf den TCP/IP-Protokollstapel, darunter zum Beispiel die typischen Web-Protokolle HTTP und HTTPS, sowie die für E-Mail notwendigen Protokolle SMTP und POP.

Versionssprung

Letztlich stellen die IP-Adressen die Basis für das Funktionieren und die Zuverlässigkeit von IP und aller darauf aufbauenden Protokolle dar. Ihre Grösse von 32 Bit ergibt etwas weniger als 4,3 Milliarden Adressen, doch die Anzahl der Internet-Geräte liegt schon längst darüber. Dies ist möglich durch eine Behelfslösung namens Network Address Translation (NAT) zusammen mit einigen speziellen Speichern von ungenutzten IP-Adressen.

So können Heim- und Unternehmensnetze intern diese privaten IP-Adressen verwenden und lassen diese beim Zugriff auf das Internet in offizielle Adressen übersetzen. Das bedeutet, dass ein Router sich merkt, wenn ein Rechner aus seinem Netzwerk eine Verbindung zu einem Server im Internet öffnet und die Informationen dazu in einer Tabelle festhält um zwischen Rechner und Server vermitteln zu können. Aus Sicht des Servers greift dann der Router auf seine Dienste zu.

Dieses Verfahren spart jede Menge Adressen ein, die sonst an jeden einzelnen Privat- oder Firmen-PC vergeben werden müssten, von internetfähigen Mobiltelefonen gar nicht zu reden. Ein kleiner Gewinn hierbei ist, dass Geräte hinter einem NAT-Router unsichtbar bleiben und damit eine gewisse Privatsphäre geniessen. Dennoch stellt NAT letztlich eine Krücke dar, die auch Probleme verursacht.

Eine der Forderungen an ein überarbeitetes Internetprotokoll ist also, dass der Adressraum viel grösser sein muss. Die weite Verbreitung von vernetzten Geräten auch unter technisch wenig interessierten Menschen bringt auch den Wunsch nach einer einfacheren Netzwerk-Konfiguration mit sich. Ab 1995 wirde nach diesen Kriterien der IPv4-Nachfolger entwickelt und drei Jahre später von der Netzwerkgruppe der “Internet Society” als IPv6 veröffentlicht, namentlich mit dem RFC-Dokument 2460 (RFC steht für “Request for Comments”).

Neuheiten von IPv6

Was beim Anblick einer IPv6-Adresse auffällt, ist ihre scheinbare Komplexität. Sie ist mit 128 Bit viermal so lang wie ihr IPv4-Pendant und ermöglicht einen kaum vorstellbaren Adressraum von 79 Quadrilliarden Adressen. Die acht Blöcke mit jeweils 4 hexadezimalen Ziffern werden durch Doppelpunkte getrennt und zusätzlich kommen noch Verkürzungsregeln zum Einsatz:

  • Die führenden Nullen eines Blocks können entfallen:
    • Entfernung führender Nullen
    		                              
     
    • 2001
    • :
    • 0db8
    • :
    • 0000
    • :
    • 0000
    • :
    • f054
    • :
    • 00ff
    • :
    • 0000
    • :
    • 02eb
    • 2001
    • :
    • db8
    • :
    • 0
    • :
    • 0
    • :
    • f054
    • :
    • ff
    • :
    • 0
    • :
    • 2eb

 

  • Mehrere nur aus Nullen bestehende Blöcke können zusammengefasst und durch zwei direkt aufeinander folgende Doppelpunkte markiert werden.
  • Diese Zusammenfassung kann nur einmal pro Adresse angewendet werden:
    • Zusammenfassung von Blöcken
    		                              
     
    • 2001
    • :
    • db8
    • :
    • 0
    • :
    • 0
    • :
    • f054
    • :
    • ff
    • :
    • 0
    • :
    • 2eb
    • 2001
    • :
    • db8
    • :
    • :
    • :
    • 0
    • :
    • f054
    • :
    • ff
    • :
    • 0
    • :
    • 2eb

Eine solche Adresse lässt sich kaum merken, insofern erhält die „Netzwerk-Adressauskunft“ Domain Name Service (DNS) umso mehr Bedeutung. Dagegen schwindet die Bedeutung von DHCP, das bislang die Zuweisung von IP-Adressen in den meisten Netzen verantwortete, denn IPv6 hat die nötigen Mechanismen hierfür bereits integriert.

Wird ein IPv6-fähiges Gerät in einem Netzwerk aktiviert, so generiert es seine IP-Adresse selbst aus der Hardware-Adresse seiner Netzwerkschnittstelle. Diese Link-Lokale Adresse wird nur zur Kommunikation im eigenen Netzwerksegment genutzt. Sie dient zuerst zum Ermitteln anderer Geräte im Netz und der Suche nach Routern.

Sind Router vorhanden, so geben sie mittels „Router Advertisement“ dem Gerät ein Präfix (oder mehrere) zurück. Der Präfix wird, wieder mit der Hardware-Adresse zusammen, zur Erzeugung einer weiteren, globalen Adresse verwendet, die nun zum Datenaustausch über den Router hinweg genutzt werden kann. IPv6 ermöglicht also das direkte Ansprechen von Geräten über Router hinweg..

Mit dem Router Advertisement werden dem Gerät auch weitere Konfigurationen für das lokale Netzwerk wie der DNS- oder DHCP-Server mitgeteilt. Der DHCP-Server wird wohl nur noch in komplexen Netzen eine Existenzberechtigung haben.

Übergangsverfahren

Da der Umstieg von Version 4 auf Version 6 des Internet Protokolls nicht von jetzt auf gleich geschehen kann, gibt es Mechanismen für die potentiell sehr lange Übergangszeit, in der beide Protokolle zum Einsatz kommen. Das Verfahren, das in nächster Zeit am meisten Verbreitung finden wird, ist Dual-Stack. Für die Netzwerkschnittstelle sind so beide IP-Protokolle implementiert; ein Gerät bekommt neben IPv4- auch IPv6-Adressen.

Über welche Protokoll-Version eine Kommunikation dann tatsächlich abläuft, hängt von den Fähigkeiten der beteiligten Komponenten ab: Client, Server und den Netzwerkgeräten. Im Idealfall bekommt der Anwender davon nichts mit.

Die IPv6-Unterstützung lässt aber auch 13 Jahre nach Veröffentlichung des Standards zu wünschen übrig. Ärgerlich ist für den Anwender zu Hause vor allem, dass derzeit keiner der grossen Internetzugangsprovider IPv6 anbietet. Somit sind auch hier wieder Behelfslösungen notwendig, wo IPv6 erwünscht oder benötigt wird.

Insbesondere Tunnelverfahren sind hier gängig, zumal diese teilweise auch von den Herstellern einiger Breitband-Router unterstützt werden. Recht simpel auf Anwenderseite ist 6to4, bei dem IPv6 in v4-Pakete gepackt und dann an ein 6to4-Relay gesendet werden. Dieses fungiert dann quasi als Zugangspunkt zum IPv6-Internet. Die IPv4-Adresse des Rechners wird bei diesem Verfahren in die IPv6-Adresse codiert, indem die Bestandteile in hexadezimale Ziffern umgewandelt und hinter ein “2002:Präfix gehängt werden.

Einen etwas anderen Weg geht 6in4, das gerne von Tunnelbrokern genutzt wird. Hier wird über den Tunnelbroker ein eigenes IPv6-Netzwerk bereitgestellt. Auch hier ist der Tunnelbroker beziehungsweise ein angeschlossener Zugangspunkt (POP = Point of Presence) die Pforte zur IPv6-Welt. Als Beispiel sei hier SixXS genannt, das unter anderem von aktuellen Routern aus dem Hause AVM unterstützt wird. Diese können  IPv6-Adressen den in ihrem Netzwerk befindlichen Rechnern zuweisen und so an dieses Protokoll anbinden.

Einen Endpunkt direkt am Client bietet auch Teredo, das von Microsoft entwickelt und seit Windows XP verfügbar ist. Eine Umsetzung des Protokolls für Linux und BSD existiert unter dem Namen Miredo. Auch hier wird ein Miredo-Server zur Anbindung verwendet, im Gegensatz zu den bisher vorgestellten Tunnel-Mechanismen wird hier jedoch lediglich das Gerät bedacht, auf dem der Miredo-Dienst läuft.

Alle Tunnel bergen ein grosses Problem: Was mit ihrer Hilfe transportiert wird, kann in der Regel durch Firewalls und Proxies nicht kontrolliert werden. Also stellen sie entweder ein potentielles Sicherheitsrisiko für grössere Netzwerke dar oder die Verwendung dieser Tunnel wird von den Netzwerk-Administratoren gleich ganz unterbunden.

Eine letzte Lösung für derartig eingeschränkte Nutzer stellen dann noch Proxies dar, die Web-Dienste aus dem IPv6-Internet auf einem per IPv4 erreichbaren Server darstellen.

Ein Verfahren, mit dem man unter IPv4 bereits viele Erfahrungen sammeln konnte, ist NAT. So wurde auch eine Variante spezifiziert, die die Umsetzung von IPv4- in IPv6-Pakete beschreibt. NAT64 erfordert keinen Tunnel, sondern arbeitet auf beiden Seiten mit den jeweiligen Protokollen. Im Endeffekt werden IPv4-Adressen hexadezimal kodiert und dann an ein für dieses Verfahren vorgesehenes IPv6-Präfix angefügt (Bsp: 203.0.113.1 → cb00:7101 → 64:ff9b::cb00:7101). Das NAT-Gateway vermittelt dann zwischen beiden Welten, wobei dies jedoch nur für die mit IPv6 angebundenen Geräte transparent ist. Die IPv4-basierten Rechner sehen als Kommunikationspartner nur das NAT-Gateway und wissen von den dahinter liegenden IPv6-Host nichts. Insofern eignet sich dies nur, um reinen IPv6-Netzen Zugriff auf die Reste des IPv4-Internets zu gewähren, ist also eher Zukunftsmusik.

Probleme

Getreu dem Motto „es muss nicht besser werden, weil es anders wird“ (frei nach Georg Christoph Lichtenberg, bringen die Änderungen des neuen Protokolls auch ein paar Probleme mit sich. Von Datenschützern wird beispielsweise immer wieder darauf hingewiesen, dass sich mit den neuen Adressen die Anwender leicht verfolgen lassen. Dass jedes Gerät eine eindeutige Adresse erhält und diese auch zeitlebens behalten kann, ist eindeutig im Design von IPv6 vorgesehen. Somit entfallen drei Punkte, die bislang eher als Nebenprodukt von Behelfslösungen die Privatsphäre des Nutzers ein wenig geschützt hatten:

  1. Dynamische Adresse im eigenen Netzwerk: Sie weicht dem durch die permanente Hardware-Adresse bestimmten Interface Identifier.
  2. Dynamisch vergebene Adresse des DSL-Routers: Der Internet-Provider ist nicht weiter in der Not Adressen zu sparen. Nutzern einen permanenten Adress-Bereich für den Internet-Anschluss zuzuweisen, könnte den Verwaltungsaufwand reduzieren.
  3. NAT am DSL-Router: Das Präfix des Routers zusammen mit dem Interface Identifier ergeben eine eindeutige Adresse für jedes Gerät.

Letztlich gibt es jedoch Bemühungen, diese Probleme in den Griff zu bekommen: Den ersten Punkt ging man bereits vor längerer Zeit mit der Definition der IPv6 Privacy Extensions an. Diese sehen vor, dass sich Rechner weitere IPv6-Adressen mit zufällig generiertem Interface Identifier erzeugen und an Stelle der eindeutigen Adresse verwenden. Zudem sollen diese temporären Adressen auch nur eine begrenzte Lebensdauer haben. Damit wäre schon einmal das Problem des leicht zu identifizierenden Endpunktes geklärt. Doch ist dessen Netz nun immer noch anhand des Präfix leicht zu erkennen.

Dieser zweite Punkt ist eher ein Politikum. Datenschützer fordern hier, dass – zumindest auf Kundenwunsch hin – Internetanschlüsse bei jeder Einwahl ein neues Präfix zugewiesen bekommen. Die Signale deuten jedoch darauf hin, dass die Provider dem entgegenkommen möchten [Link zu Spiegel-Netzwelt]. Diese beiden Massnahmen zusammen entsprechen den bisherigen Bedingungen in Sachen „Schutz der Privatsphäre“ und ermöglichen daher auch keine wirklich anonyme Internet-Nutzung.

Der dritte Punkt obiger Liste wurde auch berücksichtigt. NAT66 ist noch kein verabschiedeter Standard und wird vermutlich die gleichen Einschränkungen mit sich bringen, wie das altbekannte NAT44. Es wird vermutlich nur zum Einsatz kommen, wenn zum Beispiel Firmenrichtlinien das Auftreten direkt zuordenbarer Adressen ausserhalb ihres Netzwerkes verbieten.

Abseits von Datenschutz und Privatsphäre machen sich derzeit die Betreuer von Firmennetzwerken Gedanken darüber, wie IPv6 in ihre Umgebung passt. Gewohnte und erprobte Verfahren, um die Netze zu verwalten, funktionieren nicht mehr und werden teils auch nicht mehr benötigt.Die Vergabe der IP-Adressen durch eine zentrale Stelle, den DHCP-Server, bietet auch Kontrolle, indem bestimmte Geräte bestimmte Adressen erhalten – oder eben auch keine – und dies auch entsprechend dokumentiert wird. Hier wurde bereits mit DHCPv6 Abhilfe geschaffen, doch müssen die Rechner dieses Protokoll erst einmal unterstützen.
Derzeit noch eines der grössten Probleme ist die oft mangelhafte Unterstützung von IPv6. Angefangen bei den grossen Internetzugangsprovidern, über Hersteller von Netzwerk-Hardware bis hin zu Dienstleistern für das Hosten von Servern oder Webseiten finden sich überall Firmen, die IPv6 bislang gar nicht anbieten.

Ist Unterstützung doch vorhanden, so findet sich meist viel Potential zur Verbesserung, wenn Breitbandrouter zum Beispiel keine Port-Freigaben unter IPv6 unterstützen oder Rechnernamen keine IPv6-Adressen zuordnen können. Auch Anwendungen im Unternehmensumfeld sind darin eingeschlossen. Hier wird unter IPv6 nur selten der gleiche Funktionsumfang geboten wie unter IPv4. Das wird sich in den nächsten Monaten und Jahren zwar ändern, dürfte aber in vielen Fällen einen Hinderungsgrund für eine bedingungslose Nutzung des neuen Protokolls darstellen.

Chancen

Gerne wird bei all den Nachteilen vergessen, dass IPv6 auch erhebliche Vorteile bietet. Um obiges Zitat zu vervollständigen: „Aber es muss anders werden, wenn es besser werden soll.“ So bringt IPv6, wie bereits erwähnt, Mechanismen mit, die Rechner automatisch für den Netz-Zugang konfigurieren. Ad-Hoc-Netzwerke, um mal eben schnell ein paar Bilder zu übertragen, sind damit in greifbarer Nähe. Entfällt so doch die Notwendigkeit, manuell die Netzwerkeinstellungen aller beteiligten Geräte oder einen DHCP-Dienst auf einem davon einzurichten.

Einer der grössten Nebeneffekte des riesigen Adressraumes ist die Schwierigkeit, einen Netzwerk-Scan durchzuführen. Firewall-Betreuer kennen die entsprechenden Warnmeldungen und Einträge in den Logfiles, wenn Verbindungsversuche auf bestimmten, berüchtigten Ports ganze Bereiche der von der Firewall verwalteten IP-Adressen betreffen. In der Regel kündigt dies weitergehende, aber gezieltere Versuche an, in potentiell verwundbare Systeme einzudringen.
Befanden sich bei IPv4 vielleicht „nur“ einige tausend Adressen im Besitz einer Firma, so können es nun leicht mehrere Billionen oder Billiarden sein. Eine solche Anzahl an Adressen abzuscannen ist schier unmöglich, zumindest wird es die Ressourcen eines Angreifers einige Zeit lang binden. Angriffe auf Netzwerke von ausserhalb wird es voraussichtlich weiterhin geben, jedoch ist die Hürde hier höher.

Fazit

Was es mit IPv6 auf sich hat, lässt sich nicht in einem Satz erklären. Das weiterentwickelte Internetprotokoll krempelt zwar an den Grundsteinen des Internets einiges um, doch von Auswirkungen wird der durchschnittliche Anwender weitgehend verschont bleiben. Vorerst wird IPv6 nur in kleinen Schritten die Welt erobern können und bis IPv4 seine Bedeutung verliert, werden Betriebssysteme, Anwendungen und Netzwerkgeräte das neuere Protokoll ausreichend gut unterstützen.

(Mathias Menzer)

Creative Commons Lizenzvertrag

The following two tabs change content below.
Gast-Autor

Gast-Autor

Die Ansichten und Meinungen im Artikel entsprechen derjenigen des Gast-Autors und nicht zwingend von Greenbyte.ch.