Der Kühlschrank, der die Bevorratung in Eigenregie übernimmt. Der Fernseher, der die Lieblingsserie aus dem Netz lädt. Oder – schon längst verbreitet – das Smartphone, das Termine, berufliche Dokumente, gelaufene Kilometer und dabei gehörte Songs automatisch mit dem Notebook synchronisiert und auswertet. Nahezu jedes elektronische Gerät soll künftig „online gehen“ und wird daher auch mit einer IP-Adresse versehen. Da der vorhandene IPv4-Namensraum erschöpft ist, steht seit einigen Jahren nun das neue Protokoll IPv6 zur Verfügung. Zu dessen Vor- und Nachteilen sowie den Herausforderungen für Unternehmen und Privatsurfer habe ich den IT-Sicherheitsberater Johannes Hubertz befragt.
Johannes, Du beschäftigst Dich seit Jahren mit dem Internetprotokoll IPv6. Nach Deiner Beobachtung: Wie groß ist die Bereitschaft unter deutschen Unternehmern, ihr Netzwerk auf IPv6-Adressen umzuziehen?
Zur Zeit kann ich nicht wirklich eine Bereitschaft erkennen, sich mit der neuen Technik und somit auch Kosten zu belasten. Vermutlich funktioniert ja mit den altbekannten Mechanismen auch alles zufriedenstellend, „unnötige“ Kosten will niemand. Von Umzug kann im eigentlichen Sinn auch keine Rede sein, noch will niemand die laufende IPv4-Infrastruktur abschalten und das wird vermutlich auch die nächsten zwanzig Jahre so bleiben. Dennoch ist anzuraten, sich mit IPv6-Technologie zu beschäftigen, um im Falle eines Falles gewappnet zu sein. Vielleicht wird das gute alte IPv4 auch schon in Kürze von einer „Killerapplikation“ verdrängt, die nur mit IPv6 funktioniert?
Der neue Namensraum war nötig, weil IPv4-Adressen schlichtweg knapp wurden. Welche Vorteile sprechen darüber hinaus für IPv6?
Da gibt es einige bemerkenswerte Dinge, die interessant sind. Zum einen gibt es Regionen auf unserem Planeten, in denen IPv4 schon länger absolute Mangelware ist, d.h. dort werden seit geraumer Zeit ausschließlich IPv6-Adressen an Internetkunden vergeben, IPv4 findet per providerseitigem NAT oder Proxying statt. Will man Geschäfte mit Partnern aus Ostasien machen, die dort nur mit IPv6 angebunden sind, funktioniert es besser, wenn man dies hier auch hat. Auch mobile Kommunikation wird durch IPv6 besser unterstützt mit dem sog. Mobile-IP.
Bei IPv4 kennen wir VPN-Mechanismen, die für Verschlüsselung sorgen und ganze IP-Pakete in anderen Paketen verpackt transportieren. Mit IPv6 funktioniert das einfacher dank des per RFC definierten Mechanismus. Kommunikation vom beliebigen Standort mit einer Adresse des lokalen ISP findet verschlüsselt nur zum Home-Server statt, dieser teilt dem entfernten Gerät, sei es Laptop oder Telefon, eine feste eigene IPv6-Adresse zu. Nur mit dieser firmeninternen Adresse ist dann die Kommunikation innerhalb des Unternehmens möglich, da die Firewalls des Unternehmens sinnvollerweise anderes nicht zulassen.
Die verwendeten Verschlüsselungsverfahren sind in IPv6 schon Ende der 1990er Jahre beschrieben und standardisiert worden, aufgrund ihrer Nützlichkeit wurden sie auch auf IPv4 portiert, hier wurden sie als IPsec bekannt und sind gut beherrschbar. Da kommt mit IPv6 also nicht etwas völlig Unbekanntes auf uns zu, nur die Anwendung der Mechanismen wird ein wenig anders und sicher auch besser.
Johannes Hubertz
Kann man auch mit einer höheren Übertragungsgeschwindigkeit rechnen, etwa weil NAT-Übersetzungen künftig wegfallen können?
Die durch NAT verursachten Latenzen sind meines Dafürhaltens nicht relevant und Bandbreite geht dadurch auch nicht verloren. Aber für IPv6 gibt es an vielen Stellen kürzere Wege, d.h. weniger Router auf dem Weg zum Ziel. Und das macht die Geschichte schneller, einschließlich der zukunftsweisenden höheren Bandbreiten, die hier von Anfang an Verwendung finden. Neue Infrastrukturen werden eben performanter geplant und realisiert.
Was müssen Unternehmen beachten, wenn sie umziehen wollen?
Wie schon bemerkt, glaube ich nicht, dass Umzug die richtige Vorgehensweise ist. Vielmehr möchte man funktionierende Infrastrukturen nicht von heute auf morgen abschalten, sondern neue, zusätzliche Struktur mit IPv6 schaffen, die man dann genauso sorgsam, umsichtig und vorsichtig testen kann, wie man mit seinen bisherigen Netzwerken gewohnt ist, umzugehen. Diese wird man einige Zeit neben der IPv4-Struktur betreiben wollen. Insbesondere möchte niemand IPv6 in internen Netzen einfach dazuschalten, die Risiken sind einfach zu groß.
Will man intern mit IPv6 beginnen, sollte man vorsichtig mit Dual-Stack beginnen, und zwar in kleinen, streng begrenzten und gut überwachten Bereichen, z.B. kann man bei seinen Servern anfangen. Dual-Stack bedeutet, zum vorhandenen IPv4 unabhängig davon IPv6 dazu zu bauen. Da kann man zuerst mit den nicht so wichtigen Geräten anfangen. Während des Arbeitens mit IPv6 entstehen Erfahrungen, die für die weiteren Geräte wichtig sind. Hat man sich ein umfassendes Konzept für die Verteilung der Adressen zurechtgelegt, sind die oder zunächst ein Server im Dual-Stack Betrieb mit zwei physikalischen Netzwerkkarten online, hat man seine Firewall, die auch den IPv6-Verkehr sinnvoll reguliert, fertig aufgestellt, so kann dann mit ein wenig Aufwand auch ein Client-PC in Gang gesetzt werden.
Spätestens dann kommen die Fallstricke und Ösen zum Vorschein, die es für den produktiven Netzwerkbetrieb zu vermeiden gilt. DNS sei nur als ein Beispiel genannt, welches sich möglicherweise etwas anders verhält als erwartet.
Gibt es einen Stichtag, zu dem IPv4-Adressen nicht mehr funktionieren, der Umzug also vollzogen sein muss?
Nein, meines Wissens nach ist da nichts geplant. Allerdings wartet die ganze technikorientierte Welt darauf, die neuen Adressen auch im Betrieb zu sehen, um schließlich auch den letzten Kühlschrank und die letzte Kaffeemaschine ans Netz anzuschließen. Ebenso ist Smart-Metering, also neuartige Strom-, Gas- und Wasserzähler, ein Thema für IPv6. Im Heimbereich können auf Standard-PCs die Privacy-Extensions noch etwas Privatsphäre wahren, de facto wird es aber zu einem tieferen Ausleuchten der privaten Belange kommen. Kühlschrank und Kaffeemaschine verraten einiges aus dem Privatleben, sind sie erst zu Kommunikation befähigt. Bei Smartmetern ist diese Gefahr schon beschrieben worden, die Datenschützer sind alarmiert.
Kaffeemaschinen und Kühlschränke mögen heute noch Zukunftsmusik sein, schon bald werden findige Geschäftsleute das Businessmodell dahinter ausmachen. Aber heute schon verraten Web-Browser auch unabhängig von IPv4 oder IPv6 über Cookies und andere Fingerprintingmechanismen, wer gerade wohin surft. Da nutzen auch Privacy-Extensions wenig.
Im betrieblichen Umfeld kann von deren Nutzung aus Sicherheitsgründen nur dringend abgeraten werden, schließlich will man seine Pappenheimer kennen und alle Geräte mit bekannten Konfigurationen betreiben.
Welche Kosten haben Unternehmen bei der Investition in IPv6 zu erwarten?
Die Geräte im kommerziellen Umfeld werden im Rahmen von Investitionen und Abschreibungen so oft gewechselt, dass es heute kaum noch Geräte im Betrieb geben sollte, die IPv6 nicht korrekt behandeln können. Seit vielen Jahren treiben große Organisationen die Hersteller damit, ausschließlich IPv6-Ready Geräte zu kaufen, das bleibt nicht ohne Wirkung. Aber IPv6 muss auch in die Köpfe der Administratoren und Sicherheitsverantwortlichen, die Details sind vielfältig und bedürfen einiger Schulung oder fähiger Autodidakten; da ist in jedem Fall ein erheblicher Aufwand zu treiben. Und es vergeht einige Zeit, bis neue Technik beherrscht wird. Gerade unter diesem Aspekt kann nur dringend davon abgeraten werden, „umzuziehen“. Genauso kann nur davon abgeraten werden, die Problematik aussitzen zu wollen. Solide Ausbildung wird also den größten Anteil der Kosten ausmachen. Das ist aber im Rahmen von IT-Betrieb nichts Neues.
Kommen wir vom Unternehmen zum privaten Websurfer: Muss man befürchten, eines Tages keinen Webzugang mehr zu haben, weil Computer oder Router nicht IPv6-fähig sind?
Gewiss nicht. Die Computer und auch marktübliche Handhelds sind heute ausnahmslos in der Lage, zumeist automatisch, mit IPv6 und IPv4 umzugehen, wenn es im lokalen LAN durch den Router zum ISP angeboten wird. Allerdings haben die ISP derzeit immer noch nachzulegen, die allerwenigsten können heute bereits IPv6 ins bis Heimnetz liefern. Und auch weiterhin werden sie im eigenen Interesse IPv4 mit NAT auf den Routern anbieten, selbst wenn sie IPv6 ins Lieferprogramm aufnehmen.
Da alle Geräte künftig eine feste IPv6-Adresse erhalten sollen, befürchten viele die Aufhebung der Anonymität im Netz. Wie denkst Du darüber? Wie können sich Websurfer schützen?
Grundsätzlich ist es so, dass jedes Gerät mit dem Einschalten und Aktivieren seines Netzwerkes schon mindestens eine IPv6-Adresse hat, abgeleitet von der sog. MAC-Adresse der Netzwerkkarte, die fest in diese einprogrammiert ist. Zwar kann damit nur im LAN kommuniziert werden, aber das reicht aus, um von einem beliebigen IPv6-Router im lokalen LAN eine echte IPv6-Adresse zu erhalten.
Jeder IPv6-Router verteilt sog. Präfixe, d.h. die Adressanteile, die vom Provider zugewiesen werden. Und dann gibt es im voll ausgebauten Endgerät, also einem PC, zwei Möglichkeiten der Nutzung: Anhand der MAC-Adresse und Präfix zusammengesetzte Adresse, also eine feste IPv6-Adresse. Alternativ bzw. zusätzlich gibt es die schon erwähnten Privacy-Extensions – diese bewirken, dass der Präfix mit einem zufällig gewählten Suffix kombiniert wird, der zufällige Anteil der Adresse wird sodann spätestens einmal am Tag gewechselt. So soll sichergestellt werden, dass über die IPv6-Adresse ein Endgerät nicht eindeutig identifiziert werden kann.
Jedoch kommt bei der Auswertung von Logdateien auf z.B. Webservern, nicht nur die IPv6-Adresse, sondern einige weitere Dinge zum Zuge, Browser-Version und Cookies lassen sich durch Kombination so auswerten, dass von effektivem Schutz der Privatsphäre keine Rede mehr sein kann. Der Fairness halber muss man aber zugeben, dass es mit IPv4 und NAT auch nicht besser ist.
Ergo lautet mein Fazit: Mit IPv6 wird manches besser, aber es wird nicht automatisch alles gut.
Johannes, ich danke Dir für das Gespräch!
Johannes Hubertz (XING) arbeitet als selbstständiger IT-Sicherheitsberater in Köln (und darüber hinaus). Außer in seinem eigenen Unternehmen, der hubertz-it-consulting GmbH, engagiert er sich noch in der German Unix User Group. In unserer Reihe „Karriere in der IT“ erzählte Johannes vor einiger Zeit von seiner beruflichen Laufbahn.