heise PlusAbo
Anzeige

Nachgefragt

Das Internetprotokoll IPv6 kommt nicht recht in Gang, selbst nach der Vergabe letzter freier IPv4-Adressbereiche an die regionalen Verwaltungen Anfang 2011 und nach dem weltweiten IPv6-Testflug im FrĂĽhjahr. Es liegen noch einige Stolpersteine auf dem Weg zum zweisprachigen Netz.

vorlesen Druckansicht 8 Kommentare lesen
Lesezeit: 10 Min.
iX Magazin
Von
  • Monika Ermert
Inhaltsverzeichnis

Nach dem kurzfristig von rund hundert Unternehmen aus dem Boden gestampften „World IPv6 Day“ am 8. Juni 2011 zogen viele Teilnehmer eine positive Bilanz. Das parallele Anbieten von Sites auch über IPv6 (Dual Stack) machte beim eintägigen Live-Test kaum größere Schwierigkeiten. Google, Yahoo und Facebook – auf diese Großen richteten sich viele Blicke – waren für (fast) jedermann zu erreichen.

VerbindungsabbrĂĽche wegen des Dual-Stack-Betriebs seien deutlich zurĂĽckgegangen, berichtete Yahoos Chefnetzarchitekt Igor Gashinsky bei einem Erfahrungsaustausch zum IPv6-Tag im Rahmen des Treffens der Internet Engineering Task Force (IETF) Ende Juli. Habe man knapp zwei Jahre zuvor rund 0,078 Prozent Verbindungsfehler registriert, seien es inzwischen nur noch 0,022 Prozent, sagte Gashinsky.

Teredo-, sprich Tunnelverbindungen, die als besonders fehleranfällig gelten, hätten keine große Rolle gespielt, meldeten die Ingenieure. Einen deutlichen Anstieg, wenn auch auf niedrigem Niveau, bemerkten die Testteilnehmer bei 6to4-Verbindungen, was allerdings Übertragungskapazität kostet, wie Chris Palmer von Microsoft bemerkte. Tunneling und Address Translation in vielfältigen Spielarten (bei der entsprechenden IETF-Arbeitsgruppe liegen rund 40 Drafts vor) sind die Hauptmechanismen, die die künftige Koexistenz beider Protokolle ermöglichen sollen.

Trotz wertvoller Erfahrungen mit dem Einsatz von Dual Stack: Der Wermutstropfen fĂĽr die Beteiligten war ganz klar, dass der IPv6-Verkehr zwar messbar stieg, sich aber dennoch auf einem sehr niedrigen Niveau bewegte.

Gashinsky bemerkte dazu: „Das war eine Menge Arbeit für 0,229 % IPv6-Nutzer.“ Ähnliche Zahlen meldete Facebook, etwas mehr Google (0,3) und Microsoft (0,5). Die IPv6-affinste Kundschaft tummelte sich auf den Cisco-Webseiten (1,1 %). Im Ländervergleich hatte Frankreich mit 3,4 % IPv6-Verkehr klar die Nase vorne, gefolgt von Japan.

Zu „weniger Angst vor IPv6“ habe der IPv6-Tag zumindest beigetragen, konstatierte Googles IPv6-Experte Lorenzo Colitti, „aber was tun wir, damit die Angst nicht wieder zurückkommt?“ Viele Unternehmen, die ihre Inhalte über beide Protokolle angeboten hatten, sind nämlich nach dem Welttag wieder zu „IPv4 only“ zurückgekehrt.

Colitti verteidigte die Strategie: „Bringt uns mehr User, dann reden wir über die nächsten Schritte“, rief er die Provider auf. Natürlich wäre es gut, neue Dienste gleich ganz über IPv6 anzubieten. Google hat ohne große Ankündigung die IPv6-Verbindung zu YouTube beibehalten. Microsoft beließ sowohl die Xbox-Seiten als auch zune.com bei Dual Stack, und Facebook behielt das neue Protokoll für seine „Developer Site“, damit die Angst vor dem Umstieg nicht zurückkommt.

Angst ist laut Marco Hogewoning, früher Xs4all und heute IPv6-Trainer beim RIPE NCC, einer der entscheidenden Faktoren dafür, dass die Provider nach wie vor zögern. „Alles blickt auf die großen Provider. Wenn eine DTAG den Schalter umlegt, werden andere folgen“, meinte Hogewoning. Er warte nach wie vor darauf, dass Größen wie die Telekom, BT oder KPN IPv6 anbieten.

„Alles geht noch mit IPv4“, sagt Hans-Peter Dittler von der Braintec Consult. Auch wenn IPv6 am Welttag gut funktioniert habe, „es macht zusätzliche Arbeit, erfordert zusätzliches Wissen, erfordert eventuelle zusätzliche oder neue Geräte – und welcher Systemverwalter hat nicht schon ohne IPv6 den Tisch voll?“ Dittler bestätigt aber auch, was viele Experten im Rückblick auf den IPv6-Tag kritisieren: Es ging beim ersten Testflug fast ausschließlich darum, die IPv6-Einführung auf Servern zu demonstrieren. Wie Endkunden IPv6 erhalten, blieb unter dem Radar.

Kinderkrankheiten härten ab

Je nachdem, wie ein Provider es angeht, erhalten die Kunden gar kein IPv6, weil – wie in IPv4 üblich – das Internet Control Message Protocol mächtig gefiltert wird. IPv6, das in viel größerem Maß auf ICMPv6 angewiesen ist als das Vorgängerprotokoll auf ICMP, prallt dann an der Firewall ab.

Die Firewall-Debatte sei mit IPv6 grundsätzlich neu zu führen, und da stehe man noch am Anfang, stellt Gert Döring von der Münchner SpaceNet fest, die frühzeitig auf IPv6 gesetzt hat. Vor allem drei Typen von Herausforderungen gebe es. Die erste – klassische LAN-basierte Angriffe zum Ausspähen von Mitbenutzern – sei kein spezielles IPv6-Problem. „Es gibt allerdings ein paar Produkte, die für IPv4 dagegen etwas tun können.“

Das zweite Problem besteht laut Döring in „vergessenen Firewall-Regeln“. Administratoren nutzen einen ganzen Satz ausgefeilter Regeln für ihr IPv4-Netz, die für IPv6 obsolet oder überarbeitungsbedürftig sind. Entweder verbiete man sonst für IPv6 etwas, das man doch besser zulasse – wie eben ICMP. Oder die Regeln sind für IPv6 viel zu locker, weil es niemand berücksichtigt hat.

Hogewoning erhält in den IPv6-Schulungen viele Hinweise, dass Administratoren sich plötzlich ohne Firewall dastehen sehen – denn die bot bisher immer eine Network Address Translation (NAT), hinter der sich private IPv4-Adressen verbergen ließen. Im Prinzip sind also zwei voneinander unabhängige Regelsätze notwendig, ganz gleich, ob die jeweilige Firewall Regeln abstrahiert oder nicht. „Es ist schlicht die doppelte Arbeit“, beklagt Döring, „und das gilt auch noch für Cisco-Paketfilter.“

Für das dritte Minenfeld bei den Firewalls hält Döring schlicht „unausgereifte Software“. Was für IPv4 in Jahrzehnten der Praxis – einschließlich schlechter Erfahrungen – immer weiter optimiert wurde, ist bei IPv6 noch wenig sturmerprobt. Ein beim RIPE-Treffen im Mai 2011 beschriebener Bug der Betriebssysteme Junos 10.4 und Junos 11 im Zusammenhang mit dem Neighbour Discovery Cache kann etwa bewirken, dass Datenverkehr umgeleitet und ein Router praktisch aus dem Netz geworfen wird.

Nicht nur Filter, Firewalls und NAT erfordern neue Konzepte. Auch im Provisioning hakt es noch, weiß Döring. Gerade Geräte, die IP-Adressen auf besonders schlaue Weise verteilen wollen, tragen dazu bei, dass Multicast nicht funktioniert. Mit PPPOE würde das nicht passieren, doch davon wollten ja eigentlich alle weg. Was Generationen von Entwicklern und Administratoren sorgfältig und mit viel Technik aufgebaut haben, wird damit für den Schritt zu IPv6 zum Stolperstein. Dabei räche es sich, dass viele Geräte ohne Rücksicht auf IPv6 eingekauft wurden. „Der Rollout ist viel zu langsam“, findet Döring.

Die Schweizer IPv6-Expertin und Buchautorin Silvia Hagen beobachtet andererseits einen Trend zu regelrechten IPv6-Panikanfällen. Nach der Ankündigung der RIRs im Frühjahr erlebt sie verstärkt, dass Unternehmen einfach nur schnell mit IPv6 online sein wollen. Das Problem dabei sei, dass die Chance eines Neubaus auf der grünen Wiese vertan werde. Statt etwa ein eigenes, mit den plötzlich nicht mehr knappen Adressen mögliches Adresskonzept zu entwerfen, werde analog zum klassischen IPv4-Konzept vor allem ans Sparen gedacht. Die Unternehmen dürften einfach nicht vergessen, dass sie mit diesen Konzepten „die Grundlage für das Netzwerk der nächsten 30 Jahre“ bauten. Das gelte es sorgfältig und auch mit Blick nach vorn zu planen, „sonst kreiert ihr Euch eine Zwangsjacke,“ sagte Hagen.

Aussitzen funktioniert nicht

Trainer Hogewoning rät ganz ähnlich, jetzt auf jeden Fall mit der Planung für IPv6 zu beginnen: „Wir haben noch ein wenig Zeit, bevor wir gegen die Wand knallen“. Beim RIPE-Treffen in Amsterdam warnte er aber auch, dass besonders in einem schnell wachsenden Geschäft – etwa bei mobilen Diensten – ein weiteres Aussitzen kaum verzeihlich sei. Wer eine nicht mehr so schnell wachsende Kunden- oder Gerätezahl hat, sich in einem saturierten Geschäftsfeld bewege, könne sich noch durch Tunnel und Translation über die Runden helfen.

Eine Knappheit an IPv4-Adressen trägt aber auch dazu bei, dass Providern das notwendige Polster fehlt, das sie für den Übergang benötigen. Den Vorschlag von Google-Ingenieur Colitti, am besten gleich komplett auf „native IPv6“ umzusteigen, IPv6 damit einfach zu halten und mit Dual Stack Lite IPv4 durch IPv6 zu tunneln, beantworteten die am RIPE-Treffen teilnehmenden ISPs nicht gerade mit Begeisterungsstürmen.

Ein weiterer Bremsklotz könnte das immer wieder in Zusammenhang mit IPv6 öffentlich diskutierte Datenschutzproblem sein. Es wird nach Hagens Ansicht zu hoch gehängt: „Das Protokoll hat mehr Möglichkeiten, es ist komplexer und erfordert etwas mehr Zeit im Management“, sagt sie. Komplexität und vor allem die zunehmende Mobilität erfordern neue Sicherheitskonzepte.

Mythen um die Privacy-Frage

Die verbreiteten Bedenken gegenüber der einfachen Rückverfolgung inidividueller Hosts bei Verwendung der MAC- als Teil der IP-Adresse – so hatte es der nicht von Datenschützern entwickelte IPv6-Standard zuerst vorgesehen – haben laut den Experten keine technische Grundlage mehr. Die Privacy Extensions setzen statt der MAC-Adresse eine Zufallszahl ein. Bei Windows ist es die Default-Einstellung. Apple-Nutzer müssen es aber laut Döring selbst einschalten.

In der Handheld-Liga hätten iPad und iPhone schon viel IPv6 gelernt, versichert er. Doch bleibt der Datenschutz naturgemäß ein Dilemma. Das vielgepriesene Ende-zu-Ende-Prinzip lebt davon, dass Client und Server voneinander wissen, unter welchen IP-Adressen sie zu erreichen sind. Döring sieht aber keinen unauflösbaren Widerspruch – je nachdem, woran dem Nutzer gelegen ist, müssten eben verschiedene Adresskonzepte – entweder statisch oder dynamisch – zum Einsatz kommen.

Nicht nur beim Datenschutz gibt es Irrtümer rund um IPv6. Für Döring ist der größte Mythos, dass IPv6 das Netz und damit die Anwendungen beschleunigt. Aus seiner Sicht ist das eine falsche Versprechung. IPv4 und IPv6 unterscheiden sich im Tempo auf keinen Fall voneinander, meint er. Auch, dass Quality of Service dann viel besser funktioniere, sei ein Mythos, so wie das Versprechen, alles werde sicherer. Längst gebe es IPSec etwa auch für IPv4.

Der größte Mythos für Dittler bleibt, „dass IPv6 2011 oder 2013 wirklich kommt“. Es kommt erst dann, sagt er, „wenn die großen Provider es ihren Kunden ohne zu fragen liefern. Und spätestens wenn die ersten Provider IPv6 ohne IPv4 an ihre Kunden ausliefern, dann kommen auch die großen Anbieter von Diensten sofort mit ins Boot.“

Monika Ermert

berichtet seit 10 Jahren ĂĽber Internet-Regulierung, das Domain Name System und IPv6. (un)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten