Erfolgszwang

Kritisch betrachtet ist IPv6 bisher nicht gerade eine Erfolgsgeschichte, und das bezieht sich nicht nur auf seine äußerst zähe Einführung, sondern auch auf die zahlreichen Ungereimtheiten, die es enthält. Stellenweise erweckt das renovierte Protokoll den Anschein, dass die Designer wenig aus den Fehlern der Vergangenheit gelernt haben, besonders unter Sicherheitsaspekten. Obwohl IPv6 im Vergleich zu IPv4 fraglos zahlreiche nützliche Neuerungen enthält, lösen einige vermeidbare Fehlgriffe immer wieder Kopfschütteln aus. Dazu gehören überlappende Fragmente oder Source Routing, die zunächst zulässig waren und schließlich doch wieder verschämt untersagt wurden. Dies ist ungeschickt und ärgerlich, weil die damit einhergehenden Sicherheitsprobleme bereits von IPv4 her bekannt waren.

Aus Sicherheitssicht erweist sich auch die Forderung als tückisch, beliebige Header-Erweiterungen zuzulassen. Ein wenig Ordnung hätte nicht nur deren Verarbeitung vereinfachen und beschleunigen, sondern auch konkretere Anhaltspunkte für sinnvolle Filterstrategien geben können. Risiken bergen vor allem die TLV-codierten Erweiterungen Hop-by-Hop und Destination Options, die viel Raum für eine „kreative Nutzung“ lassen. Bei allem Verständnis für dieses Design steht schon jetzt fest, dass es bis auf Weiteres eine Herausforderung bleibt.

Im Vergleich dazu fallen die Ecken und Kanten bei der Neighbor Discovery (ND) kaum auf. Diverse neuere RFCs haben sie nach und nach ausgebügelt, doch auch hier lauert ein kapitaler Bock: IPsec soll die ultimative Absicherung der ND bringen. Dumm nur, dass ein skalierbares Schlüsselmanagement mittels Internet Key Exchange bereits etablierte IP-Adressen erfordert – die Duplicate Address Detection der ND wird man so nicht sichern können. Verschiedene ND-Mechanismen erfordern zudem Multicasting, mit dem IPsec nicht gut zusammenspielt. Auch SEND und CGA (als Ersatz für IPsec zur Absicherung der Neighbor Discovery) machen keinen durchdachten Eindruck.

Kryptografie ist nicht alles

Apropos IPsec: Aus Sicht der Protokolldesigner scheint es geradezu ein Allheilmittel gegen Sicherheitsschwächen zu sein, wie die zahllosen Verweise darauf nahelegen. Allein die oben genannten Beispiele zeigen, dass diese Sicht getrübt ist. Ein bisschen mehr Robustheit aus Sicht des Protokolldesigns wäre sicher sinnvoller gewesen, als sich pauschal, aber unüberlegt auf kryptografische Methoden zu verlassen.

Leichte Verzweiflung kommt auch bei der Betrachtung der Vergabe von Adressblöcken auf. Der Bereich 2000::/3 wird großzügig als global routbar erklärt – was aber leider nur bedingt stimmt: Definitiv nicht routbare Adressblöcke wie Documentation (2001:db8::/32) oder ORCHID (2001:10::/28) sind ausgerechnet unter 2000::/3 zu finden. Auch andere Sonderbereiche sind dort fehl am Platz.

Einige der Defizite werden als Erbe aus der Anfangszeit für lange Zeit erhalten bleiben, andere sicherlich durch zukünftige RFCs gemildert. Da kommt der Wunsch nach IPv6.1 auf, nach einem RFC, das die bisherigen Updates und Patches zu RFC 2460 konsolidiert. Die Liste der IPv6-Standards und Ergänzungen dazu ist lang und selbst Experten verlieren leicht den Überblick. Bei der Gelegenheit könnte man sich auch gleich von den weniger gelungenen, ohnehin praxisfernen Konstrukten trennen.

Ein durchdachteres und brauchbareres Gesamtdesign wäre sicher auch für die Praktiker überzeugender gewesen, sich rechtzeitig ernsthaft mit dem Umstieg auseinanderzusetzen. Die Flut an RFCs zu IPv6 erweckt bisweilen den Eindruck, IPv6 werde nicht entworfen, sondern zusammengebastelt. Kein Wunder, dass viele IT-Verantwortliche immer noch zögern. Dabei wäre eine baldige Beschäftigung mit IPv6 angebracht. Seit etwa 2011 gilt es – allen Defiziten zum Trotz – als reif für den produktiven Einsatz. Zudem verschärft sich die Adressknappheit bei IPv4 zusehends, sodass sich nun viele Provider tatsächlich mit IPv6 auseinandersetzen. Speziell für deren Geschäftskunden mangelt es aber weiterhin an technisch wie preislich attraktiven IPv6-Angeboten.

Das Fazit zum fünfzehnten Geburtstag fällt durchwachsen aus: IPv6 hat viel erreicht und bekommt auch in der Praxis langsam Schwung, aber es gibt noch viel zu tun. Es bleibt zu hoffen, dass die anstehenden Aufgaben mit mehr Weitblick bewältigt werden als bisher. Zum Zwanzigsten wird das Internet ein anderes sein als heute; IPv6 wird IPv4 überrundet haben. Werden die Kanten bis dahin noch geglättet und poliert, bestünde dann auch eine Aussicht darauf, IPv6 mit gutem Gefühl als Erfolgsgeschichte zu feiern.

Dr. Safuat Hamdy

ist Consultant bei der Secorvo Security Consulting GmbH und Koautor des im Oktober 2013 erschienenen IPv6-Sonderhefts der iX. (un)