Bundeswehr verzichtet auf NAT

Im IPv6-Netz der deutschen Bundeswehr wird es keine Network Address Translation (NAT) geben. Für diesen Plan erntete Jörg Wellbrink vom Bundesverteidigungsministerium beim RIPE-Treffen in Rom spontanen Applaus. Wellbrink berichtete von den ersten Tests (PPT-Dokument) mit dem /30-IPv6-Block der Bundeswehr. Ein Ping über alle Kommunikationssatelliten habe man schon erfolgreich bis hinunter zu den Funkgeräten geschickt. Eine Menge Arbeit stehe allerdings noch bevor, sagte Wellbrink.

Aktuell arbeite man bei der Bundeswehr unter anderem an der Frage, wie im neuen Netz die Ende-zu-Ende-Sicherheit herzustellen ist, berichtete Wellbrink. Dazu liefen mehrere externe Studien. Der Einsatz von dedizierten IPv6-Adressen und der Verzicht auf NATs soll künftig nicht zuletzt die Kommunikation in Ad-Hoc-Netzen im Einsatz erleichtern. Häufig habe man bei Übungen feststellen müssen, dass Adresskonflikte wegen sich überschneidender privater IPv4-Adressen in den Netzen der Bündnispartner auftraten.

Die Studien zur Ende-zu-Ende-Sicherheit sollen auch Antworten dazu liefern, wie die verschiedene Lösungen beim Aufbau von Ad-Hoc-Netzen mit den Bündnispartnern in der NATO eingesetzt werden könnten. "Wir werden dabei kaum auf deutsche Sicherheitssysteme setzen. Denn ich glaube nicht, dass wir die USA dazu bewegen können, unsere Systeme zu kaufen", sagte Wellbrink. Nach Partnern für erste Tests mit IPv6 halte man im Bündnislager übrigens auch bereits Ausschau, sagte Wellbrink. Er bedauerte, dass andere NATO-Partner nicht an den RIPE-Treffen teilnehmen.

Die Koordinationsarbeit bei der NATO beim Thema IPv6-Netze sei noch ganz am Anfang, sagte Wellbrink. Erste Diskrepanzen, etwa in der Adressierungspolitik, sind aber schon absehbar. Ein US-Soldat soll so mit einem /48-Block versorgt sein, bei der Bundeswehr denkt man an /56. Mehr Unterstützung für IPv6 vom Markt, ein Dauerthema beim RIPE, wünscht sich auch die Bundeswehr. Ein Rückschlag im eigenen IPv6-Projekt sei auch dadurch entstanden, dass bei einem Dienstleister noch enorm nachgerüstet werden muss, mit IPv6-fähiger Ausrüstung.

Constanze Bürger vom Innenministerium unterstützte entschieden den slowenischen Vorstoß für einen IPv6-Anforderungskatalog für Hardware, Software, Dienste und Systemintegratoren. "Wir brauchen das dringend", sagte sie. Der auf Anfrage der slowenischen Regierung entwickelte Katalog soll demnächst auch als RIPE-Empfehlung (PPT-Dokument) verabschiedet werden. Bürger gab ein Update (PPT-Dokument) zur Arbeit am IPv6-Netz für Deutschland Online Infrastruktur (DOI), bei dem aktuell die letzten Tests für die IPv6-Tüchtigkeit von Firewalls, Verschlüsselungssystemen und Diensten im Dual Stack Netz laufen.

Über DOI sollen sich ab Februar Länder und Kommunen ans IPv6-Netz anschließen können. Sie bekommen über das Innenministerium, das sich einen großen /26-IPv6-Adressblock vom RIPE hat zuteilen lassen, jeweils eigene IPv6-Adressbereiche. Eine Arbeitsgruppe von Bund, Ländern und Kommunen ebnete dem Projekt laut Bürger seit rund einem Jahr erfolgreich den Weg, sagte Bürger. Wie DOI, das der Bund-Länder-Kommunikation dient, und die Netze des Bundes (NDB), die der Kommunikation der Ministerien dienen, künftig integriert werden, ist noch offen. Auch dafür stellen sich laut Bürger wieder Sicherheitsfragen, da unterschiedliche Sicherheitsstandards für beide Netze gelten. (vbr)