Wachablösung

Über IPv6 berichtet iX seit 1994. Heute, siebzehn Jahre später, gibt es bei der Internet Assigned Numbers Authority (IANA) keine IPv4-Adressen mehr, die man verteilen könnte. Jeder, der ein Netz betreibt, sollte spätestens jetzt anfangen, sich Gedanken über eine Migration zu machen. Für den Administrator heißt das unter anderem, den Inhalt seiner Werkzeugkiste auf IPv6-Tauglichkeit zu prüfen und gegebenenfalls alte Tools zu aktualisieren oder neue hinzuzufügen.

Unentbehrlich bei der Fehlersuche im Netz sind Monitore wie wireshark und tcpdump (siehe Kasten „Onlinequellen“). Die aktuellen Versionen Wireshark 1.4 und Tcpdump 4.x können IPv6-Pakete beobachten. Ebenfalls hilfreich ist ein Tool wie etherape, das das Geschehen im Netz grafisch darstellt – leider zurzeit nur unter Linux/Unix. Das Programm erlaubt es, die eingehenden Pakete zu filtern, und versteht dieselben Filterausdrücke wie tcpdump und der „Capture Options“-Dialog von wireshark. Mit ip und ip6 etwa kann der Nutzer sich nur Pakete des alten respektive neuen Internet-Protokolls anzeigen lassen.

Unterhaltungen in der Nachbarschaft

Spezialisierte Scanner für das Address Resolution Protocol (ARP) darf der Administrator vergessen: IPv6 verwendet einen neuen Mechanismus namens Neighbor Discovery, der sich des ICMPv6-Protokolls bedient. Letzteres bildet außerdem die Grundlage für das automatische Erkennen von Routern und Zuweisen von IPv6-Adressen (Stateless Address Autoconfiguration). Unter Linux oder Unix lässt sich die Neighbor Discovery mit ndisc6 testen. Zum selben Paket gehören das Programm rdisc6 zum Überprüfen der Router Discovery sowie IPv6-Varianten der bekannten Werkzeuge traceroute und tcptraceroute. Die beiliegende Variante von tcpspray lässt sich zum Messen des Durchsatzes nutzen; aussagefähigere Ergebnisse dürften jedoch IPv6-fähige Benchmarks wie iperf oder netperf liefern.

Das klassische ping versteht kein IPv6. Ein mehr als adäquater Ersatz ist oping. Es versteht beide Versionen des Internet-Protokolls und kann obendrein wie fping mehrere Rechner gleichzeitig „pingen“ – oder denselben unter verschiedenen Adressen. Die Variante noping besitzt ein ncurses-Interface und zeigt neben den Antworten der Rechner eine laufend aktualisierte statistische Auswertung an.

Tunnel zwischen den IP-Welten

Verbindungstests auf höherer Ebene erlaubt nc6, ein IPv6-fähiger Klon des bekannten netcat-Tools. Es eignet sich außerdem zum Ad-hoc-Tunnelbau zwischen den beiden Internet-Welten. Permanente Übergänge – etwa für ältere Server, die nur IPv4 sprechen, aber per IPv6 erreichbar sein sollen – erstellt man jedoch besser mit geeigneten Proxies wie Delegate, dem HTTP-spezifischen ffproxy oder einem sogenannten NAT64-Gateway wie Ecdysis, TAYGA oder Microsofts Forefront Unified Access Gateway (UAG). Für Letztere hat die IANA den bislang ungenutzten IPv6-Adressbereich 64:ff9b::/96 reserviert; den Übersetzungsmechanismus von IPv4- in IPv6-Adressen beschreibt RFC 6052.

Selbstverständlich gehören in die Toolbox des Netz-Admins Werkzeuge für Sicherheitstests. Rechner, die im IPv4-Netz per Firewall, Paketfilter oder NAT-Router gut geschützt sind, können für Angreifer, die per IPv6 reisen, offen stehen wie die sprichwörtlichen Scheunentore. Wer keinen Schwachstellen-Scanner wie Nessus einsetzt, sollte zumindest ein Brot-und-Butter-Tool wie nmap oder eine Live-CD wie BackTrack Linux parat haben – und sie nutzen, bevor er Rechnern im lokalen Netz erlaubt, per IPv6 mit der Außenwelt zu kommunizieren.

Links zu diesem Artikel (mr)