Das neue Internet mit IPv6 – Was bedeutet das? – Gastbeitrag von Marc Heuse

IPv6 ist schon länger ein schwieriges Thema. Noch bis vor einem Jahr waren sich viele sicher, dass es nicht kommen würde. Seitdem aber Ende 2010 bekannt wurde, dass die IPv4-Adressen bald ausgehen und Anfang 2011 sogar die Tagesschau über die Vergabe der letzten Netzbereiche an die Registrare berichtete, herrscht Verunsicherung. Kommt IPv6 jetzt wirklich, wenn ja wann, was ändert sich, und wie ist es mit der IT-Sicherheit?

Es gibt fünf Registrare, die für jeweils einen Bereich der Welt für die Vergabe der IP-Netze zuständig sind. Für Europa ist dies das RIPE mit Sitz in den Niederlanden. Noch verteilt RIPE an Internet Service Provider (ISP) Netze aus den letzten Beständen, doch gab das RIPE bereits bekannt, dass bei gleichbleibendem Verbrauch zwischen Herbst und Winter dieses Jahres die letzten vorhandenen Netze vergeben sein werden. Die ISPs besitzen zwar dann noch Adressbereiche für ihre Kunden, die werden aber je nach Vergabepraxis und Bedarf schneller oder langsamer zu Neige gehen. So kann es sein, dass ein ISP Anfang 2012 bereits keine freien IPv4-Netze mehr besitzt, ein anderer jedoch noch über ausreichende Reserven verfügt.

Endkunden werden mit IPv6 ausgestattet

Nächstes Jahr wird es also eng für Firmen die mehr IP-Adressen benötigen. Doch wie sieht es im Endkunden – also DSL-Bereich aus? Wachstum ist nur möglich bei mehr Adressen, das heißt hier wird es besonders eng. Daher beginnt die Deutsche Telekom diesen Sommer mit der Ausrollung von IPv6 an Neukunden von DSL-Anschlüssen – zusätzlich zu IPv4. Mit dem ehrgeizigen Ziel, bis Ende 2011 auch alle Bestandskunden mit zusätzlichem IPv6 zu versorgen. Und die großen ISPs lassen auch nicht auf sich warten. Mit anderen Worten: Beginnend mit diesem Sommer werden Endkunden mit IPv6 ausgestattet.

Ist ein Ziel über IPv6 und IPv4 erreichbar, so versucht der PC zuerst die IPv6-Adresse. Wie bei jeder Umstellung gibt es Probleme, so wird manchmal IPv6 und manchmal IPv4 nicht funktionieren. Wer also als Hauptkunden Privatpersonen mit DSL-Anschlüssen besitzt, sollte daher besser noch diesen Sommer beginnen, IPv6 einzuführen, damit bei Störungen im IPv4-Bereich die Kunden noch auf ein Angebot zugreifen können. Konkurrenten, die IPv6 nicht eingeführt haben, schauen dann nämlich in die Röhre.

Doch wie und wo führt man IPv6 ein? Für die nächsten Jahre sollte IPv6 allein im Frontend eingesetzt werden! Das heißt auf dem Webserver und anderen Servern mit denen die Kunden direkt kommunizieren – aber auf keinen anderen Servern.

Auf dem Webserver sollte die bewährte IPv4-Infrastruktur genutzt werden

IPv6 ist zwar bereits über 15 Jahre alt, doch ist die Unterstützung in Applikationen und Firewalls nicht gerade weit vorangeschritten. Zudem ist die Sicherheit von IPv6 nicht besser als IPv4 sondern gerade mal ungefähr gleichwertig. Allerdings liegen noch viele Implementierungsfehler in den Systemen begraben. Daher sollten die IPv6-Systeme getrennt von den IPv4-Systemen betrieben werden. Es wird also eine dedizierte IPv6-Firewall benötigt und auch der Webserver sollte – wenn möglich – dediziert für IPv6 sein. Vom IPv6 Webserver aus sollte jedoch die bewährte IPv4-Infrastruktur zu internen Systemen genutzt werden, und zum Beispiel die Verbindung zum Datenbankserver über IPv4 erfolgen. Im IPv4-Webserver sollte darüber hinaus sichergestellt werden, dass IPv6 deaktiviert ist, da fast alle Betriebssysteme wie Linux und Windows IPv6 automatisch aktiviert haben.

Im internen Netz hat IPv6 die nächsten Jahre nichts zu suchen. Die Unterstützung ist in vielen Applikationen noch mangelhaft – falls sie überhaupt vorhanden ist. Und eine unsachgemäße Konfiguration kann die Verfügbarkeit des ganzen Netzwerks stark beeinträchtigen. Hier ist auf Seiten der Hersteller noch sehr viel zu tun, zudem muss noch eine Menge Erfahrung gesammelt werden. Denn IPv6 ist nicht nur wesentlich komplexer als IPv4, sonder es gibt auch kaum Erfahrungen welche Verfahren effizient sind und welche Probleme noch lauern.

In den nächsten Jahren wird sich zeigen, wie gut IPv6 funktioniert. Die Chinesen haben für so eine Situation einen Fluch: “May you live in interesting times” – “mögest du in interessanten Zeiten leben”.  Machen wir also das Beste daraus.

Zur Person
Marc Heuse ist selbstständiger IT-Sicherheitsberater und einer der wenigen internationalen Fachleute für IPv6-Sicherheit. Bereits seit 13 Jahren ist er Berater für IT-Sicherheit und forscht schon seit 2004 im Bereich IPv6-Sicherheit. Über seine Forschungsergebnisse referierte Heuse bislang auf allen wichtigen IT-Sicherheitskonferenzen. Darüber hinaus führt Heuse Penetrationstests, Webapplikationsprüfungen und forensische Analysen durch.