IPv4 ist tot - es lebe IPv6!

Unser Produktmanager Günter Tschan hat mit Silvia Hagen, Präsidentin des Swiss IPv6 Councils, über die Einführung von IPv6 und das gleichzeitige Ende von IPv4 gesprochen.

Günter Tschan: Von IPv6 redet man seit vielen Jahren schon, die Industrie hat genügend Lösungen gefunden, um den IP-Adress-Kollaps zu verhindern. IPv6 ist also nur noch ein Thema für Provider und Grossbetriebe, richtig?
Silvia Hagen: Nein, das stimmt so nicht. IPv6 ist nicht nur ein Thema für Provider und Grossbetriebe. Auch die Annahme, dass die Industrie genügend Lösungen für das Adressproblem gefunden hat, um den IPv4-Adressraum so weit auszudehnen, dass wir dafür IPv6 nicht brauchen, ist falsch.

Die Industrie hat mit NAT und CGN (Carrier Grade NAT) Lösungen zur Ausdehnung des Adressproblems gefunden. CGN ist de facto nichts anderes als mehrere NAT Layer hintereinander geschalten. Das heisst, heute hat im typischen Fall ein Kunde intern ein mit privaten Adressen adressiertes Netz für eine Mehrzahl von Usern. Gegen aussen ist er mit einer öffentlichen IPv4-Adresse verbunden.
Setzt der Provider des Kunden CGN ein, weil er nicht mehr genügend IPv4-Adressen hat, um seine Kundenbasis ausbauen zu können, so weist er dem Kunden auch gegen aussen nochmals eine private IPv4-Adresse zu. Gegenüber dem Internet verbindet er nun mehrere Kunden mit einer öffentlichen IPv4-Adresse.

Führt diese Architektur nicht zu Problemen?
Diese Architektur kann in der Tat zu verschiedenen Problemen führen. Zum einen kann sie schlecht skalieren, wenn der Provider zu viele Kunden hinter einer IPv4-Adresse aufschaltet. Das CGN Gateway unterscheidet die Kundenverbindungen via Portmappings. Ein Gateway hat eine limitierte Zahl von Ports. Unsere Applikationen und Internetdienste werden zunehmen porthungrig. Ein kleiner Haushalt mit drei bis vier Usern braucht schon gerne mal rund 500 Ports für Standardapplikationen wie Yahoo, Facebook und E-Mail. Sitzen zu viele Kunden hinter der öffentlichen IPv4-Adresse, so hat das Gateway unter Umständen zu wenige Ports.

Was bedeutet das konkret für die Anbieter von Applikationen?
Die Schwierigkeit für Anbieter von Websites, Onlineshops oder E-Banking-Systemen ist, dass sie einerseits Kunden und allenfalls Umsatz verlieren, sich die Kunden andererseits aber nicht bewusst sind, dass es am Provider und am CGN liegt; davon wissen sie nämlich gar nichts, wenn sie nicht nachfragen. Sie werden denken, der Betreiber der Website hat ein Problem.

Der andere kritische Aspekt ist die Sicherheit. Mehrere Kunden sind nun im Internet mit einer IPv4-Adresse sichtbar. Ist diese IPv4-Adresse einer Attacke ausgesetzt, sind alle Kunden betroffen. Wird diese IPv4-Adresse auf Blacklists gesetzt, sind ebenfalls alle Kunden betroffen. Weiter führt es auch dazu, dass Statistiken, Geolocation oder Business Analytics nicht mehr funktionieren.

IPv4 ist also am Ende?
IPv4 ist End-of-life. IPv6 ist das zukünftige Internet-Protokoll. Wir müssen IPv4 nicht abschalten, aber wir können es nicht zum Weiterausbau des Internets einsetzen. Also müssen alle früher oder später IPv6 einführen. Für meine externen Dienste mache ich das so schnell wie möglich, damit ich von aussen für jeden gut erreichbar bin. Intern kann ich mir etwas mehr Zeit lassen. Dort versuche ich die Kosten zu optimieren, indem ich die Lebenszyklen meiner Dienste und Produkte ausnütze und die Einführung von IPv6 mit anderen IT-Projekten synchronisiere.

Kann ich denn mit IPv6 mehr erreichen, als nur die Adressproblematik zu entschärfen?
Ja, IPv6 löst nicht nur das Adressproblem nachhaltig, es wurde auch sonst optimiert, um den Anforderungen in unseren Netzwerken besser gewachsen zu sein.

Sicherheit ist ein grosses Problem bei IPv6 – so jedenfalls hört man dies oft in Diskussionen. Ist da was dran?
Nein, da ist nicht viel dran. IPv6 hat dieselben Sicherheitsmechanismen wie IPv4. Die Art der Attacken wird sich auch nicht wesentlich verändern. Was heute neu ist, ist, dass IPv6 zum Teil neue Mechanismen hat, die ausgenützt werden können. Die Sicherheitskonzepte, Tools und Firewalls müssen einfach lernen, die neuen Mechanismen wirkungsvoll zu schützen. Um ein konkretes Beispiel zu nennen: Wenn wir uns in IPv4-Netzwerken davor schützen mussten, dass jemand mit einem DHCP Server unsere Clients falsch konfiguriert, ihnen ein falsches Default Gateway oder einen falschen DNS Server unterschiebt, so ist das auch mit IPv6 möglich, nur kann ein Angreifer das bei IPv6 nicht nur via einen DHCPv6 Server versuchen, sondern er kann dafür Router Advertisements aus der Neighbor Discovery benützen, welche für die Autokonfigurations-Möglichkeiten von IPv6 entwickelt wurden. Und als Sicherungsmechanismen haben wir IPSec, genau wie bei IPv4.

Wir müssen uns bei all diesen Diskussionen um Security auch bewusst sein, dass die gefährlichsten Attacken häufig nicht auf der IP-Ebene passieren, sondern auf höheren Ebenen, indem Malware via Websites, Files oder E-Mails in unser Netzwerk kommen und sich dort viral verbreiten und Schaden anrichten. Security-Analysen zeigen auch, dass viele gefährliche Angriffe und Datenklau intern passieren. Davor können wir uns mit dem dichtesten Security-Konzept am Übergang von unserem Netzwerk zum Internet nicht schützen.

Das Internet of Things soll massives Wachstum an Internet-fähigen Geräten mit sich bringen. Ist das so, sind da die «alten» Ansätze überfordert?
Ja das ist richtig. Immer mehr Produkte, vom Kühlschrank über das Auto, Health Care, Gebäudemanagement bis hin zum Flottenmanagement werden auf IP-basierter Technologie entwickelt. An einem unserer letzten IPv6-Kongresse des Swiss IPv6 Councils hörten wir eine Präsentation der IBM-Forschung über die Smart Cities der Zukunft. Für dieses Wachstum braucht es IPv6.

Eine letzte, persönliche Frage: Muss mir meine Waschmaschine wirklich in Zukunft per E-Mail mitteilen können, wann der Schleudergang beendet ist?
<lacht> sie wird es können. Ob du willst, dass sie es tut, solltest du konfigurieren können. Wenn du spät nachts aus dem Ausland zurückkommst, bist du vielleicht auch froh, wenn dir dein Kühlschrank ein Joghurt zum Frühstück bestellt hat.