IPv6-Adresse: die Qual der Wahl

2 Kommentare Drucken

Jeder, der schon einmal eine Umstellung von IP-Adressen durchlebt hat, weiß um den damit verbundenen Horror. Jeder, der schon einmal eine Umstellung von IP-Adressen durchlebt hat, möchte das nie wieder. Darum ist die Frage nach der richtigen Präfix-Wahl bei IPv6 wohl auch die am meisten und emotionalsten geführte Diskussion in unseren Kursen.

„Nicht noch ein Artikel zum Thema IPv6-Adressen“ mag sich so mancher jetzt denken. Doch während die meisten Artikel dieses Thema eher technisch angehen, stellt dieser die Fragen nach den Vor- und Nachteilen der verschiedenen Präfixe. Seien sie nun Unique, Local oder Global. Da die Varianten vielfach eher emotional diskutiert werden, tut es Not, ein wenig Objektivität in die bevorstehenden Entscheidungen zu bringen. Und so mag am Ende des Artikels für so manchen ein überraschendes Ergebnis stehen.

Bei der Auswahl des Adresstyps gibt es einige Aspekte zu beachten:

  • Wegfall von NAT
    Dass NAT von IPv6 nach IPv6 nicht mehr möglich sein wird, hat zur Folge, dass private Adressen wie bei IPv4 nicht mehr existieren. Das hat Konsequenzen für das Design von DMZs: Für jede Anwendung, die eine Kommunikation zwischen internem Netz und dem Internet voraussetzt, werden künftig applikationsspezifische Gateways benötigt. Ein schlichtes Austauschen der IP-Adresse im IP-Header ist nicht mehr möglich.
  • Sicherheit
    Private IP-Adressen werden nicht nur aus Gründen der Adressknappheit, sondern auch der Sicherheit wegen genutzt. Ein Wechsel zu IPv6 sollte hier keine neuen Sicherheitslöcher öffnen.
  • Zukunftssicherheit
    Ein Renumbering der internen IP Adressen macht keinen Spaß. Und wenn man sich die IPv6-Adressen ansieht, beschleicht einen das Gefühl, dass es noch weniger Spaß machen wird als bei Version 4. Wenn man sich heute für eine Adressvariante entscheidet, möchte man sicher sein, dass diese sehr lange genutzt werden kann.
  • Skalierbarkeit
    Ein IP-Design muss so angelegt sein, dass genügend Reserven vorhanden sind, den Bedarf für sehr lange Zeit zu decken, ohne dass es substantiell geändert werden muss. An jedem Standort, für jedes Gebäude, auf jeder Etage müssen genügend „freie“ Netze vorhanden sein, um künftigen Techniken bei Bedarf zur Verfügung gestellt zu werden, so wie das in der Vergangenheit für WLAN- und VoIP-Netze notwendig war.

Die weitaus größere Anzahl von IPv6-Netzen sollte es eigentlich ermöglichen, zumindest die beiden letzten Punkte einfach zu erreichen. Trotzdem muss man beide bei der Planung immer im Hinterkopf haben, da bereits Planungen gemacht wurden, die entweder so verschwenderisch waren, dass die zugewiesenen IPv6 Netze nicht ausreichten oder so knapp, dass die Skalierbarkeit nicht gegeben war. Ein gesundes Augenmaß ist hier gefragt!

Wie viele Netze einem zur Verfügung stehen und ob in jedem Fall ALGs oder Prox-ies für den Übergang ins Internet notwendig sind, ist davon abhängig, für welche Art von Netzwerkadresse man sich entscheidet.

Adressen
Bei IPv4 gab es zwei „legale“ und eine halbseidene(1) Möglichkeit für interne IP Adressen. Legal nutzte man entweder zugewiesene, global gültige IP-Adressen oder private, die im RFC 1918 festgelegt sind.

Situationsanalyse
Unternehmensintern sind die privaten Adressen wohl am meisten verbreitet. Für die Kommunikation mit Partnern und dem Internet wurde NAT genutzt. Dieses Vorgehen hat einige Vor- und Nachteile:

Vorteile

  • Adressknappheit
    IPv4 Adressen sind schon lange Mangelware. Kaum ein Unternehmen verfügt über ausreichend Adressen, um alle internen Systeme mit öffentlichen IP Adressen zu versorgen. Und wenn doch sind sie so knapp bemessen, dass ein sauberes IP-Design kaum möglich ist.Das 10er-Netz mit seinen rund 65.000 Class-C-Netzen bzw. fast 17 Mio. Adressen bot einen komfortablen Ausweg.
  • Keine Umnummerierung bei Providerwechsel
    Nur wenige haben das Glück, öffentliche IP-Adressen nutzen zu können, die sie nicht von ihrem Provider zugewiesen bekommen haben. Das bedeutet jedoch, dass ein Providerwechsel zwangsläufig zu einer Umnummerierung aller Systeme mit öffentlichen IP Adressen führt.Die Nutzung privater IP-Adressen im internen Netz reduziert den Aufwand auf wenige Server in der DMZ, Internet-Gateways und Firewalls.
  • Sicherheit
    Häufig angeführt wird der Sicherheitsaspekt der Sicherheit privater IP Adressen: da sie im Internet nicht geroutet werden, können interne Systeme nicht ohne weiteres adressiert und direkt angegriffen werden.
  • Usertracking
    Da NAT die „echte“ IP-Adresse verbirgt, kann ein User / ein Gerät nicht identifiziert werden und damit kann er sich ano-
    nym im Internet bewegen … so ein weit verbreiteter Aberglaube.
  • Plug’n’Play
    Hersteller von Heimroutern können DHCP-Server für die Verteilung von privaten IP-Adressen auf ihren Geräten vorkonfigurieren. Dadurch sind „Plug’n’Play“-Heimnetze für den Massenmarkt möglich.

Nachteile

  • Doppelte IP-Adressen
    Jeder der schon mal eine Firmenfusion mitgemacht hat, kennt das Problem: Doppelte IP-Adressen. Nahezu jedes Unternehmen nutzt das 10er-Netz und fängt bei den Subnetzen bei 1 an zu zählen. Damit sind bei Fusionen oft in beiden Unternehmen dieselben IP Netze vergeben. Die Probleme sind vorprogrammiert, ein schnelles Ändern der IP-Adressen ist häufig nicht möglich. Als Lösungen stehen nur Krücken zur Verfügung, die die Betreiber der notwendigen NAT+DNS-Konstruktionen in die Verzweiflung treiben.
  • Eingeschränkte Kommunikation
    Nicht erst seit VoIP, Telekonferenzing und Instant Messaging gibt es Anwendungen, die eine Any-to-Any Kommunikation voraussetzen. Also die Erreichbarkeit interner Geräte von außen. Mit NAT sind diese Anforderungen entweder nur schwer oder gar nicht umzusetzen. Meist bleibt nur der Ausweg Gateways zu nutzen, die jedoch stets anwendungsspezifisch sind. Beispiele dafür wären Session Border Controller und Application Layer Gateways bei VoIP.
  • Scheinsicherheit
    Kein ernst zu nehmender Sicherheitsexperte behauptet, dass NAT ein Sicherheitsmechanismus ist. Skype & Co demonstrieren eindrucksvoll, wie man eine Firewall durchtunneln kann und mit Teredo hat Microsoft gleich eine Möglichkeit geschaffen, ein ganzes Layer-3-Protokoll – nämlich IPv6 – und alles was es transportiert durch NAT-Gateway in beide Richtungen zu tunneln(2).
  • Usertracking
    Jeder der Google oder Amazon nutzt, sollte sich keine Sorgen darüber machen, ob man ihn über seine IP-Adresse identifizieren kann. Es gibt weitaus elegantere Möglichkeiten (3).

Unique Local
Die Schöpfer von IPv6 wollten die aus ihrer Sicht wesentlichen Vorteile beider Welten zusammenbringen: kein Renummerierung weder bei Providerwechsel noch bei Firmenfusionen. Dazu wurden die Unique Local Adressen, kurz ULA, erfunden. Das von RFC 4193 dafür vorgesehen Präfix ist fc00::/7, also alles was mit „fc“ oder „fd“ beginnt. Wie die privaten Adressen von IPv4 werden auch diese Adressen im Internet nicht geroutet. Formal bauen sie sich wie in Bild 1 dargestellt auf.

Für jedes ULA-Präfix gibt es somit 216 Subnetze, also 65.536, was der Anzahl von Class-C-Netzen im 10er-Netz entspricht. Wer damit nicht auskommt, kann weitere ULA Präfixe generieren.

ULAs soll es in zwei Ausprägungen geben:

  1. Global administriert: fc00::/8
    Die Idee ist es, analog zu den Registrars für öffentliche geroutete IP-Adressen: auch ULAs zentral und somit weltweit eindeutig zu vergeben. Damit könnte sichergestellt werden, dass bei Fusionen oder bei der Kommunikation mit Partnern keine Adressen doppelt vergeben sind.
    So charmant diese Idee auch ist, sie ist Science Fiction: Weder gibt es einen solche zentrale Registratur noch gibt es einen RFC, der sich damit befasst. Der letzte entsprechende Internet-Draft ist am 10.07.2010 ausgelaufen und wurde nicht erneuert.
  2. Zufällig erzeugt: fd00::/8
    Statt eines Zentralregisters setzt die zweite Variante von ULAs auf einen Zufallsalgorithmus. Man hofft, dass 240 ,
    also rund eine Billionen ULA Präfixe ausreichen, um es hinreichend unwahrscheinlich zu machen, dass eines mehrfach erzeugt wird. Und selbst wenn das passieren sollte, kommt es erst dann zu Problemen, wenn diese beiden Netze/Unternehmen auch direkt miteinander kommunizieren wollen. Sprich per VPN oder direkter Leitung.

Fassen wir zusammen, was mit ULAs erreicht wurde und was nicht:

Pro

  • Firmenfusion und Providerwechsel
    In beiden Fällen müssen internen Systemen keine neuen Präfixe zugewiesen werden.
  • Netzdesign
    Es stehen ausreichend Präfixe für ein skalierbares und zukunftssicheres IP- Design zur Verfügung
  • Sicherheit
    Durch den Wegfall von NAT müssen bei IPv6 applikationsspezifische ALGs bzw. Proxys eingesetzt werden. Ein Durchtunneln mittels NAT Traversal der Firewall ist somit nicht mehr so ohne weiteres möglich.

Contra

  • Sicherheit
    ULAs bringen allerdings wenig echte Sicherheit, da bereits jetzt viele Tunnel auf HTTP als Trägerprotokoll basieren. Trotzdem bietet ein Proxy auch in diesen Fällen mehr Sicherheit als eine „NAT Firewal“. (vgl. Bild 2)
  • Anwendungen, für die keine Proxys / ALGs existieren
    Es gibt Anwendungen, für die keine ALGs bzw. Proxys existieren.
  • Künftige Entwicklung von P2P-Anwendungen
    IPv6 ermöglicht es – wieder –, P2P-Anwendungen ohne NAT Traversal Mechanismen zu entwickeln. Auch wenn wir uns heute noch nicht vorstellen können, was das sein wird: Sie werden kommen. Mit ULAs verhindert man deren Einsatz. In Zeiten von Unified Communications, SIP und globaler Erreichbarkeit sollte man sich gut überlegen, sich von diesen Entwicklungen von vornherein auszuschließen.

Globale Adressen
Globale Adressen werden im Internet geroutet. Anders als bei IPv4 ist dafür bislang nur ein kleiner Teil reserviert. Konkret handelt es sich um das Präfix 2000::/3, also alles von 2000:: bis 3fff::. Das sind 261 Präfixe, also rund 2 Trillionen; umgerechnet fast 330 Millionen pro Person. Diese Präfixe sind in verschiedene Bereich aufgeteilt, wie die Vergabe an Provider oder spezielle Tunnelmechanismen bspw. 6to4.

Als Unternehmen hat man zwei Möglichkeiten an öffentliche IP-Adressen zu kommen: Entweder bekommt man sie aus dem Adresspool des eigenen Providers oder man beantragt eine „provider-independent address“ – eine Provider-unabhängige Adresse, kurz „PI“ genannt.

Route Aggregation
Die einfachste Methode, an ein IPv6 Präfix zu kommen, ist, es von seinem Provider zu bekommen. Zudem ist das gleichzeitig die präferierte Methode von Standardisierern und Verwaltern des Internets. Und dafür gibt es einen einfachen Grund: aggregierbare Routen und damit kurze Routingtabellen im Internet.

Bild 3 zeigt die Organisationsstruktur der IP-Präfix-Zuteilung für IPv6-Adressen: alle Adressen gehen vom IANA aus. Das IANA verteilt große, zusammenhängende Präfixe an die Regionalen Internet Registrare (RIR). Diese wiederum geben zusammenhängende Blöcke aus ihren Pools an die Lokalen Internet Registrare (LIR). Das können Provider sein, aber auch sehr große Unternehmen oder Behörden. Die End-User wiederum erhalten ihre Präfixe aus dem Bereich ihres LIRs.

Ziel dieser Vergabepolitik ist es, eine Struktur zu schaffen, die aggregierbare Routen ermöglicht.

Bild 4 zeigt den beabsichtigen Aggregierungsprozess anhand des Beispieles von ComConsult Research:

  1. Lokale Router von ComConsult Research
    ComConsult Research hat von seinem Provider das Präfix 2001:4dd:f007:100::/56 zugewiesen bekommen.Dieser Block wurde in diverse Subnetze aufgeteilt: DMZ, Transfernetz von der Firewall zum ISP Router, Testnetz, Rechnernetz, Servernetz, etc.Alle Router von ComConsult Research müssen alle internen Präfixe kennen. Zum Internet jedoch existiert nur eine default Route (::/0).
  2. Router des ISP
    Der ISP hat vom RIPE NCC den Block 2001:4dd0::/32 zugewiesen bekommen.Dieser Block wird nun in unterschiedlich großen Bereichen an die Kunden weitergegeben.Die Router des ISP müssen alle diese Kundenpräfixe kennen, jedoch benötigen sie keine Einträge für die Teilnetze, die ihre Kunden daraus gemacht haben.

    Ferner verfügen die (meisten) Router des Providernetzes noch über eine Default Route, die in Richtung eines oder mehrerer Internetknoten wie dem DE-CIX zeigt. Auch diese internen Providerrouter müssen keine Kenntnisse über den Rest der Welt haben.

  3. Grenzrouter / Default Free Gateways / Internet-Knotenpunkte
    An den Internet-Knoten werden nur die vom RIPE zugewiesenen Blöcke zwischen den Providern ausgetauscht, nicht aber die vergebenen Teilnetze. So weiß Provider A zwar, dass Provider B den Block 2001:4dd0::/32 zugewiesen bekommen hat, nicht aber, welche Unterbereiche davon bereits zugewiesen wurden und welche nicht.Ferner müssen Internet-Knoten die Blöcke aller anderen Internetknoten kennen, die sich im Gebiet desselben RIR befinden. Das DE-CIX muss also wissen, welche Netze beispielsweise in den Niederlanden zu finden sind, um Pakete zum dortigen Internet-Knoten routen zu können.Für die Verbindung in die Gebiete anderer RIR müssen die Internet-Knoten nur die vom IANA zugewiesenen Blöcke und die Routen dorthin kennen. Die interne Struktur anderer Regionen spiegelt sich in den Routing-Tabellen somit nicht wieder.

Die Notwendigkeit dieses Verfahrens wird an Bild 5 schnell deutlich. Die Grafik zeigt das Anwachsen der Routingtabellen in Internetroutern von 1989 bis heute für IPv4. Bedenkt man, dass IPv6 praktisch unendlich mal mehr Netze als IPv4 hat, so muss von vornherein ein Verfahren existieren, das diese Routing Tabellen möglichst klein hält. Die theoretische Präfix-Menge von IPv6 macht es schlicht unmöglich, ohne Aggregierung zu arbeiten.

Präfix vom Provider
Das Problem der Aggregierbarkeit zeigt, warum die Verwalter der IPv6 Adressen ein aktives Interesse daran haben, dass End User Präfixe aus den Blöcken der Provider nutzen. End User im Sinne der Registrars sind alle, die keine LIRs sind, also nicht nur Privatanschlüsse, sondern auch Unternehmen und Organisationen aller Art.

Doch die Internetproblematik ist aus Sicht vieler Netzbetreiber eben ein Problem der Internetprovider. Außerdem funktioniert es bei IPv4 ja auch, dann muss es auch mit IPv6 klappen.

Was spricht nun für und was gegen eine Adresse aus dem Bereich des ISP aus Sicht von Unternehmen:

Pro

  • Anwendungen für die keine Proxys / ALGs existieren
    Es gibt Anwendungen, für die keine ALGs bzw. Proxys existieren. Da mit global routbaren IP-Adressen gearbeitet wird, können sie grundsätzlich betrieben werden. Ob das in Bezug auf die Sicherheit wünschenswert ist, ist eine andere Frage.
  • Künftige Entwicklung von P2P-Anwendungen
    Siehe oben.
  • Netzdesign
    Es stehen ausreichend Präfixe für ein skalierbares und zukunftssicheres IP- Design zur Verfügung. Wenn nicht, sollte man seinen Provider um einen größeren Block IPv6-Adressen bitten. Einige Provider glauben zwar noch, dass auch IPv6-Adressen Mangelware sind. Aber sanfter Druck hat sich in der Praxis als hilfreich erwiesen, wenn der Provider knausert.
  • Kleine Routingtabellen
    Intern und auf den Internet-Zugangsroutern kann mit einer default Route gearbeitet werden. Ein aktiver Austausch von Routen mit dem Provider ist nicht notwendig. Das reduziert die Fehlerwahrscheinlichkeit und den Ausnwand für den Betrieb drastisch.
  • Geringe Kosten
    Wie bei IPv4 sind Provider-Adressen in den allermeisten Fällen Bestandteil des Internetanschlusses und kosten keinen Aufpreis.
  • Gutes Gewissen
    Als Betreiber kann man sich ein gutes Gewissen leisten, da man das Internet nicht mit unnötigen Routing-Einträgen belastet.

Contra

    • Providerwechsel
      Wechselt ein Unternehmen den ISP, so kann es die IP-Adressen nicht weiter verwenden, sondern bekommt einen neuen Präfix-Block aus dem Bereich des neuen Providers. Eine komplette Neunummerierung aller internen Systeme ist die Folge.
    • Firmenfusion
      Fusionieren zwei Unternehmen, die bei unterschiedlichen ISPs sind, kommt das einem Providerwechsel von zumindest einem der Unternehmen gleich. Eine Neuverteilung der Präfixe auf alle Systeme dieses Unternehmens ist somit unvermeidlich.
    • Dual Homed
      Ist es notwendig, an auch nur einem Standort an mehr als einen Provider angeschlossen zu sein, so kommen Provider-Adressen nicht mehr in Betracht, da beide ISPs diesen Block in ihrem Netz routen müssen. Auch anderen Providern müssen diese Routen bekannt gegeben werden, damit der optimale Weg berechnet werden kann und es im Fehlerfall eine echte Redundanz gibt.
    • Sicherheit
      Da die Provider-Präfixes global routebar sind, ist es bei fehlerhafter Firewallkonfiguration grundsätzlich möglich, interne Systeme direkt aus dem Internet zu adressieren und damit direkt anzugreifen.
      Auf den ersten Blick überwiegen die Nachteile und ein „gutes Gewissen“ ist wohl kaum ein Argument. Wie also steht es um die Alternative?

Provider unabhängige Adresse
Provider-unabhängige Adressen, kurz PI für „Provider Independent“, kommen aus dem Bereich der RIR Blöcke und sind keinem Provider zugewiesen (vgl. Bild 6). Wohl aber sind sie einer Region zugeordnet. Weltweit tätige Unternehmen benötigen somit für jede Internetregion eine eigene PI. Es ist nicht erlaubt, mit einer IPv6-Adresse aus dem Bereich des RIPE NCC in Asien „ins Internet zu gehen“.

Um eine PI zu bekommen, sind einige Formalitäten einzuhalten. Je nach Art des eigenen Unternehmens, insbesondere der Größe, gibt es unterschiedliche Verfahren. Man sollte sich auf jeden Fall beim RIPE NCC erkundigen, welche für einen in Frage kommen und welche Formalitäten beachtet werden müssen. Allen gemeinsam sind jedoch:

      • Für die IP-Adressen fallen jährliche Lizenzgebühren an.
      • Die IP-Präfixe werden nur verliehen.
      • Das RIPE verlangt, dass Anfragen innerhalb von 3 Monaten bearbeitet werden.

Je nach Zuteilungsvariante benötigte man auch noch einen Sponsor in Form seines ISPs, an den dann auch die Lizenzgebühren zu entrichten sind.

Betrachten wir auch für diese Adressen die Vor- und Nachteile:

Pro

      • Dual Homed
        Das „Totschlagkriterium“: Wer an einem Standort an mehr als einen Provider angeschlossen ist, benötigt zwingend eine PI für alle Systeme, die von extern erreichbar sein müssen.
      • Providerwechsel
        Ein Providerwechsel macht zunächst keine Probleme, da man die PI definitionsgemäß behalten kann. Jedoch kann es notwendig sein, dass der Sponsor beim RIR von alten auf den neuen ISP geändert wird.
      • Firmenfusion
        Bei einer Firmenfusion kann das Unternehmen mit den PI-Adressen diese auch für das andere Unternehmen nutzen. Dort allerdings wird trotzdem eine Umnummerierung fällig. Ein echter Vorteil ist das also nur dann, wenn beide Unternehmen PI Adressen haben.
      • Anwendungen für die keine Proxys / ALGs existieren
        Identisch mit Provider-Adressen.
      • Netzdesign
        Identisch mit Provider-Adressen.

Contra

      • Sicherheit
        Da die Provider Präfixes global routebar sind, ist es bei fehlerhafter Firewallkonfiguration grundsätzlich möglich, interne Systeme direkt aus dem Internet zu adressieren und damit direkt anzugreifen.
      • Höhere Kosten
        Für PI-Adressen fallen Gebühren an.
      • Größere Routing-Tabellen und damit höhere Kosten
        Nutzt man selbst BGP, im Falle von Dual Homed notwendig, dann wachsen zumindest auf den Internetzugangsroutern die Routing-Tabellen dramatisch an. Je nach Netzdesign sind auch weitere Router davon betroffen. Das führt zu höheren Kosten bei der Beschaffung der Router und vor allem auch im Betrieb dieser Router.

Die Qual der Wahl: ULA, PI, ISP

Fassen wir die möglichen Präfixe noch einmal kurz zusammen, so gibt es 2×2 Varianten:

      1. Unique Local Addresses
        • a. Global zugewiesen (fc00::/8)
        • b.Zufällig erzeugt (fd00::/8)
      2. Globale Adressen
        • a. Aus dem Pool des ISP
        • b. Provider Independent (PI)

Da 1.a zur Zeit nicht existiert, verbleiben somit die anderen drei Möglichkeiten. Die Frage, welche man wählt, ist die vielleicht am kontroversesten diskutierte Frage auf unseren Veranstaltungen. Die zentralen Argumente, die immer wieder angesprochen werden, lassen sich so zusammenfassen:

      1. „Eine PI hat den Vorteil, dass ich nie wieder ein Renumbering machen muss.“
      2. „ULAs bieten mir mehr Sicherheit, da aus dem Internet auf meine Systeme nicht zugegriffen werden kann.“

Damit scheint sich die Entscheidung auf zwei der verbliebenen drei Möglichkeiten zu reduzieren. ISP-Adressen scheiden offensichtlich völlig aus. Doch obwohl beide Argumente zunächst plausibel klingen, greifen sie zu kurz.

Betrachten wir zunächst das erste Argument:

PI = nie wieder ein Renumbering?
Das würde voraussetzen, dass man eine einmal zugewiesene PI für die Ewigkeit nutzen kann, was praktisch einem „Besitz“ dieser Adresse gleich käme. Und in der Tat, so war es faktisch bei IPv4, da bei deren Vergabe anfänglich kein „Rückholverfahren“ vorgesehen war. Daher kommt es auch, dass einzelne Universitäten heute Class A Netze haben oder kleine Unternehmen mit nicht mal 200 Mitarbeitern sich über ein Class B Netz freuen dürfen. Die Konsequenz ist hinreichend bekannt: Adressknappheit.

Diesen Fehler will man bei IPv6 nicht noch mal machen. Darum sehen die Vergaberichtlinien des RIPE NCC für IPv6 Adressen vor, Adressen wieder in den RIPE Pool zurückzuholen. Wörtlich wird von einer gebührenpflichtigen Lizensierung von IPv6 Adressen gesprochen und der Begriff „Besitzt“ wird ausdrücklich zurück gewiesen. Im Gegenteil, es wurden eine Reihe von (noch ausschließlich formalen) Richtlinien festgelegt, bei denen die Adressen automatisch in den Pool des RIPE NCC zur erneuten Vergabe zurückwandern. Dazu gehören die Nicht-Entrichtung der jährlichen Lizenzgebühr und die dreimonatige Nicht-Erreichbarkeit des Vertragspartners durch das RIPE NCC.

Nun stellen Sie sich einfach mal vor, sie finden drei Monate lang keinen neuen Administrator und der Vertreter weiß nichts mit „diesen komischen, englischen Nachrichten vom RIPE“ anzufangen:

Schwupps ist die IPv6-Adresse weg, wird in der Folge im Internet nicht mehr geroutet und man kann weder das Internet nutzen noch werden die eigenen öffentlichen Server gefunden. Einen Anspruch darauf, die „eigene“ Adresse wieder vom RIPE „zurück“ zu bekommen, hat man nicht. Bis also alles wieder läuft, kann es lange dauern. Mit einer ISP Adresse wäre das (wahrscheinlich) nicht passiert.

ULAs bieten Sicherheit
Richtig ist: Interne Systeme mit ULAs können nicht direkt aus dem Internet adressiert werden.

Falsch ist: Interne Systeme mit ULAs können aus dem Internet nicht erreicht werden.

Zwei Worte Unterschied – große Wirkung.
Gegen eine ganze Reihe von Angriffen bieten ULAs genau so wenig Schutz wie es heute private Adressen und NAT tun: Viren, Trojaner, Rootkits, DoS-Attaken auf den Internetzugang oder Server/ALGs/Proxys/Firewalls in der DMZ, Phishing, Pharming, etc.

Auf der anderen Seite beeinträchtigen ULAs aber einen ganz anderen Aspekt von Sicherheit: die Zukunftsicherheit des IP-Designs. Sie schließen konsequent die Möglichkeit von P2P-Anwendungen aus. Auf den ersten Blick ein Vorteil, will man diese doch auch gar nicht im Unternehmen haben, da sie nur schwer zu kontrollieren sind. Auf den zweiten Blick jedoch wird schnell klar, dass man sich damit von zukünftigen Entwicklungen ausschließt, die P2P voraussetzen. Aber schon heute gibt es solche Anwendungen vor allem im Kommunikationsumfeld: Die Gesprächs- und Videodaten zwischen IP Telefonen laufen „eigentlich“ Ende-zu-Ende, ein Design mit Mediagateways, Session Border Controllern, Gatekeepern und ähnlichem ist zwar möglich und sogar üblich, ist aber immer auch mit Restriktionen bei Skalierbarkeit und Fehlertoleranz verbunden.

IPv6 wird diesen Trend zu P2P-Anwendungen verstärken, da anders als derzeit bei IPv4, die Ende-zu-Ende-Erreichbarkeit wieder üblich werden wird. Eine Möglichkeit, die Entwickler neuer Software sich mit Sicherheit nicht entgehen lassen werden.

Spätestens wenn die erste Anwendung im Unternehmen Einzug hält, für die es keinen Proxy gibt, ist das Ende der ULAs eingeläutet und damit ein Renumbering nicht mehr zu verhindern.

Renumbering: halb so wild?
Die Verteilung neuer IP-Adressen auf alle Systeme ist der Horror eines jeden Netzbetreibers. Darum ist es kein Wunder, dass dieses Argument häufig gegen Provider Adressen angeführt wird. Doch wird dabei übersehen, dass IPv6 zwei entscheidende Änderungen mit sich bringt, die eine Neuverteilung von Adressen vereinfacht und ihr somit einiges an Schrecken nimmt:

      1. IPv6 sieht mehrere IP Adressen pro Interface vor
        Zwar erlauben viele moderne Betriebsysteme mehr als eine IPv4-Adresse pro Interface, aber wie jeder bestätigen kann, der es versucht hat, ist das Ergebnis mehr als unbefriedigend.Bei IPv6 ist das nun anders: Endgeräte müssen mehr als eine IP-Adresse pro Interface beherrschen, da jedes Interface zumindest eine Locale Adresse und eine routbare Adresse bekommt und beide auch nutzt. Damit ist es aber nur ein kleiner Schritt auch gleich mehrere routbare IP Adressen zuzulassen. Im Falle der Security Extensions für den Host-Anteil ist das sogar notwendig, um beim Adresswechsel zu verhindern, dass bestehende Verbindungen abbrechen.Die Folge für ein Renumbering ist, dass es nicht mehr über Nacht und auf allen Geräten gleichzeitig geschehen muss. Vielmehr kann man zunächst die neuen Adressen ausrollen und wenn sie flächendeckend verteilt sind, die alten zurückziehen.
      2. Präfixe werden dynamisch verteilt
        Die Zuweisung der Präfixe per Router Advertisements oder per DHCP ist die einzig praktikable Möglichkeit bei IPv6 und nur sehr wenige Geräte werden davon ausgenommen sein (Router, Firewalls, DNS-Server etc.).

Bei einem Renumbering kann also von zentraler Stelle aus die Verteilung erfolgen und nur wenige Geräte müssen wirklich angefasst werden.

Also doch ISP-Adressen?
Wie man sieht, gibt es also doch gute Gründe für den flächendeckenden Einsatz von ISP-Adressen: Solange man den Provider nicht wechselt, hat man seine Adressen sicher und ist für zukünftige Entwicklungen gewappnet. Scheinbare Vorteile einer PI wie „Adresse für die Ewigkeit“ existieren nicht oder sind zumindest nicht so sicher, wie es den Anschein hat. Auf der anderen Seite ist zu erwarten, dass die gefürchtete Umnummerierung bei IPv6 viel von ihrem Schrecken verloren hat, auch wenn hier letztendlich der „Beweis“ in der Praxis noch aussteht.

Daraus lässt sich der überraschende Schluss ziehen: Wer nicht zwingend eine PI benötigt, weil er z.B. Dual-Homed ist, ist mit einer Provider Adresse ebenso gut bedient und das bei erheblich geringerem Aufwand der Beschaffung und sichererer Perspektive – solange man den Provider nicht wechselt.

Wie das Beispiel der Adressauswahl zeigt, gilt es bei der Einführung von IPv6 schon früh weitreichende Entscheidungen zu treffen. Themen wie Autokonfiguration und DHCP, Hostanteil der IPv6-Adresse oder Konsequenzen für Sicherheit und Design durch den Wegfall von NAT wurden hier bestenfalls angerissen. Wer sich einen umfassenden Überblick über die Änderungen bei IPv6, deren Konsequenzen, dem aktuellen Stand der Technik und Erfahrungen aus laufenden Projekten verschaffen möchte, sollte das ComConsult IPv6-Forum auf keinen Fall verpassen.

Abkürzungen
ALG Application Layer Gateway
APNIC Asia Pacific Network Information Centre
BOOTP Bootstrap Protocol
DHCP Dynamic Host Configuration Protokol
DMZ Demilitarisierte Zone
DNS Dynamic Name Service
DoS Denial of Service
IANA Internet Assigned Numbers Authority
IP Internet Protokoll
KFZ Kraftfahrzeug
LIR Local Internet Registrars
NAT Network Address Translation
OSPF Open Shortest Path First
P2P Peer to Peer
PI Provider Idependent (Address)
RFC Request for Comments
RIPE NCC Réseaux IP Européens Network Coordination Centre
RIR Regional Internet Registrars
SBC Session Border Controller
UC Unified Communication
ULA Unique Local Address
VoIP Voice over IP

Literatur
– rfc4193.txt – Unique Local IPv6 Unicast Addresses
– https://panopticlick.eff.org/browser-uniqueness.pdf – How Unique Is Your Web Browser?
– http://www.ripe.net/ripe/docs/ripe-545 – IPv6 Address Allocation and Assignment Policy (RIPE)
– http://www.ripe.net/ripe/docs/ripe-452 – Contractual Requirements for Provider Independent Resource Holders in the RIPE NCC Service Region
– http://www.iana.org/assignments/ipv6-unicast-address-assignments/ipv6-unicast-address-assignments.xml – IPv6 Global Unicast Address Assignments
– http://www.cidr-report.org/as2.0/ – CIDR REPORT

(1) – 1 Einige haben irgendwelche IP-Adressen genutzt und darauf vertraut, dass es NAT schon irgendwie richten oder ein Anschluss an das öffentliche IP-Netz nie notwendig würde. Dieses Vorgehen wird gelegentlich als „illegale IP-Adressnutzung“ bezeichnet und im Folgenden nicht weiter betrachtet.

(2) – 2 Der Erfinder des Wortes „NAT-Firewall“ sollte zunächst einen hoch dotierten Marketing-Preis bekommen und anschließend auf eine einsame Insel ohne Internet verbannt werden.

(3) – Wer es nicht glaubt, kann es selbst prüfen: https://panopticlick.eff.org

zugeordnete Kategorien: Archiv, IP und IPv6, Klassiker
zugeordnete Tags: , ,

Sie fanden diesen Beitrag interessant? Sie können



2 Kommentare zu "IPv6-Adresse: die Qual der Wahl":

  1. Lars Rohwedder schreibt:

    Was spricht dagegen, sowohl ULA als auch ISP-Adressen zu benutzen? Wenn selbst eine Fritzbox (als DHCP-Server und IPv6-Router) das kann, werden das professionelle Firmen-Router das doch erst recht können. Jeder Rechner bekommt dann eben das ULA- als auch das global routbare Präfix mitgeteilt und kann sich daraus seine IPv6-Adressen generieren.

    Dienste, die nur firmen-intern gebraucht werden, incl. firmen-internem VoIP geht über die ULA-Adressen, alles andere über die Provider-Adressen.

    Die ganze Adressdiskussion entspannt sich übrigens total, wenn man auch firmen-intern ein funktionierendes DNS hat! Dieser Aspekt fehlt im Artikel leider völlig.

    Denn mit DNS ist es für die Angestellten (und auch die Admins) völlig egal, ob wiki-intern.example.com nun über eine RFC1918-IPv4-Adresse erreicht wird, über eine ULA-IPv6-Adresse oder über eine globale IPv6-Adresse, selbst wenn diese wegen des DSL-Reconnects alle 24h wechselt.

    Leider gibt es auch 2015 noch sehr viele KMU, in denen internes DNS „neumodischer Schnickschnack“ ist und in denen intern eben alles über (auswendig gelernte) IPv4-Adressen geht. BTDT. :-(

    Lars R.

  2. Markus Schaub schreibt:

    Es spricht nichts gegen den gemischten Einsatz von ULA und Globalen IP Adressen. Im Gegenteil:
    Wir selbst setzen das bei unseren Internet-Server sogar so ein: die Web-Server sind natürlich über globale IP-Adressen erreichbar, die Datenbank-Server hingegen nicht. D.h. die Web-Server kommunizieren über ULA mit den Datenbank-Servern. So ist sichergestellt, das die Datenbanken aus dem globalen Netz heraus nicht erreichbar sind.
    Sie können sogar noch weiter gehen und bei IPv6 einzelne Dienste an bestimmte IP-Adressen knüpfen. So wäre es möglich, dass zwar der Server, auf dem die Datenbank läuft, mittels globaler IP Adresse per ssh konfiguriert werden kann, die Datenbank jedoch nur per ULA.
    Jedoch stellt sich die Frage, ob es Sinn macht flächendeckend zwei IPv6 Präfixe einzusetzen. Um Ihr Beispiel aufzugreifen: was spricht dagegen zwar die kritische VoIP Inftastruktur-Server mit ULA Adressen auszustatten, die Endgeräte hingegen nur mit den ohnehin vorgesehenen globalen IPv6 Adressen. Firmenintern können ULA und globale IP Adressen natürlich miteinander kommunizieren. Der Vorteil wäre eine bessere Übersichtlichkeit, was gerade dem Troubleshooting zugute kommt.

    Das DNS eine zentrale Rolle bei IPv6 spielt, die es eigentlich auch schon bei V4 haben sollte, sehe ich ganz genau so wie Sie. Das es im Artikel unerwähnt blieb, liegt am Fokus des Artikels.

Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.