22.04.2011, 06:00 Uhr

IPv6 now!

Die letzten IPv4-Adressen sind verteilt. Wer künftig noch global kommunizieren will, muss IPv6 lernen. Mit etwas Effort ist das gar nicht so schwierig. Besser man bemüht sich jetzt darum, denn NAT als Workaround taugt nicht.
Foto: © Andre Bonn / Fotolia.de
Der Autor ist Gründer und CTO des Internetproviders und Carriers Init7 Der 3. Februar 2011 war ein historischer Tag für das Internet. An diesem Tag vergab die Internet Assigned Numbers Authority, kurz IANA, die letzten IPv4-Adressblöcke an die fünf regionalen Internet Registries. Der Song «It’s the End of the World as We Know It (And I Feel Fine)» von R.E.M. wand sich an diesem Tag durch meine Gehörgänge. Doch fühlen wir uns wirklich gut? Der Adressraum geht zur Neige und noch immer gibt es Milliarden Menschen auf diesem Planeten ohne Anschluss ans globale Kommunikationsnetz. «So what? Ich habe genügend IPv4-Adressen gehortet, die für meinen Bedarf noch bis in ferne Zukunft ausreichend sein werden», lautet eine weit verbreitete Reaktion in den Unternehmen. Doch für eine funktionierende Kommunikation braucht es immer zwei Partner, und wenn der eine keine IPv4-Adresse mehr bekommt, kann die Kommunikation nicht stattfinden. Die Befürchtung, dass schon in einigen Monaten – also noch 2011 – Teilnehmer des Internets keine IPv4-Adresse mehr bekommen, ist real. Im APNIC-Raum, dem Gebiet, in dem das «Asia-Pacific Network Information Center» die regionalen Adressen vergibt, ist der aktuelle Verbrauch an Adressen enorm hoch. Man liest fast monatlich von Millionen Adress-Assignments an China Telecom für eine chinesische Provinz, deren Namen man noch nie gehört hat, geschweige denn wüsste, wo sie liegt.

Das Internet wird grösser

Der 4 Milliarden grosse Adressraum von IPv4 ist also viel zu knapp bemessen, das wurde bereits früh erkannt. Die Definition von IPv6 (eine
Adresse mit 128 Bit gegenüber den 32 Bit von IPv4) geht zurück auf das Jahr 1998. Doch damals hat sich kaum jemand dafür interessiert. Das Internet steckte noch in den Kinderschuhen. «Wer braucht schon 128 Bit? Die Adressierung wird nur komplizierter», so die vorherrschende Meinung damals.
Tatsache ist, dass IPv4 und IPv6 nicht kompatibel sind. Das ist wie Chinesisch und Spanisch: Ohne «dualstack», also Geräte, die beide Versionen verstehen, gibt es keine Chance, einander zu verstehen. Zwischen IPv4 und IPv6 existiert zudem keine skalierbare Übersetzungsfunktion. Zwar wurden immer wieder Anstrengungen unternommen und Konzepte entwickelt wie NAT-PT und 6-to-4, aber richtig überzeugen kann keines. Will man also weiterhin mit jedermann optimal kommunizieren können, muss man zwangsläufig die Sprache «IPv6» erlernen.

NAT? Schlechte Idee!

Über Jahre wurde NAT (Network Address Trans­lation) als Massnahme gegen den zu knappen IPv4-Adressraum propagiert. NAT erlaubt die Verwendung mehrerer privater IPv4-Adressen, die hinter einer öffentlichen IPv4-Adresse zusammengefasst werden (spezifiziert in RFC 1918). NAT wurde oft auch als «Firewall» propagiert, weil das private Netz aus dem Internet nicht sichtbar ist – Stichwort:«Security by Obscurity». NAT hat jedoch einen gewichtigen Nachteil: die End-to-End-Kommunikation zwischen zwei Geräten wird geopfert. Ein System mit einer privaten Adresse hinter einem NAT-Gateway kann ohne externe Hilfe niemals mit einem anderen System hinter einem anderen NAT-Gateway kommunizieren. Ein Beispiel: Skype funktioniert mit ausschliesslich privaten Adressen nicht. Einer der beiden Skype-Teilnehmer muss zwingend eine öffentliche Adresse besitzen, sonst kommt die Kommunikation nicht zustande. Dass es trotzdem funktioniert, liegt an den STUN-Servern (Session Traversal Utilities for NAT), die im Internet verfügbar sind. So hilft Skype zwei NAT-Teilnehmern auf die Sprünge – es braucht also eine Krücke, um eine andere Krücke zu überwinden. NAT skaliert ausserdem nicht: Müssen zwei gros­se Netze zusammengeschaltet werden (z.B. bei einer Firmenfusion), dann ist die Wahrscheinlichkeit gross, dass beide Netze denselben Adressraum aus 10.0.0.0/8 oder 192.168.0.0/16 verwenden. Es muss dann mit viel Aufwand umnummeriert werden. NAT sei eine Sicherheitsmassnahme, wird seit Jahren suggeriert – und viele IT-Verantwortliche glauben dies auch. Doch eine einfache Rechnung zeigt, dass IPv6 eigentlich viel sicherer ist. Der oft verwendete NAT-Adressbereich 192.168.0.0/16 bietet eine lächerlich geringe Zahl von 65536 Adressen an. Ein /64IPv6-Netz, das für dieselbe Infrastruktur verwendet würde, bietet hingegen 18446744073709551616 Adresskombinationen. Scannt man den Adressraum mit einer Kadenz von 100 Adressen pro Sekunde, hat man jeden Host im v4-Netz innert 11 Minuten aufgespürt. Im v6-Netz dauert der Scan hingegen 5849424173 Jahre. Anders gesagt: IPv6 braucht kein NAT mehr, und Firewalls sind nicht auf NAT angewiesen, um sicher zu sein.

Internet of Things

Das Internet wird grösser. Täglich gehen Tausende von Smartphones in Betrieb. Kürzlich erzählte ein Netzwerkverantwortlicher eines deutschen Mobilfunkoperators, dass dort pro Monat mehr als 50000 Neukunden mit einem IP-fähigen Mobiltelefon aufgeschaltet werden, und selbstverständlich braucht jedes dieser Geräte eine eigene IP-Adresse. Der Mobilfunk-Marktführer in der Schweiz adressiert seine Smartphone-Kunden mit privaten Nummern aus dem 10/8-Block – selbstverständlich mit allen genannten Nachteilen der Adressübersetzung. NAT hinter NAT hinter NAT – irgendwann kommuniziert es dann nicht mehr. In nicht allzu ferner Zukunft werden sich noch mehr Geräte ans Internet anmelden wollen, das «Internet of Things» ist keine Utopie. Mein Kühlschrank wird sich künftig selbst beim Hersteller einen Service buchen, wenn der Temperatursensor korrodiert ist und deshalb nicht mehr weiss, welche Temperatur gerade herrscht. Das Elektroauto wird sich automatisch die Batterien zu jenem Zeitpunkt aufladen, wenn der Verbrauch im Stromnetz gering ist und ein Niedertarif gilt. Der Energieverbrauch im Haushalt wird statistisch erfasst und optimiert dank internetgestützter intelligenter Haustechnik. All diese Geräte benötigen Adressen, und sie benötigen eine automatisch funktionierende End-to-End-Kommunikation. Wer konfiguriert für den intelligenten Kühlschrank manuell eine IP-Adresse samt NAT-Gateway? Eben.

Was ist also zu tun?

Wir brauchen also neue Adressen. Zum Glück ist vielerorts IPv6 bereits real existent. Die meisten Internetprovider haben ihre Hausaufgaben zumindest in Angriff genommen, die Hersteller von Betriebssystemen sowieso. Windows, Linux, Mac OS: ready for v6! Bei xDSL- und Cable-Routern sowie Firewalls sieht es schon schlechter aus. Der aktuelle «Application Guide» eines bekannteren SOHO-Firewall-Herstellers enthält nicht ein einziges Mal den Begriff «IPv6». Das ist – mit Verlaub – im Jahre 2011 mehr als bedenklich. Selbst wenn Sie nicht heute und morgen Ihr Netz für IPv6 fit machen wollen, lassen Sie sich für jede Neubeschaffung die IPv6-Kompatibilität garantieren. Ein Gerät, das ausschliesslich IPv4 unterstützt, sollte nicht mehr gekauft werden. Das IPv6-Bewusstsein der IT-Verantwort­lichen, Einkäufer, Software-Programmierer und Hersteller ist leider noch nicht dort, wo es sein müsste, denn in jedem IT-Projekt sollte automatisch die Frage nach der IPv6-Verträglichkeit gestellt werden. Verlangen Sie von Ihrem Provider IPv6-Konnektivität. Kann er keine liefern, evaluieren Sie einen anderen. Fragen Sie bei Ihrem Webhoster nach, ob Ihre Website bereits über IPv6 erreichbar ist. Wenn nicht, überlegen Sie einen Wechsel zu einem Hoster, der die Zeichen der Zeit erkannt hat. Wenn Ihr Hardware-Lieferant zwar IPv6 verspricht, aber noch nicht liefert, zahlen Sie ihm 20 oder 30 Prozent des Kaufpreises erst bei Ablieferung der kompatiblen Firmware. Der Leidensdruck auf die Lieferanten muss erhöht werden, damit die IPv6-Hausaufgaben endlich erledigt werden. Vor 11 Jahren hatten viele IT-Verantwortliche Angst, ob die Massnahmen zur Jahr-2000-Umstellung ausreichend sein würden. IPv6 ist mindestens so komplex wie Y2K, mit dem einzigen Unterschied, dass kein Big Bang alle auf den Boden der Realität holt. Inkompatibilität kommt – vielleicht – schleichend. Es ist besser, man setzt sich zeitig mit IPv6 auseinander, denn wenn es eilt, wirds meistens sehr viel teurer. Deshalb wagen Sie den Schritt jetzt: IPv6 now!


Das könnte Sie auch interessieren