In den letzten Wochen wurden weltweit deutlich mehr IPv4-Adressen vergeben als zuvor, daher haben die Glaskugeln alle Schätzungen zur  Vergabe der letzten IPv4-Adressen um jeweils ein Vierteljahr vorgezogen. Der Name "IPv4" suggeriert, daß wir die vierte Version eines Protokolls vor uns hätten und daher die Internet Provider ja schon viel Erfahrung mit so einem "Update" haben müssten; tatsächlich ist IPv4 aber eben die erste (verbreitete) Version des Internet Protokolls, IPv6 eben die zweite.

Beide sollen parallel betrieben werden, bis auch der letzte IPv6 am Laufen hat, daraus ergibt sich an vielen Stellen aber auch doppelte Arbeit. Wenn es ein historisch vergleichbares Beispiel gibt, dann ist es am ehesten noch der Wechsel vom Network Control Programm auf das Transmission Control Protocol im Jahr 1983: jeder Server und jede Internet-Anwendung muss einmal angepasst werden, aber für einige Jahre beides gleichzeitig können. Es ist eben keine "Umstellung" oder ein "Update", sondern eine Migration ohne festen Stichtag. Und immer wieder gibt es Aspekte, zu denen es noch keine Praxiserfahrungen gibt. Obwohl für Endanwender vieles schon gelöst ist, bedeutet IPv6  für Admins und Softwareentwickler oft noch ein recht weites Forschungsfeld. Auch, wenn man schon seit 10 Jahren IPv6 routet: in der Praxis spielt dann doch oft wieder alles etwas anders zusammen.

Avatar
Anders Henke
Alle Beiträge

Da "dem Internet" IPv4 weiterhin schneller ausgeht, als es uns allen lieb ist, muss man als Admin und Entwickler aber in diesen sauren Apfel beissen und eben ausprobieren: was passiert, wenn man auf einem Server ein paar Tausend IPv6-Adressen parallel hochfährt, weil man z. B. jedem Hosting-Kunden eine eigene IPv6-Adresse, eigene SSL-Zertifikate, FTP-Zugänge, etc. bieten möchte? Kommt der Kernel damit zurecht, wie reagiert der Webserver? An welchen Stellen kann man per Konfigurationsoption finetunen, an welchen Stellen muss ein Kernelentwickler dran? Und ist die vor drei Jahren für IPv6 vorbereitete Software wirklich in allen Aspekten IPv6-ready?

Auch, wenn Netzwerk-Ausrüster Cisco in einem Filmchen etwas (zu) reißerisch mit dem Thema umgeht: wer heute als Internet Service Provider oder Webentwickler das Thema IPv6 noch nicht in Arbeit hat, kann sich angesichts der groben Erfahrungswerte von 1-2 Jahren Anpassungsdauer überlegen, was er  in 2 Jahren noch verkaufen möchte: Zugang zum halben Internet? Einen Onlineshop, der keine Bestellungen via IPv6 erlaubt? Oder "einmal Menü 3 mit Pommes-Mayo und 'ner grossen Cola"?

Laufend kommen Presseanfragen zu vielen verschiedenen Themen, bei den bestimmten "Spezialthemen" mit einem hohen Detailgrad an gewünschter Information gehen die Kollegen der Pressestelle auch auf ihre internen Techniker und Experten zu. Beim in dieser Situation bereits allgemein brennenden Thema IPv6 "erwischt" es dabei eben auch immer wieder mich wie meinen Kollegen Jan Rischmüller.

Und mit der selbst-erdachten Möhre, wir könnten so etwas Fachwissen weiterverbreiten und Missverständnisse aufheben, spannen wir uns gern vor den Wagen und beantworten Fragen, statt die Themen intern voranzutreiben. "Selbst schuld", müsste man sagen ...

Umso mehr ist es schade, wenn wir dann feststellen müssen, dass am Ende des Tages nur etwas sinnentstellend aus einem alten Blogartikel zitiert wurde und der Redakteur sich für alle anderen Antworten per Titel oder Vereinsmitgliedschaft wichtig klingende Autoren geholt hat. Und genauso schade, weil man eines ahnt: auch diese Autoren bekamen vermutlich einen ähnlichen Fragenkatalog, haben mit viel Mühe eine Menge an technischem Fachwissen stark vereinfacht und allgemeinverständlich eingedampft   - und wurden nachher in einem Halbsatz in einer Form zitiert, wie es weder ihrer Antwort noch dem Thema gerecht ist.

Ich bin richtig froh, dass ich nicht erwähnt habe, wie einfach man aus einer per Stateless Autoconfig vergebenen IPv6-Adresse die MAC-Adresse extrahieren kann, aus der man wiederum ablesen kann, von wem denn die Netzwerk-Hardware stammt und ggf. auch noch in welchem Zeitraum sie gebaut wurde. Vielleicht haben die Hersteller auch noch eine Liste der MAC-Adressen ihrer Rechner ... Wenn ich also die Website des Herstellers meines Rechners besuche, könnte der mir dann theoretisch allein aufgrund meiner IPv6-Adresse sagen, vor was für einem Rechner ich sitze, dass der Rechner gerade vor zwei Monaten aus der Garantiezeit gelaufen ist und versuchen, mich für das Nachfolgemodell zu begeistern. Aber: mit den schon 2001 definierten Privacy-Extensions zerbricht dieses Szenario sofort, zusammen mit wechselnden Netzen ist das ganze dann auf IP-Ebene "perfekt".

Ich habe nichts dagegen, dass Autos feste Nummernschilder haben, für IPv4 ist die statische IPv4-Adresse in den klassischen "always on"-Ländern auch seit Jahren üblich. Wie wichtig  eine "anonyme" IPv6-Adresse ist, muss jeder für sich beurteilen, aber Privacy Extensions mit wechselnden IPv6-Netzen geben einem  einige Möglichkeiten des  Aston-Martin DB5 in der James-Bond-Ausstattung und somit keinen Anlass, IPv6 Probleme nachzusagen, die es so nicht verdient hat und die man seit fast 10 Jahren als "gelöst" betrachten darf.

Wer dennoch wissen möchte, wie unsere Antworten auf die insgesamt fünf Fragekomplexe von Spiegel Online aussahen - bitteschön:

Frage 1 - Thema Datenschutz / Anonymität bei IPv6:

Mit aktivierten Privacy Extensions gibt es bei dynamischer IP-Netz-Vergabe hinsichtlich des Datenschutz-Niveaus keinerlei Unterschiede zwischen IPv6 und IPv4.

Die Kernfunktion von IPv4-DHCP-Servern, die Adressvergabe, kann bei IPv6 besonders einfach und bequem über die “Stateless Auto Configuration” gelöst werden. Der eigene Rechner generiert hier mithilfe der MAC-Adresse (MAC = Media Access Control) der Netzwerkkarte sowie einem vom Router gelieferten Netzbereich eine IPv6-Adresse. Da sich derart generierte IPv6-Adressen jedoch erkennen und zurückverfolgen lassen, hat die Internet Engineering Task Force (IETF) die sogenannten Privacy Extensions für IPv6 definiert. Diese IPv6-Erweiterungen sehen vor, dass der Rechner alle 24 Stunden automatisch eine neue, zufällige IPv6-Adresse erzeugt, in der nicht die eindeutige Hardware-Adresse der Netzwerkkarte vorkommt. Die Privacy Extensions sind bei vielen Betriebssystemen bereits standardmäßig aktiviert.

Frage 2 - Stichwort feste IP-Adressen bei IPv6:

Bei IPv6 wird Kunden in der Regel nicht eine einzelne IPv6-Adresse zugewiesen, sondern ein Netz aus mindestens 2 hoch 64 IPv6-Adressen – je nach Anbieter ggf. auch 2 hoch 72 oder sogar 2 hoch 80. Diese Menge an IPv6-Adressen macht es Providern zwar grundsätzlich leichter, ihren Kunden feste Netze zuzuweisen. Viele Kunden wünschen dies aber nicht mehr, um im Internet anonymer zu sein. Und diese Bedenken müssen von den Providern natürlich bei ihren Planungen berücksichtigt werden.

Frage 3 - Welche Konfiguration werden wir unseren Kunden bei IPv6 künftig anbieten, werden standardmäßig die Privacy Extension aktiviert?

Die Privacy Extensions werden im Betriebssystem des jeweiligen Rechners konfiguriert, 1&1 hat darauf keinen Einfluss. Bei Windows XP, Vista und Windows 7 sind sie standardmäßig aktiviert. Bei anderen Betriebssystemen, beispielsweise OS X oder Linux, müssen sie ggf. manuell eingeschaltet werden

Welche IPv6-Netze unseren DSL-Kunden zugeteilt werden, ist zum gegenwärtigen Zeitpunkt noch nicht abschließend geklärt. Grundsätzlich sind verschiedene Modelle denkbar. Erstens dynamische IPv6-Netze: Hier wird alle 24 Stunden automatisch eine neue IP-Adresse zugeteilt. Zweitens semi-statische IPv6-Netze: Hier wird bei jedem DSL-Verbindungsaufbau eine neue IP-Adresse zugeteilen. Drittens voll-statische IPv6-Netze: Hier wird eine feste IP-Adresse zugeweisen. Viertens eine Mischform aus dynamischen und voll-statischen IPv6-Netzen: Hier können Anwender per Konfiguration im DSL-Router selbst entscheiden, welches der beiden Netze sie wie verwenden möchten.

Frage 4  - Implementierung der Privacy Extensions

Bei den Privacy Extensions konfigurieren Anwender an ihrem Rechner, dass sie beispielsweise alle 24 Stunden eine neue IPv6-Adresse haben möchten – bei neueren Windows-Betriebssytemen ist diese Einstellung bereits standardmäßig aktiviert.

Der Rechner behält dann seine per Autokonfiguration generierte IPv6-Adresse, generiert aber alle 24 Stunden automatisch eine neue hinzu. Die “jüngste” zusätzliche IPv6-Adresse wird jeweils für ausgehende Verbindungen genutzt. Gleichzeitig ist der Rechner auch weiterhin über die IPv6-Adresse erreichbar, die er sich per Autokonfiguration selbst gegeben hat sowie über die “älteren”, zusätzlich generierten IPv6-Adressen. Diese werden in der Regel erst nach 7 Tagen „vergessen“.

Obwohl Anwender frei wählen können, wie lange temporäre IPv6-Adressen erhalten bleiben, raten wir dringend davon ab, allzu sehr von den Standardwerten (24 Stunden pro IP, 7 Tage Haltbarkeit) abzuweichen. Generiert man sich etwa alle 5 Minuten neue IPv6-Adressen, die weiterhin 7 Tage erhalten bleiben sollen, muss der Rechner nach einer Woche immerhin 2016 temporäre IPv6-Adressen parallel betreiben. Für einige Betriebssysteme ist das unter Umständen zu viel – Instabilität droht. Des weiteren lösen auch eine Reihe von Sicherheitsfunktionen in Webanwendungen aus, so dass sich der Benutzer bei jedem IP-Wechsel „immer wieder“ neu einloggen muss.

Frage 5 - Aufwand für mit IPv4 vergleichbare Privatsphäre bei IPv6

Beides ist richtig und wichtig, muss aber nicht zwingend einen Mehraufwand bedeuten.

Dynamische Netze sind für die Provider in der Regel sogar deutlich einfacher zu handhaben. Die Privacy Extensions sind bei allen neueren Windows-Betriebssystemen bereits standardmäßig aktiviert. Anwender müssen hier also nichts machen. Bei anderen Betriebssystemen wie OS X oder Linux lassen sich die Einstellungen relativ einfach aktivieren. Wenn der Provider dynamische zugewiesene IPv6-Netze nutzt und Anwender die Privacy Extensions aktiviert haben, bietet IPv6 den gleichen Schutz der Privatsphäre wie IPv4.

Das grundsätzliche Problem ist nicht die Wiedererkennbarkeit anhand der IP-Adresse. Cookies, Webseites mit Anmeldungszwang und Flash-Cookies sorgen schon seit einiger Zeit dafür, dass Homepage-Betreiber einen Internet-Nutzer auch trotz IP-Wechsel “wiedererkennen” können – und diese Verfahren funktionieren sowohl für IPv4 als auch für IPv6.

Weitere Informationen zum Thema liefert auch unser Blog-Artikel: http://blog.1und1.de/2010/05/07/ipv6-totale-ueberwachung/

0