IPv4-Nachfolger

Der Status Quo von IPv6

11.03.2010 von Konstantin Pfliegl und Moritz Jäger
Bereits 1998 wurde IPv6 als Nachfolger von IPv4 definiert - doch auch zwölf Jahre später steckt das Protokoll noch immer in den Kinderschuhen. Wir zeigen den aktuellen Status von IPv6 auf.

Bereits 1998 wurde IPv6 als Nachfolger von IPv4 definiert - doch auch zwölf Jahre später steckt das Protokoll noch immer in den Kinderschuhen. Wir zeigen den aktuellen Status von IPv6 auf.

IPv6 geistert sein Jahren durch die Presse, immer wieder wird der Nachfolger des aktuellen IPv4-Systems als Lösung angepriesen. Doch wie sieht es aktuell aus? Dieser TecChannel-Artikel frägt die Leute, die es wissen müssen - die Provider. Wir haben verschiedene Anbieter von Internetzugängen um eine Statusmeldung gebeten, welche auch zumeist beantwortet wurde. Die Zusammenfassung der Antworten finden Sie im nächsten Kapitel.

Wer sich aktuell mit dem Thema beschäftigt, stößt häufig auf IPv6-Tunnellösungen. Diese werden inzwischen recht häufig genutzt, um die Datenpakete über bestehende IPv4-Netze zu leiten. Die verschiedenen Systeme bieten dabei jeweils Vor- und Nachteile, bergen aber auch Sicherheitsrisiken.

Den weitaus größten Teil des Artikels machen die technischen Grundlagen zu IPv6 aus. Darin tragen wir noch einmal zusammen, was sich mit der neuen Technik ändert, wie Header und Adressen aufgebaut sind und welche Arten der Adressen es gibt.

Bildergalerie: Das Protokoll IPv6.
IPv6
Aufbau eines 6to4-Tunnels. (Quelle: Sun)

Einen recht guten Überblick über die Verbreitung von IPv6 liefert diese Präsentation von Google. Der Suchmaschinenkonzern frägt die IPv6-Informationen in regelmäßigen Abständen ab. Dazu werden die AAAA-Records stichpunktartig überprüft. Das Ergebnis: Die Zahl der IPv6-Hosts ist noch verschwindend gering, steigt aber am Wochenende. Das liegt mutmaßlich daran, dass eher mit dem neuen Protokoll experimentieren. Vor allem bei Mac OS X sei die Verbreitung sehr hoch, hier kommt bei rund der Hälfte der Macs das Tunnelprotokoll 6to4 zum Einsatz.

IPv6: Der Status Anfang 2010

Wie weit ist IPv6 schon bei den Internet Service Providern etabliert? Um das herauszufinden, hat TecChannel verschiedene Provider um eine Stellungnahme gebeten. Die meisten haben auch geantwortet. Als allgemeiner Tenor lässt sich sagen: Die Provider haben die Tests zum größten Teil abgeschlossen und beginnen nun langsam mit der Implementierung in ihren Netzen. Besonders weit scheint dabei QSC zu sein. Pressesprecher Dennis Knake erklärte, dass sich Implementierung und Test innerhalb der QSC-eigenen Infrastruktur der Fertigstellung nähern. Ab Februar könne man dann zumindest Geschäftskunden im Core-Netz über IPv6 anschließen - sofern Bedarf besteht. Letzterer halte sich derzeit noch in Grenzen.

Ein wenig zurückhaltender sind die Betreiber der Kabelnetze. Während Kabel BW bereits mit den Tests begonnen hat und den Abschluss in 2011 erwartet, stehen Kabel Deutschland und Unitymedia nach Aussagen der Pressestellen erst am Beginn der Testreihen. Die Hardware sei aber grundsätzlich IPv6-fähig.

Ähnlich sieht es auch bei Vodafone/Arcor aus. Hier wird IPv6 in einem ersten Test erfolgreich eingesetzt, der Provider plant nun zuerst eine Ausweitung der Versuche. Zu einer Verfügbarkeit für Endkunden möchte sich Vodafone noch nicht äußern. Deutlich verschlossener ist da der Anbieter Colt Telecom. Dieser hat die Anfrage komplett abgelockt, Colt möchte sich zu diesem Thema nicht äußern, lies die Pressestelle verlauten.

Derzeit stehen die Antworten zweier großer Marktteilnehmer noch aus - United Internet sowie die Telekom haben auf unsere Anfragen noch nicht reagiert. Sobald die Antworten eintreffen, werden wir Sie darüber informieren.

Tunnel als Workaround

Wer sich aktuell an IPv6 versucht, nutzt für die Kommunikation zumeist Tunnellösungen. Dabei werden die Datenpakete von IPv4 in der Nutzlast von IPv4-Paketen befördert und am Endpunkt wieder zusammengesetzt. In der Windows-Welt kommt dabei vor allem das von Microsoft entwickelte und freigegebene Teredo zum Einsatz. Das Problem hierbei ist allerdings, dass Teredo UDP zur Kommunikation nutzt, wodurch sich Sicherheitslücken ergeben können, da mit der Technologie beispielsweise NAT-Funktionen der Router ausgehebelt werden können. Die Sicherheitsfirma Symantec hat dazu einen Report verfasst (PDF-Download).

Tunnel: Teredo schickt IPv6-Daten über IPv4-Netzwerke. (Quelle: Microsoft)

Alternative Technologien sind beispielsweise 6in4 und 6to4. Bei 6in4 sind die Informationen komplett im IPv4-Datenpaket enthalten und werden von einem kompatiblen Endpunkt entpackt und an den IPv6-fähigen Ziel-Host weitergeleitet. Auch diese Technologie enthält keinerlei Sicherheitsfunktionen, wodurch sie beispielsweise andere Pakete während des Transports injizieren lassen.

Bei 6to4 werden die Daten nicht direkt zwischen den Hosts verschickt, sondern über ein 6to4-Relay geleitet. Dieses analysiert das Paket und schickt es anschließend an den Ziel-Host. Die Kommunikation der beiden ursprünglichen Hosts ist dabei nicht an ein Relay gebunden, sondern kann die bekannten Relays beliebig wechseln. Doch auch hier gibt es Sicherheitsbedenken, wie das RFC3964 beschreibt.

Die Änderungen im Überblick

IPv6 ist wie sein Vorgänger IPv4 ein Transportprotokoll, das einzelne Pakete durch ein Netz transportiert. Zur Sicherstellung der vollständigen Übertragung kann IPv6 Protokolle auf einer höheren Schicht, zum Beispiel TCP, verwenden. Die wesentlichen funktionalen Elemente des neuen Protokolls sind:

IPv6: Internet Protocol Version 6

Die rund vier Milliarden möglichen IP-Adressen werden dem Boom im Internet nicht mehr gerecht. Da demnächst praktisch jede Kaffeemaschine über eine eigene Internet-Adresse verfügen soll, stößt der derzeit verwendete Protokolltyp IPv4 an seine Grenzen. Zudem kennt IPv4 keine Sicherheitsfunktionen oder Verschlüsselung. Auch Streaming-Anwendungen wird das Protokoll nicht gerecht.

Daher ist ein neues Protokoll mit größerem Adressraum notwendig. Der Nachfolger steht bereits in den Startlöchern. Er trägt die Bezeichnung Internet Protocol Version 6 (IPv6) und wurde Anfang der 90er Jahre von der Internet Engineering Task Force (IETF) empfohlen. Die IETF ist die zentrale Organisation zur technischen Entwicklung und Standardisierung des Internets. Die Spezifikationen wurden in RFC 1883 festgelegt. IPv6 soll viele Unzulänglichkeiten seines Vorgängers beseitigen.

Seitdem haben viele Unternehmen, Organisationen und Netzwerker damit begonnen, erste Implementierungen zu entwickeln. Insbesondere Hersteller von Routern haben ihren Produkten eine IPv6-Unterstützung verpasst. Aber auch Entwickler sind auf den IPv6-Zug aufgesprungen. Mit 6Bone existiert bereits ein entsprechendes globales Netzwerk.

Der Weg zu IPv6

Das neue Protokoll IPv6 wird innerhalb der IETF zentral im Bereich Internet in der Gruppe IPNGWG behandelt. Bestimmte Teile werden aber auch in anderen Gruppen und Bereichen standardisiert, wie zum Beispiel die Migration von IPv4 zu IPv6 im Bereich NGTRANS.

Einige Zeit, bevor die Entscheidung zur Entwicklung von IPv6 gefallen war, wurde ein anderes Protokoll als Alternative zu IPv4 vorgeschlagen: IPv5. Dieses Protokoll wurde jedoch nur experimentell implementiert und fand keinerlei Verbreitung in kommerziellen Produkten.

Bei der Entwicklung des Nachfolgers für IPv4 standen drei Vorschläge konkurrierend nebeneinander: Simple Internet Protocol Plus (SIPP), Common Architecture for the Internet (CATNIP, RFC 1707) und The TCP/UDP over CLNP-Addressed Networks (TUBA). Erst im Jahre 1993 erarbeitete eine eigene Arbeitsgruppe (IPNG) einen gemeinsamen Vorschlag. Die ersten Entwürfe führte man unter der Bezeichnung Internet Protocol next Generation (IPnG). Unter dem Namen Internet Protocol Version 6 (IPv6) entstanden im Laufe der Jahre 1995 und 1996 zahlreiche Entwürfe. Im Jahre 1997 wurde IPv6 zum "Draft Standard".

IPv6-Header im Detail

Die Vereinfachung der Header-Struktur zählt zu den bedeutendsten Neuerungen der IPv6-Spezifikation. Im Gegensatz zum Vorgänger IPv4 wurde der Header auf das unbedingt notwendige Minimum gekürzt. Dies ermöglicht eine schnellere Bearbeitung und somit einen schnelleren Transport über Router.

Der IPv6-Header im Detail

Name

Größe (in Bits)

Beschreibung

Version

4

Enthält bei IPv6 stets den Wert 6. Dieses Feld verwendet die Software zur Unterscheidung verschiedener IP-Versionen. Dies ermöglicht die parallele Verwendung unterschiedlicher Versionen des Protokolls.

Class

8

Gibt an, mit welcher Priorität die Daten auf dem Weg zum Ziel behandelt werden.

Flow-Label

20

Kennzeichnet einen Datenstrom zwischen Sender und Empfänger. Hierzu tragen alle Pakete, die zu einem bestimmten Datenstrom gehören, in diesem Feld den gleichen Wert.

Payload Length

16

Gibt die Länge des Datenpakets nach dem ersten Header an. Es werden die reinen Nutzdaten sowie alle vorhandenen optionalen Header berücksichtigt.

Next

8

Kennzeichnet den Typ des nächsten Header. Der Eintrag "59" bedeutet, dass weder weitere Header noch Daten folgen.

Hop-Limit

8

Legt fest, nach wie vielen Durchgängen durch einen Router das Datenpaket zur Vermeidung von Schleifen verworfen werden soll. Der Maximalwert in diesem Feld beträgt 255.

Source Address

128

Beinhaltet die Absenderadresse.

Destination Address

128

Beinhaltet die Adresse des Empfängers.

Da man alle bisher bereits benutzten Funktionen und auch neue Features des Protokolls verwenden möchte, ist eine Erweiterung des IPv6-Header notwendig. Dies geschieht nicht mehr wie in IPv4 mit Hilfe eines variabel langen Optionsfeldes, sondern durch die Verkettung von zusätzlichen Headern. Jeder Header hat eine bestimmte Funktion und wird nur bei Bedarf verwendet.

Neue Adressen

Die wohl wichtigste Änderung, die IPv6 mit sich bringt, ist die Vergrößerung des IP-Adressraums. Die Entscheidung, welche Anzahl von Bytes letztendlich benötigt wird, blieb lange offen. Erfahrungen bei der Zuteilung der IPv4-Adressen zeigen, dass nur ein Bruchteil der möglichen Adressen tatsächlich Verwendung findet. Der Grund hierfür liegt in der veralteten Einteilung in feste Klassen. In einem Class-B-Netz werden in der Praxis lediglich rund 2.500 Adressen der rund 65.000 Adressen tatsächlich genutzt.

Durch die Erweiterung der Adresslänge von 32 auf 128 Bit ergeben sich 2^128 mögliche IP-Adressen. Ausgeschrieben sind das astronomische 340.282.366.920.938.463.463.374.607.431.768.211.456 verschiedene Werte. Da diese Zahl von Normalsterblichen kaum zu fassen ist, haben sich findige Rechenkünstler einen nicht minder beeindruckenden Vergleich ausgedacht: Die Adressvielfalt reicht aus, um jeden Quadratkilometer der Erdoberfläche mit 665.570.793.348.866.943.898.599 Adressen abzudecken. Damit dürfte auch jede Waschmaschine problemlos eine eigene IP-Adresse abbekommen.

IPv6-Adressformat

Der Anwender kommt auch in Zeiten des Domain Name System (DNS) gelegentlich mit den IP-Adressen in Berührung. Für eine vereinfachte Schreibweise werden bei IPv4 vier Bytes einer Adresse als normale Zahlen zur Basis zehn notiert. Die einzelnen Bytes werden durch einen Punkt voneinander getrennt, zum Beispiel 127.0.0.1. Bei den neuen 128-Bit-Adressen von IPv6 führt dies jedoch zu einer äußerst unpraktischen Darstellung.

Aus diesem Grund verwendet IPv6 das Hexadezimalsystem. Dieses ermöglicht es, auch längere Zahlenreihen einigermaßen kompakt darzustellen. Man bildet Gruppen von je zwei Bytes und trennt sie durch einen Doppelpunkt, zum Beispiel 0000:0000:0000:3210:0123:4567:89AB:CDEF. Innerhalb einer Gruppe kann man auf führende Nullen verzichten. Um die noch immer langen Adressen weiter abzukürzen, darf man innerhalb einer Adresse eine Gruppe aufeinander folgender Nullen durch zwei Doppelpunkte ersetzen.

Laut Spezifikation von IPv6 können bestehende IPv4-Adressen innerhalb des Adressraums von IPv6 beibehalten werden. In diesem Fall kommt eine gemischte Schreibweise zum Einsatz: ::FFFF:127.0.0.1 entspricht also 0:0:0:0:0:FFFF:7F00:0001.

Arten von IPv6-Adressen

Die Internet Engineering Task Force (IETF) legte mit anderen Internet-Gremien wie dem Internet Architecture Board (IAB) und der Internet Society (ISOC) fest, dass die IPv6-Adressen von der Internet Assigned Numbers Authority (IANA) zentral verwaltet werden. Im Gegensatz zu den IPv4-Adressen ist die Vergabe der IPv6-Adressen nicht endgültig. Die neuen Adressenblöcke können wieder zurückgerufen werden, falls dies aus technischen Gründen oder wegen Missbrauchs erforderlich ist.

Bei IPv6 unterscheidet man zwischen drei Arten von Adressen:

Sicherheit und ICMP

Der Sicherheitsaspekt stand bei der Entwicklung von IPv6 von Anfang an im Mittelpunkt. Es wurden Sicherheitsstandards definiert, die sowohl für IPv6 als auch für IPv4 verwendet werden können. Auf Grund der neuen Standards ist es möglich, Angriffe zu verhindern, die sich auf Adressänderungen beziehen oder die Kommunikation ausspähen. Die einzelnen Sicherheitsverfahren gliedert man in folgende Bereiche:

Damit will man verhindern, dass ein Unbefugter den Inhalt der Nachricht auf dem Weg vom Sender zum Empfänger mitliest. Eine komplette Verschlüsselung stellt zudem sicher, dass die Nachricht nicht verändert werden kann. Der zweite Ansatz kommt ohne Verschlüsselung der Daten aus. Es wird eine Prüfsumme über den Datenblock erzeugt, der mit einem Schlüssel gesichert wird. Die Verwendung einer Prüfsumme mit einem nur dem Absender bekannten Wert ermöglicht gleichzeitig ein sicheres Verfahren zur Identifikation des Absenders.

IPv6 nutzt das Internet Control Message Protocol (ICMP) für IPv6 mit einigen Erweiterungen. Auf ICMP-Protokollelemente wird in Version 6 mit dem Wert 58 im Feld "Next" hingewiesen. Die wesentlichen Änderungen bei ICMP sind:

Fazit

IPv6 steckte lange in einem Henne-Ei-Problem. Solange es die Provider nicht flächendeckend nutzen, gibt es für die Anwender keinen Grund umzuschwenken und umgekehrt - zumal die neue Technologie einiges an Konfiguration erfordert. Moderne Netzwerk-Hardware kann zwar sowohl IPv4 wie auch IPv6 verwalten, allein die neuen IP-Adressen und die richtige Konfiguration erfordern aber einiges an Einarbeitung.

Die NAT-Technologie, ursprünglich als Zwischenlösung gedacht, hält sich dagegen inzwischen erstaunlich lange, auch wenn sie einige Nachteile mit sich bringt. Dagegen ist zu sagen, dass NAT aber quasi nebenbei einen nicht zu unterschätzenden Sicherheitsvorteil mit sich bringt, der gerade die Netzwerke weniger erfahrener Anwender absichert. Die kommende IPv6-Hardware steht also in der Verpflichtung vor allem für die Privatanwender mindestens den gleichen Schutz wie NAT zu garantieren - was durchaus machbar ist.

Denn der Wechsel zu IPv6 wirkt immer zwingender. Die neuen QoS-Mechanismen sorgen dafür, dass Anwendungen wie Streaming-Video besser verarbeitet werden können. Der größere Adressenraum macht Schluss mit NAT und kruden Mechanismen zum Verbindungsaufbau. Denn eins ist klar: Das Wachstum der internetfähigen Endgeräte wird nicht weniger werden - und irgendwann helfen auch Tricks wie NAT nicht mehr weiter. (tecchannel; mja) (wl)