IPv6 löst Business- und Security-Probleme

Die Wahrnehmung, dass IPv6 keine Vorteile bringt, sondern nur Kosten verursacht, ist in vielen Unternehmen noch verbreitet. Diese Sichtweise ignoriert jedoch Bereiche, in denen IPv4 zunehmend problematisch wird und IPv6 Lösungen bieten kann. In diesem Beitrag möchte ich Ihnen einen Überblick verschaffen.

Das IPv4-Internet wird zunehmend zu einem Zweitklassdienst

Die Realität ist, dass die Qualität des IPv4-Internets laufend abnimmt. Dies wird hauptsächlich durch sogenannte Carrier Grade NAT (CGNs) verursacht. CGN ist ein Mechanismus, den ISPs (Internet Service Provider) zunehmend einsetzen müssen, weil sie keine IPv4-Adressen mehr haben, um ihrem wachsenden Kundenstamm IPv4-Internetdienste bieten zu können. Dabei werden mehrere Kunden über eine öffentliche IPv4-Adresse ins Internet verbunden. Das ist aus mehreren Gründen problematisch:

  • Das CGN Gateway ist ein Flaschenhals und kann zu Performanceproblemen führen.
  • Durch das mehrfache Portmapping gibt es Dienste, die nicht mehr korrekt funktionieren.
  • Alle Kunden, die hinter einem CGN Gateway angebunden sind, erscheinen im Internet unter einer IPv4-Adresse. Wird einer dieser Kunden auf Blacklists gesetzt oder wird diese IPv4-Adresse gehackt, so sind alle anderen mit betroffen.
  • Geolocation und Webanalytics sind beeinträchtigt.
  • Forensics und rechtlich bedingte Nachverfolgung sind beeinträchtigt. Europol, die Strafverfolgungsbehörde der EU, die die EU Staaten darin unterstützt, gemeinsam gegen internationalen Terror und Kriminalität vorzugehen, ruft ISPs dazu auf, auf CGN und NAT zu verzichten.
  • Aus Sicht des ISPs sind die Kosten für den Betrieb von CGN IPv4-Internetzugang bis zu viermal so hoch wie der Betrieb von IPv6-nativem Internetzugang.
  • Der Aufwand für Logging ist für den ISP gigantisch, muss er doch nun doppeltes Portmapping loggen, um den gesetzlichen Anforderungen gerecht zu werden. Insbesondere mit dem Inkrafttreten des neuen Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (Büpf) führen CGNs dazu, dass ISPs im Rahmen der Vorratsdatenspeicherung zusätzlich angehalten sind, das gesamte Surfverhalten aller User zu speichern, da sie sonst nicht identifizierbar sind.

Immer mehr Kunden migrieren auf IPv6, um die Nachteile von CGN zu vermeiden. Das IPv4-Internet wird zunehmend zu einem Zweitklassdienst im Vergleich zu IPv6. Das ist relevant, sowohl aus Endusersicht (die Kunden von ISPs) als auch aus der Contentanbietersicht. Bei Informationswebseiten mag einfach die Performance eingeschränkt sein. Bei komplexeren Webseiten, wie z.B. E-Shops, wo eine Authentifizierung nötig ist, können CGNs auch dazu führen, dass der Dienst gar nicht mehr funktioniert.

Besonders ärgerlich ist dies, weil es sowohl aus Sicht des Endusers als auch aus der Sicht des Contentanbieters nicht sicht- und kontrollierbar ist, wann das passiert, weil der CGN, oder mehrere CGNs irgendwo auf der Transportstrecke zwischen Kunde und Webseite steht. Für den Endkunden sieht das einfach so aus, wie wenn die Webseite langsam oder nicht funktionsfähig ist.

Wie viele sind davon betroffen?

Die Ansicht, dass noch kaum jemand IPv6 benutzt, ist ebenfalls verbreitet, entspricht jedoch nicht der Realität. Dies darum, weil ein Enduser, dessen ISP IPv6 eingeführt hat, sich in der Regel gar nicht bewusst ist, dass er schon längst mit IPv6 surft. Sobald ein Internetbenutzer einen sogenannten Dual-stack-Internetzugang hat (d.h., beide Protokolle sind aktiv und er kann wahlweise IPv4 oder IPv6 benutzen), wird er auf jede Webseite, die ebenfalls dual-stack ist, über IPv6 zugreifen. Wer sich dafür interessiert, kann in seinem Browser ein Addon installieren, das ihm die jeweilige Verbindung anzeigt.

Nachfolgende Statistik wird von Google erstellt und zeigt, wie viele der Google-Besucher weltweit mit IPv6 auf Google zugreifen. Die Google Website ist seit 2012 öffentlich dual-stack.

IPV6-Zugriff-auf-Google
Abbildung: Weltweiter Zugriff auf Google mit IPv6

Per Ende März 2018 sind demzufolge rund 22% der globalen Internetbenutzer mit IPv6 unterwegs. In der Tat sind es natürlich mehr als 22%, da dies nur die Google-Perspektive ist und bestimmte Länder, wie z.B. China, nicht vollständig in der Statistik vertreten sind. 22% entspricht knapp einer Milliarde IPv6-Benutzern. Als Vergleich, der aufzeigt, wie schnell das Internet wächst: Die Welt hatte 2001 global gesehen total 350 Mio. Internetbenutzer (IPv4 und IPv6). Heute sind es 4,15 Mrd.

In Ländern in unserem Wirtschaftskreis sind die Zahlen deutlich höher. Belgien ist mit über 50% der World Leader seit 2014. In Belgien haben die meisten ISPs gleichzeitig IPv6 eingeführt, vor allem aus sicherheitsrechtlichen Gründen, weil sie CGNs vermeiden wollten. Deutschland geht gegen 40% und die Schweiz bewegt sich im Bereich von 30%, das sind rund 2,2 Mio User.

Für Contentanbieter mit Dual-stack-Webseiten bedeutet dies, dass rund 30% der Schweizer Benutzer mit IPv6 zugreifen und darunter ein guter Prozentsatz über IPv6 eine bessere User Experience hat als über IPv4.

Facebook, Akamai und LinkedIn berichten schon seit letztem Jahr, dass über 50% ihrer User via IPv6 zugreifen. Viele dieser User sind amerikanische mobile User. Dies, weil grosse Provider wie T-Mobile und Verizon Wireless Millionen von Usern IPv6-only Anschlüsse zur Verfügung stellen. Damit diese trotzdem strikte IPv4-Dienste wie z.B. Skype benützen können, gibt es Mechanismen wie 464XLAT. Solche Dienste werden auch von europäischen Mobile-Anbietern in Erwägung gezogen.

Was muss ich heute schon unternehmen?

Bei der Frage des Vorgehens und der Priorisierung gilt es zu unterscheiden zwischen dem öffentlichen Bereich der nach aussen angebotenen Dienste und dem internen Netzwerk.

  • Öffentliche Dienste: Hier ist es empfehlenswert, ab sofort alle öffentlichen Dienste dual-stack anzubieten. Damit gibt man allen dual-stack Internetusern die Chance, den Dienst mit guter Performance zu erreichen, falls sie schlechte IPv4-Anbindungen haben. Das ist auch nicht so aufwendig. Für die Startphase kann es reichen, die Website via einen dual-stack Proxy oder Loadbalancer anzubinden. Damit gewinnt man Zeit, die DMZ und das Backend schrittweise und sorgfältig umzustellen.
  • Interne Infrastruktur: Hier gelten andere Kriterien. Man versucht die Migration so zu planen, dass dabei möglichst geringe Kosten entstehen und minimale Risiken auftreten. Für die Kostenreduktion ist der beste Ansatz, das Ausrollen von IPv6 mit bereits bestehenden Produktlebenszyklen zu koordinieren. So kann man meist verhindern, dass nur wegen IPv6 neue Geräte oder Software angeschafft werden muss. Folgt man diesem Pfad, kann die Umstellung drei bis fünf Jahre dauern, je nach dem Status der Produktlebenszyklen. Früher hat man für Übergangsphasen als bevorzugte Variante ein Tunneling vorgesehen. Später hat sich der Dual-stack-Ansatz verbreitet. Dies hat sich aber bei der Umsetzung bald als zu komplex und aufwendig erwiesen. Heute geht die Tendenz eindeutig in Richtung IPv6-only – sobald als möglich, wo immer möglich. Cisco hat in San Jose ein IPv6-only Campus gebaut und damit gute Erfahrungen gemacht. Die Präsentation, die im Rahmen eines Anlasses des Swiss IPv6 Councils bei Digicomp durchgeführt wurde, steht zur Verfügung. Aussage des Cisco Engineers, der das Campus konfiguriert hat: «In 2017, dual-stack is a waste of time. IPv6-only works.» (Deutsch: «2017 ist dual-stack Zeitverschwendung, IPv6-only funktioniert.»)

Businesstreiber Internet of Things

Aus Businesssicht und Gründen des Investitionsschutzes ist es wichtig, die Infrastruktur früh genug auf die Einführung von IPv6-Diensten vorzubereiten. Wenn plötzlich ein unerwarteter Bedarf entsteht und die Basis (Netzwerk, Datacenter, Backend) nicht IPv6-fähig ist, kann das zu unnötigen Kosten und komplexen Szenarien führen. So geschehen bei den SBB. Das Business beschloss, Anfang 2019 die erste IoT (Internet of Things) App für Zugpassagiere zu lancieren. Sie kamen zur Netzwerkgruppe und beantragten rund 1000 IP-Adressen für 1200 Züge. Das sprengte den Rahmen der Möglichkeiten mit IPv4. Die App muss demzufolge mit IPv6-only ausgerollt werden (dual-stack funktioniert nur, wenn man noch genug IPv4-Adressen hat!). Da aber die ganze Netzinfrastruktur und das Backend heute noch IPv4-only sind, kommt man nicht darum herum, Translation (Übersetzung von IPv6 auf IPv4) einzusetzen. Das ist umständlich, komplex und aus Betriebs- und Troubleshooting-Perspektive ungünstig.

Abgesehen von solch zunehmend auftauchenden IoT-Adressanforderungen gibt es andere Gründe, die Infrastruktur IPv6-ready zu machen. Immer mehr Hersteller fangen an, IPv6 in ihren Produkten zu implementieren und teilweise auch vorzuschreiben. Wohl das bekannteste Beispiel ist Microsoft mit einigen Diensten, wie z.B. Exchange. Es ist nicht mehr möglich, IPv6 abzustellen. Microsoft verweigert in solchen Fällen teilweise sogar den Support. Apple verlangt seit iOS 9, dass in ihrem Appstore nur noch Apps angeboten werden, die IPv6-only fähig sind.

Wo fange ich an?

Wer sich einen guten und kompakten Überblick über bewährte planerische Fragestellungen und Vorgehensweisen machen will, kann dies am 7. Mai an einem 1-Tageskurs bei Digicomp machen. Wer sich vertiefter mit technischen Fragen und Migrationsszenarien auseinandersetzen möchte, kann dies am 3-Tages-Hands-On-Workshop tun. Da steht jedem Teilnehmer eine eigene Infrastruktur zur Verfügung, in der er sich ungehindert und risikofrei mit den neuen Mechanismen vertraut machen kann.

Nächste IPv6-Kurse mit Silvia Hagen

  • IPv6-Workshop, 1-tägiger Überblick, für Entscheidungsträger, Architekten, Netzwerk- und Security-Engineers sowie Applikationsentwickler
  • IPv6 Hands-On, 3-Tageskurs mit Hands-On-Lab
  • IPv6-Workshop, 1-tägiger Überblick, für Entscheidungsträger, Architekten, Netzwerk- und Security-Engineers sowie Applikationsentwickler
  • IPv6 Hands-On, 3-Tageskurs mit Hands-On-Lab
Silvia Hagen

1997 schrieb Silvia Hagen ihr erstes Buch über TCP/IP Troubleshooting, 2001 über IPv6: «IPv6 Essentials» für O’Reilly. Seit mehr als 15 Jahren leitet sie die Sunny Connection AG, wo sie nationale & internationale Firmen bei der Einführung von IPv6 berät & schult.

Diesen Artikel kommentieren

Wir sind sehr an einer offenen Diskussion interessiert, behalten uns aber vor, beleidigende Kommentare sowie solche, die offensichtlich zwecks Suchmaschinenoptimierung abgegeben werden, zu editieren oder zu löschen. Mehr dazu in unseren Kommentarregeln.