Generalüberholung für das Internet
Stefan Krempl (c't 20/1999)
Virtuelles Round-Table-Gespräch zu IPv6
Das neue Internetprotokoll soll Chinesen und Indern, aber auch
Mikrowellen und Waschmaschinen eigene Netzanschlüsse sichern und
die technische Seite der Netzkommunikation entschlacken und sicherer
machen. Doch obwohl IPv6 Ende Juli offiziell in Betrieb ging,
zögert die Wirtschaft mit dem Einsatz des neuen Protokolls. Noch
fehlt die Killer-Applikation.
Das sich momentan im Einsatz befindliche Internet Protokoll Version
4 (IPv4) ist in die Jahre gekommen. Ihm droht trotz ständiger
Fortentwicklung und allerlei technischer Tricks der Kollaps. Vier
Milliarden eindeutige IP-Adressen kann es mit seiner Länge von
32 Bit zwar theoretisch zur Verfügung stellen. Doch lange vor
dem Boom des Internet wurde mit diesen wichtigen Netzressourcen
sehr freizügig verfahren. So waren die Zuweisungen von Netz-Adressen
aus der A-Klasse an eine Firma oder Einrichtung fast immer hoffnungslos
überdimensioniert. Die Internet Engineering Task Force (IETF)
(http://www.ietf.org/) warnt daher seit Jahren vor der Knappheit
an Netzadressen, zumal in den nächsten Jahren nicht nur Ländern
wie China ein gigantisches Internetwachstum vorhergesagt wird,
sondern auch Kühlschränke, Mikrowellen und Glühlampen auf ihrem
eigenen Netzanschluß bestehen.
Um den vernetzten Haushalt Realität werden zu lassen und die globale
Ausdehnung des Internet zu unterstützen, hatte die IETF bereits
1995 in Grundzügen ein neues, deutlich effizienteres Netzprotokoll
ausgearbeitet, das IPv6 (http://www.ipv6.org). Lange Zeit schlummerte
das neue, auf eine Adresslänge von 128 Bit erweiterte Protokoll
allerdings einen Dornröschenschlaf und galt vielen als einer der
zahlreichen Mythen des Netzes. Doch im Juli hat IPv6 nun zwei
wichtige Meilensteine in seiner Geschichte passiert: Der Grand-Daddy
des Internet, Vint Cerf (Stefan Krempl: Das Internet bleibt spannend.
Interview mit Vint Cerf, ct 3/98), der zusammen mit Robert Kahn
das Internetprotokoll entwickelt hat, konnte eine Koalition wichtiger
Firmen aus der Netzindustrie darunter Sun Microsystems, Microsoft,
und Cisco zur Unterstützung des neuen Protokolls zusammenführen.
Am 14 Juli hat die Internet Assigned Numbers Authority (IANA)
(http://www.iana.org), die seit Jahren die Wurzeln des Netzes
und seine Adressräume pflegt, zudem erstmals die neuen IPv6-Adressen
offiziell ausgegeben und den Schritt als einen "historischen Moment
in der kontinuierlichen Fortentwicklung des Internet" gefeiert.
Kritiker der Entwicklung fürchten dagegen, dass auf die Wirtschaft
immense Kosten bei der Umstellung auf das Internetprotokoll der
nächsten Generation zukommen und die Vorgaben der Techniker sogar
vom Marktplatz ignoriert werden könnten. Unmut bei Datenschützern
erregte jüngst auch die Tatsache, dass die Ethernet-Adapter-Adressen
eines PCs in alle über das neue Internetprotokoll versandten Pakete
eingebaut werden. Die auch als MAC-Adressen bekannten, 48 Bit
langen Zahlenfolgen werden von den Computerherstellern als einmalige
Identifikationsnummern vergeben. Als im März bekannt wurde, dass
Microsoft mit Hilfe der MAC-Adressen Word- und Excel-Dokumente
heimlich "stempelte", ging ein Aufschrei durch die Computerwelt
(Christian Persson, Peter Siering: Big Brother Bill, c't 6/99,
S. 16). Man befürchtete, dass die Redmonder mit Hilfe dieser eindeutigen
Kennziffern persönliche Nutzerprofile aufbauen und Softwarepiraten
auf die Schliche kommen wollten. Übertroffen wurde der Aufstand
der Nutzer nur noch durch den Eklat, den Intel mit seinen umstrittenen
Seriennummern für die neue Pentium-III-Chipreihe kurz zuvor ausgelöst
hatte. Genau damit vergleicht Jim Fleming von der Unir Corporation
aber die Pläne der IETF-Techniker: "Das ist genauso, als ob sie
allen Menschen sagen würden, dass sie nun in einem Glashaus zu
leben hätten."
Den momentan vorliegenden IPv6-Spezifikationen zufolge ist die
MAC-Adresse tatsächlich Teil des IP-Headers bei IPv6. Die Kennziffer
wird zwar um zahlreiche andere Informationen im "Kopf" von IPv6
erweitert, ist aber problemlos herauslesbar und so eine potentielle
Gefährdung der Privatsphäre der Surfer. Mit dem Namen einer bestimmten
Person ist die MAC-Adresse zwar zunächst nicht verbunden. Server
können allerdings registrieren, mit welcher Kartennummer welche
Sites abgerufen werden. Ähnlich wie mit den Cookies, die zahlreiche
Anbieter den Surfern auf die Festplatte krümeln, lassen sich so
anonyme Profile erstellen. Sobald ein Nutzer mit der Kreditkarte
bezahlt oder für bestimmte Informationsabfragen seine persönlichen
Daten preisgibt, lassen sich dann Verknüpfungen zu den diesen
Profilen ziehen. Die Technikgemeinde bastelt allerdings momentan
an einer Abhilfe: Auf der letzten IETF-Tagung im Juli in Oslo
wurde bereits über einen Vorschlag diskutiert, demnach die MAC-Adressen
verschlüsselt oder zufallsgeneriert in den von IPv6 generierten
Datenpaketen "versteckt" werden könnte.
Angesichts der unklaren Situation rund um das Internetprotokoll
der nächsten Generation befragte ct Jürgen Rauschenbach, der
beim Verein zur Förderung des Deutschen Forschungsnetzes (DFN)
(http://www.dfn.de/) das JOIN-Projekt zum Aufbau eines IPv6-Kompetenzzentrums
(http://www.join.uni-muenster.de) betreut, sowie Hans Peter Dittler,
Gründer der Braintec Netzwerk Consulting (http://www.braintec-consult.de/)
und stellvertretender Vorsitzender des deutschen Chapter der Internet
Society (http://www.isoc.de/), zu den Auswirkungen und der geplanten
Umsetzung des neuen Protokolls.
Q: Warum ist die Aufrüstung auf IPv6 nötig? Die Netzwelt scheint
sich dank dynamischer IP-Adressenvergabe ganz gut mit IPv4 eingerichtet
zu haben.
Jürgen Rauschenbach: Es sind verschiedene "Hilfsmittel" im Einsatz,
um dem Problem 'Adressraumgröße' bei IPv4 zu begegnen. Dynamische
Adressvergabe ist eine davon, die allerdings nur eingeschränkt
verwendbar ist, da die eigene IP-Adresse bzw. die eines Partners
im Netz ja dynamisch vergeben wird. Für einen PC, den man zum
"Surfen" oder "Browsen" beziehungsweise für die elektronische
Korrespondenz verwendet, ist das kein Problem. Wer aber selbst
Informationen ins Web stellen oder an Videokonferenzen teilnehmen
möchte, benötigt fest zugewiesene IP-Adressen. Und noch eines
wird häufig übersehen: Auch bei dynamischer Adressvergabe benötigt
man eindeutige IPv4-Adressen, so dass lediglich eine gewisse Verlangsamung
des Wachstums des Adressbedarfs eintritt.
Unter diesem Aspekt ist die Verwendung eines sogenannten privaten
Adressraumes etwas günstiger, da sich viele Einrichtungen aus
demselben Adressvorat bedienen, der allerdings nicht im Internet
geroutet wird. Um Endgeräte aus diesem Adressbereich erreichbar
zu machen, muss eine Adressumsetzung (NAT oder Network address
translation) erfolgen. Das hat wieder die schon oben genannten
Nachteile und ist außerdem ineffektiv, da jedes Paket bearbeitet
werden muss, und teuer, da zusätzliche Technik gebraucht wird.
Häufig werden die beiden genannten Verfahren auch kombiniert.
Es bleiben aber Übergangsvehikel, da der Adressbedarf nur gestreckt,
das Problem nicht gelöst, sondern nur vertagt wird.
Hans Peter Dittler: Heute verstecken Netze oft ihre Anwender mit
Hilfe von NAT hinter einigen wenigen "offiziellen" Adressen. Diese
werden dynamisch an die einzelnen Verbindungen vergeben. Manche
Netzwerkverwalter sehen dies sogar als zusätzliche Sicherung ihrer
Netze gegen Angriffe von außen, da die Endgeräte selbst nicht
im Internet sichtbar sind. Das ist jedoch nur ein scheinbarer
Vorteil. Die Sicherheit durch Verstecken erkauft man sich durch
zusätzlichen Aufwand mit dem NAT-Gateway. Jede Nachricht muß dort
bearbeitet werden. Das Gateway muß betreut und verwaltet werden.
Nicht alle Dienste im Internet lassen sich mit dynamischen Adressen
verwirklichen, schon der Aufbau von Voice-Verbindungen, die vom
Internet her kommen, macht große Schwierigkeiten oder erfordert
zusätzlichen Aufwand bei der Konfiguration des Gateways. Außerdem
ist die Verwaltung von Netzen mit festen Adressen deutlich einfacher
und das Suchen von Fehlern in Netzen mit dynamisch zugeteilten
Adressen ist für den Verwalter ein wahrer Alptraum.
Q: Was sind außer der Erweiterung des Adressraums die wichtigsten
Features von IPv6?
Rauschenbach: Die Entwicklung des Internet verlief auch für die
Pioniere dieser Technologie überraschend. So veränderten sich
die Vergaberegeln für IP-Adressen mehrfach zu einem deutlich restriktiverem
Vorgehen. Dennoch führt die viele Jahre praktizierte unstrukturierte
Vergabe zu relativ großen "Routingtabellen": Ein Router sorgt
in einem lokalen Netz für die korrekte Verbindung nach aussen,
in dem er erkennt, dass die Zieladresse auf einem bestimmten Weg,
über ein spezielles Interface zu erreichen ist. In der Routingtabelle
steht genau diese Information: Netz a.b.c.d ist über die IP-Adresse
a1.b1.c1.d1 das ist meist der nächstgelegene Router zu erreichen.
Ohne zwei wichtige Fortentwicklungen bei der Adressvergabe und
den "Wegbeschreibungen" für die IP-Pakete wäre ein Wachstum des
Netzes aber bald nicht mehr möglich gewesen: Mit Hilfe von Classless
InterDomain Routing (CIDR) wurde das klassische Konzept der Einteilung
von IP-Adressen in die Klassen A, B, C (und D) aufgehoben, in
dem nunmehr der Beginn des Adressraumes und die Prefixlänge verwendet
werden. So steht etwa 192.76.176.0/24 (24 relevante Bits für den
Netzteil) für das frühere C-Netz 192.76.176.0. Wenn nun 2 Netze
aufeinander folgen, kann ich das als 192.76.176.0/23 schreiben.
Auf diese Art verringert sich die Anzahl der notwendigen Routen.
Dieses Zusammenfassen nennt man Aggregieren. Nur mit CIDR und
Aggregierung konnte das Internet die letzten Jahre überleben.
Der Sinn davon ist die Verkleinerung bzw. Erreichen eines moderaten
Wachstums der Routingtabellen sowie Zuweisung eines "maßgeschneiderten"
IP-Adressraums (nicht mehr A, B, C).
Bei IPv6 kann man aufbauend auf diesen Erfahrungen von Anfang
an auf die Aggregierung der Adressen achten. Wichtig ist auch,
dass IPv6 standardmäßig Sicherheitsmechanismen enthält. Gerade
bei der zunehmend kommerziellen Nutzung des Internet ist das sehr
wichtig. Vorteile verspricht das neue Protokoll auch in Bezug
auf Plug&Play, im Falle eines Providerwechsel meist notwendiger
Umnummerierung und bei der Unterstützung von Dienstqualität. Bei
allen Unterschieden darf man nicht übersehen, dass es immer noch
ein Internet-Protokoll (IP) ist - es handelt sich nicht um eine
völlig neue Kommunikationsarchitektur.
Dittler: Neben den deutlichen Vorteilen durch die hierarchischen
Strukturen der neuen Adressen, die ein Zusammenfassen in großem
Stile ermöglichen, sollte man auch nicht die Erleichterungen für
den Systemverwalter vergessen. IPv6 stellt neue Möglichkeiten
zur automatischen Konfiguration von Endgeräten zur Verfügung.
Speziell kleinere Netze lassen sich völlig automatisch ohne den
Eingriff eines Verwalters mit Adressen versorgen. Auch neu in
eine Konfiguration hineingebrachte Geräte können automatisch aus
dem Netz die notwendigen Informationen abholen, um sich richtig
zu parametrisieren und gleichzeitig den Zugang zu Routern und
damit den Übergängen in andere Teile des Netzes zu finden.
Mit IPv6 wurde auch die Entwicklung von IPSEC begonnen. Mit den
dort definierten Methoden lassen sich Nachrichten gegen unbefugtes
Mitlesen schützen (Verschlüsselung), Manipulationen entdecken
(Signatur des Inhalts) und eindeutig Absender und Ziel identifizieren
(Signatur der Adressen). Diese Konzepte waren ursprünglich Bestandteil
von IPv6. Im Laufe der Entwicklung wurden sie jedoch herausgelöst
und selbständig weiter entwickelt. Sie stehen heute auch für IPv4
zur Verfügung. Ihre Verwendung auf breiter Basis wird jedoch mit
dem variablen Header-Konzept von IPv6 noch einmal deutlich einfacher.
Außerdem erfordert der Einsatz von IPSEC die Ende-zu-Ende-Gültigkeit
von Adressen, die ja auf Dauer nur mit dem größeren Adressraum
von IPv6 erreichbar ist.
Daneben existieren noch eine Reihe weiterer, meist kleinerer Verbesserungen
in IPv6. So wurden zum Beispiel einfachere Methoden zur Adressierung
von Gruppen (Multicast) von Empfängern eingeführt. Auch eine Unterstützung
von mobilen Endgeräten lässt sich mit IPv6 erheblich einfacher
realisieren, als es mit der bisher eingesetzten Versionen von
IP möglich ist.
Q: Wie werden die neuen Möglichkeiten die sich eingespielte Netzkommunikation
und das Internet insgesamt verändern?
Dittler: Durch IPv6 kann das Internet in eine neue Größenordnung
wachsen. IPv6 ist so ähnlich zu IPv4, dass alle bisher bekannten
und benutzen Verfahren im Netz in gleicher oder ähnlicher Form
weiter benutzt werden können. Die Einführung von IPv6 ist kein
Bruch und wird auch nicht mit dem Umdrehen eines zentralen Schalters
zu einem bestimmten Zeitpunkt erfolgen. IPv6 ergänzt bestehende
Strukturen. Die Einführung kann nur ganz allmählich und Schritt
für Schritt erfolgen. Es fehlt allerdings bisher die Vision einer
großen "Killerapplikation", die nur mit IPv6 realisiert werden
könnte. Taucht solch eine Idee für einen neuen Dienst oder eine
neue Form der Kommunikation aus den Labors auf, dann wird die
Notwendigkeit von IPv6 ganz andere Dimensionen annehmen und die
Einführung würde sehr viel schneller gehen.
Rauschenbach: Es geht eigentlich mehr um eine Anpassung an die
wachsenden Anforderungen. Das Internet wird besser in die Lage
versetzt, eine sichere Kommunikation in guter Dienstqualität anzubieten,
und zwar für eine noch immer exponentielle wachsende Nutzerschaft.
Andererseits verschlechtern sich die Überlebenschancen des Internet,
wenn der Übergang zu IPv6 ausbleibt oder zu spät kommt.
Q: Eine umstrittene Eigenschaft von IPv6 ist, dass die MAC-Adressen
in den "Briefumschlag" der Datenpakete eingebaut werden und Surfer
so ihre Anomymität im Netz verlieren. Sind andere Lösungen denkbar
bzw. aus Ihrer Sicht sinnvoll?
Dittler: Der Einsatz der MAC-Adresse als weltweit eindeutiges
Element in einer IPv6-Adresse wurde wohl ohne großes Nachdenken
über Privacy einzelner Nutzer in den Standard hinein geschrieben.
Bei genauer Betrachtung, die jetzt von der aktuellen Diskussion
um die Verwendung dieser Information zum Beispiel bei der Registrierung
von Software laut wurden, fällt jedoch auf, dass diese Art der
Adresserzeugung vor allem in Firmennetzen mit automatischer Generierung
von Adressen benutzt werden soll. Auch dort kann die Adresse jederzeit
manuell durch eine andere ersetzt werden. Beim Anschluß eines
einzelnen PCs über eine ISDN-Leitung, wie für einzelne Benutzer
wohl oft zutreffend, wird im Standard einfach die Nummer des Anschlusses
(beginnend ab 1) zur Erzeugung der lokalen Adresse verwendet.
Der Standard bietet daher auch schon heute Möglichkeiten für Anwender,
die Probleme mit ihren Adressen sehen. Weiter geht ein Vorschlag
zur Änderung des Standards, der gerade in der IETF diskutiert
wird: bei jedem Einschalten des Rechners wird die MAC-Adresse
mit einem Zufallsgenerator verwürfelt und daraus dann die IP-Adresse
errechnet.
Rauschenbach: Der lokale Teil einer IPv6-Adresse (64 Bit) enthält
in der Regel einen Subnetzidentifikator und einen Interface-Identifikator.
Um die Vorteile der Autokonfiguration nutzen zu können, empfiehlt
es sich, das IEEE EUI-64 Format zu verwenden. Die IEEE (http://www.ieee.org/)
ist als Ingenieurorganisation für die unteren Netzebenen federführend.
Daher lag es nahe, ihr Format auszuwählen. In diesem Fall wäre
die MAC-Adresse ein Bestandteil der lokalen Adresse. Das ist aber
nicht verbindlich. Meine persönliche Einschätzung ist, dass Anonymität
im Netz häufig dann gefordert wird, wenn Werbemails und Spam verschickt
werden sollen oder andere unlautere Handlungen beabsichtigt werden.
Q: Wie und bis wann wird sich die Umstellung auf das neue Protokoll
ohne Brüche bewerkstelligen lassen? Wird die Wirtschaft die Migration
überhaupt mit tragen?
Rauschenbach: IPv6 ist seit der IETF-Tagung in Minneapolis Anfang
1999 in den Grundzügen endlich fertig standardisiert. Am 31. Juli
1999 wurde die erste IP-Adresse für das neue Internet vergeben.
Man muss realistisch gesehen aber von einem mehrere Jahre dauernden
Übergangsprozess ausgehen, in dem IPv4 und IPv6 koexistieren.
Besonders bis zum Erreichen des Break-Even-Punktes also bis
die Zahl der IPv6-Adressen die der IPv4-Adressen überholt werden
wir wahrscheinlich eine eher allmähliche Entwicklung sehen. Für
den Anfang gibt es Verwendungsmöglichkeiten für IPv6 vor allem
bei den sehr im Aufwärtstrend liegenden mobilen Geräteklassen
wir Palmtops, Internet-Handys und anderer personenbezogener Technik.
Internetprovider werden sicher auch im kommenden Jahr ein IPv6-Angebot
in ihre Palette aufnehmen. Wenn ich eine Zahl nennen soll, dann
schätze ich den IPv6-Anteil im Internet im Jahre 2002 auf mindestens
10 Prozent. Vielleicht klingt das etwas vorsichtig, aber man darf
nicht vergessen, dass wir uns heute noch in der Betatestphase
befinden. Aber die Wirtschaft wird die Vorteile sicher aufgreifen.
Die Hersteller von Endgeräten und Routern sind ja auf die Entwicklung
vorbereitet. Wahrscheinlich fehlt nur noch eine überzeugende Initialzündung,
zu der wir im Rahmen des neugegründeten IPv6-Forum beitragen möchten:
Gemeinsam mit über 40 Mitgliedern werden der DFN und die Deutsche
Telekom am 8. und 9. Dezember eine IPv6-Konferenz des IPv6-Forums
in Berlin durchführen.
Dittler: Wie schon angedeutet, wird sich der Übergang nur sehr
langsam vollziehen. Derzeit gibt es keine zwingenden Gründe, ein
funktionierendes Netz von IPv4 auf IPv6 umzustellen. Endkunden
mit einzelnen PCs, Verwalter von Firmennetzen und Anbieter von
Netzwerkgeräten warten alle auf den Durchbruch des neuen Protokolls.
Solange keine direkte Notwendigkeit besteht und das Wachstum mit
den Mitteln von IPv4 noch bewältigt werden kann, wird diese Haltung
sicher weiter das Internet dominieren. Gibt es neue Bereiche mit
zusätzlichem Wachstum oder entstehen neue auf IPv6 basierende
Anwendungen, so werden wir eine sehr schnelle Einführung von IPv6
erleben. Stützt sich die Notwendigkeit nur auf den Adressraum,
so wird das Internet noch viele Jahre mit IPv4 auskommen können.
Q: Welche Rolle kann der DFN-Verein bei der Migration spielen?
Wann wird zumindest das deutsche Wissenschaftsnetz von IPv6 "beflügelt"
werden?
Rauschenbach: Der DFN-Verein ist seit mehreren Jahren in Form
von Projekten mit diesem Thema befasst und wird auch weiterhin
auf diesem Gebiet tätig sein. Wichtig ist uns die Einbindung in
internationale Projekte. Die DFN-Nutzergemeinde stellt eine der
größten Gruppen am IPv6-Testnetz 6bone (http://www.6bone.org),
und auch an einem Testnetz der europäischen Forschungsnetzorganisationen
werden wir uns beteiligen. Die nächste Generation des auf Übertragungsraten
im Gigabitbereich ausgebauten Wissenschaftsnetzes startet im Frühjahr
2000 noch ohne IPv6 als Dienst, aber auf jeden Fall in enger
Verbindung mit der Entwicklung des neuen Protokolls, um zu gegebener
Zeit für den Übergang gewappnet zu sein.