Generalüberholung für das Internet

Stefan Krempl (c't 20/1999)

Virtuelles Round-Table-Gespräch zu IPv6

Das neue Internetprotokoll soll Chinesen und Indern, aber auch Mikrowellen und Waschmaschinen eigene Netzanschlüsse sichern und die technische Seite der Netzkommunikation entschlacken und sicherer machen. Doch obwohl IPv6 Ende Juli offiziell in Betrieb ging, zögert die Wirtschaft mit dem Einsatz des neuen Protokolls. Noch fehlt die Killer-Applikation.


Das sich momentan im Einsatz befindliche Internet Protokoll Version 4 (IPv4) ist in die Jahre gekommen. Ihm droht trotz ständiger Fortentwicklung und allerlei technischer Tricks der Kollaps. Vier Milliarden eindeutige IP-Adressen kann es mit seiner Länge von 32 Bit zwar theoretisch zur Verfügung stellen. Doch lange vor dem Boom des Internet wurde mit diesen wichtigen Netzressourcen sehr freizügig verfahren. So waren die Zuweisungen von Netz-Adressen aus der A-Klasse an eine Firma oder Einrichtung fast immer hoffnungslos überdimensioniert. Die Internet Engineering Task Force (IETF) (http://www.ietf.org/) warnt daher seit Jahren vor der Knappheit an Netzadressen, zumal in den nächsten Jahren nicht nur Ländern wie China ein gigantisches Internetwachstum vorhergesagt wird, sondern auch Kühlschränke, Mikrowellen und Glühlampen auf ihrem eigenen Netzanschluß bestehen.

Um den vernetzten Haushalt Realität werden zu lassen und die globale Ausdehnung des Internet zu unterstützen, hatte die IETF bereits 1995 in Grundzügen ein neues, deutlich effizienteres Netzprotokoll ausgearbeitet, das IPv6 (http://www.ipv6.org). Lange Zeit schlummerte das neue, auf eine Adresslänge von 128 Bit erweiterte Protokoll allerdings einen Dornröschenschlaf und galt vielen als einer der zahlreichen Mythen des Netzes. Doch im Juli hat IPv6 nun zwei wichtige Meilensteine in seiner Geschichte passiert: Der Grand-Daddy des Internet, Vint Cerf (Stefan Krempl: Das Internet bleibt spannend. Interview mit Vint Cerf, c’t 3/98), der zusammen mit Robert Kahn das Internetprotokoll entwickelt hat, konnte eine Koalition wichtiger Firmen aus der Netzindustrie ­ darunter Sun Microsystems, Microsoft, und Cisco ­ zur Unterstützung des neuen Protokolls zusammenführen. Am 14 Juli hat die Internet Assigned Numbers Authority (IANA) (http://www.iana.org), die seit Jahren die Wurzeln des Netzes und seine Adressräume pflegt, zudem erstmals die neuen IPv6-Adressen offiziell ausgegeben und den Schritt als einen "historischen Moment in der kontinuierlichen Fortentwicklung des Internet" gefeiert.

Kritiker der Entwicklung fürchten dagegen, dass auf die Wirtschaft immense Kosten bei der Umstellung auf das Internetprotokoll der nächsten Generation zukommen und die Vorgaben der Techniker sogar vom Marktplatz ignoriert werden könnten. Unmut bei Datenschützern erregte jüngst auch die Tatsache, dass die Ethernet-Adapter-Adressen eines PCs in alle über das neue Internetprotokoll versandten Pakete eingebaut werden. Die auch als MAC-Adressen bekannten, 48 Bit langen Zahlenfolgen werden von den Computerherstellern als einmalige Identifikationsnummern vergeben. Als im März bekannt wurde, dass Microsoft mit Hilfe der MAC-Adressen Word- und Excel-Dokumente heimlich "stempelte", ging ein Aufschrei durch die Computerwelt (Christian Persson, Peter Siering: Big Brother Bill, c't 6/99, S. 16). Man befürchtete, dass die Redmonder mit Hilfe dieser eindeutigen Kennziffern persönliche Nutzerprofile aufbauen und Softwarepiraten auf die Schliche kommen wollten. Übertroffen wurde der Aufstand der Nutzer nur noch durch den Eklat, den Intel mit seinen umstrittenen Seriennummern für die neue Pentium-III-Chipreihe kurz zuvor ausgelöst hatte. Genau damit vergleicht Jim Fleming von der Unir Corporation aber die Pläne der IETF-Techniker: "Das ist genauso, als ob sie allen Menschen sagen würden, dass sie nun in einem Glashaus zu leben hätten."

Den momentan vorliegenden IPv6-Spezifikationen zufolge ist die MAC-Adresse tatsächlich Teil des IP-Headers bei IPv6. Die Kennziffer wird zwar um zahlreiche andere Informationen im "Kopf" von IPv6 erweitert, ist aber problemlos herauslesbar und so eine potentielle Gefährdung der Privatsphäre der Surfer. Mit dem Namen einer bestimmten Person ist die MAC-Adresse zwar zunächst nicht verbunden. Server können allerdings registrieren, mit welcher Kartennummer welche Sites abgerufen werden. Ähnlich wie mit den Cookies, die zahlreiche Anbieter den Surfern auf die Festplatte krümeln, lassen sich so anonyme Profile erstellen. Sobald ein Nutzer mit der Kreditkarte bezahlt oder für bestimmte Informationsabfragen seine persönlichen Daten preisgibt, lassen sich dann Verknüpfungen zu den diesen Profilen ziehen. Die Technikgemeinde bastelt allerdings momentan an einer Abhilfe: Auf der letzten IETF-Tagung im Juli in Oslo wurde bereits über einen Vorschlag diskutiert, demnach die MAC-Adressen verschlüsselt oder zufallsgeneriert in den von IPv6 generierten Datenpaketen "versteckt" werden könnte.

Angesichts der unklaren Situation rund um das Internetprotokoll der nächsten Generation befragte c’t Jürgen Rauschenbach, der beim Verein zur Förderung des Deutschen Forschungsnetzes (DFN) (http://www.dfn.de/) das JOIN-Projekt zum Aufbau eines IPv6-Kompetenzzentrums (http://www.join.uni-muenster.de) betreut, sowie Hans Peter Dittler, Gründer der Braintec Netzwerk Consulting (http://www.braintec-consult.de/) und stellvertretender Vorsitzender des deutschen Chapter der Internet Society (http://www.isoc.de/), zu den Auswirkungen und der geplanten Umsetzung des neuen Protokolls.


Q: Warum ist die Aufrüstung auf IPv6 nötig? Die Netzwelt scheint sich dank dynamischer IP-Adressenvergabe ganz gut mit IPv4 eingerichtet zu haben.

Jürgen Rauschenbach: Es sind verschiedene "Hilfsmittel" im Einsatz, um dem Problem 'Adressraumgröße' bei IPv4 zu begegnen. Dynamische Adressvergabe ist eine davon, die allerdings nur eingeschränkt verwendbar ist, da die eigene IP-Adresse bzw. die eines Partners im Netz ja dynamisch vergeben wird. Für einen PC, den man zum "Surfen" oder "Browsen" beziehungsweise für die elektronische Korrespondenz verwendet, ist das kein Problem. Wer aber selbst Informationen ins Web stellen oder an Videokonferenzen teilnehmen möchte, benötigt fest zugewiesene IP-Adressen. Und noch eines wird häufig übersehen: Auch bei dynamischer Adressvergabe benötigt man eindeutige IPv4-Adressen, so dass lediglich eine gewisse Verlangsamung des Wachstums des Adressbedarfs eintritt.

Unter diesem Aspekt ist die Verwendung eines sogenannten privaten Adressraumes etwas günstiger, da sich viele Einrichtungen aus demselben Adressvorat bedienen, der allerdings nicht im Internet geroutet wird. Um Endgeräte aus diesem Adressbereich erreichbar zu machen, muss eine Adressumsetzung (NAT oder Network address translation) erfolgen. Das hat wieder die schon oben genannten Nachteile und ist außerdem ineffektiv, da jedes Paket bearbeitet werden muss, und teuer, da zusätzliche Technik gebraucht wird. Häufig werden die beiden genannten Verfahren auch kombiniert. Es bleiben aber Übergangsvehikel, da der Adressbedarf nur gestreckt, das Problem nicht gelöst, sondern nur vertagt wird.

Hans Peter Dittler: Heute verstecken Netze oft ihre Anwender mit Hilfe von NAT hinter einigen wenigen "offiziellen" Adressen. Diese werden dynamisch an die einzelnen Verbindungen vergeben. Manche Netzwerkverwalter sehen dies sogar als zusätzliche Sicherung ihrer Netze gegen Angriffe von außen, da die Endgeräte selbst nicht im Internet sichtbar sind. Das ist jedoch nur ein scheinbarer Vorteil. Die Sicherheit durch Verstecken erkauft man sich durch zusätzlichen Aufwand mit dem NAT-Gateway. Jede Nachricht muß dort bearbeitet werden. Das Gateway muß betreut und verwaltet werden. Nicht alle Dienste im Internet lassen sich mit dynamischen Adressen verwirklichen, schon der Aufbau von Voice-Verbindungen, die vom Internet her kommen, macht große Schwierigkeiten oder erfordert zusätzlichen Aufwand bei der Konfiguration des Gateways. Außerdem ist die Verwaltung von Netzen mit festen Adressen deutlich einfacher und das Suchen von Fehlern in Netzen mit dynamisch zugeteilten Adressen ist für den Verwalter ein wahrer Alptraum.


Q: Was sind außer der Erweiterung des Adressraums die wichtigsten Features von IPv6?

Rauschenbach: Die Entwicklung des Internet verlief auch für die Pioniere dieser Technologie überraschend. So veränderten sich die Vergaberegeln für IP-Adressen mehrfach zu einem deutlich restriktiverem Vorgehen. Dennoch führt die viele Jahre praktizierte unstrukturierte Vergabe zu relativ großen "Routingtabellen": Ein Router sorgt in einem lokalen Netz für die korrekte Verbindung nach aussen, in dem er erkennt, dass die Zieladresse auf einem bestimmten Weg, über ein spezielles Interface zu erreichen ist. In der Routingtabelle steht genau diese Information: Netz a.b.c.d ist über die IP-Adresse a1.b1.c1.d1 ­ das ist meist der nächstgelegene Router ­ zu erreichen.

Ohne zwei wichtige Fortentwicklungen bei der Adressvergabe und den "Wegbeschreibungen" für die IP-Pakete wäre ein Wachstum des Netzes aber bald nicht mehr möglich gewesen: Mit Hilfe von Classless InterDomain Routing (CIDR) wurde das klassische Konzept der Einteilung von IP-Adressen in die Klassen A, B, C (und D) aufgehoben, in dem nunmehr der Beginn des Adressraumes und die Prefixlänge verwendet werden. So steht etwa 192.76.176.0/24 (24 relevante Bits für den Netzteil) für das frühere C-Netz 192.76.176.0. Wenn nun 2 Netze aufeinander folgen, kann ich das als 192.76.176.0/23 schreiben. Auf diese Art verringert sich die Anzahl der notwendigen Routen. Dieses Zusammenfassen nennt man Aggregieren. Nur mit CIDR und Aggregierung konnte das Internet die letzten Jahre überleben. Der Sinn davon ist die Verkleinerung bzw. Erreichen eines moderaten Wachstums der Routingtabellen sowie Zuweisung eines "maßgeschneiderten" IP-Adressraums (nicht mehr A, B, C).


Bei IPv6 kann man aufbauend auf diesen Erfahrungen von Anfang an auf die Aggregierung der Adressen achten. Wichtig ist auch, dass IPv6 standardmäßig Sicherheitsmechanismen enthält. Gerade bei der zunehmend kommerziellen Nutzung des Internet ist das sehr wichtig. Vorteile verspricht das neue Protokoll auch in Bezug auf Plug&Play, im Falle eines Providerwechsel meist notwendiger Umnummerierung und bei der Unterstützung von Dienstqualität. Bei allen Unterschieden darf man nicht übersehen, dass es immer noch ein Internet-Protokoll (IP) ist - es handelt sich nicht um eine völlig neue Kommunikationsarchitektur.

Dittler: Neben den deutlichen Vorteilen durch die hierarchischen Strukturen der neuen Adressen, die ein Zusammenfassen in großem Stile ermöglichen, sollte man auch nicht die Erleichterungen für den Systemverwalter vergessen. IPv6 stellt neue Möglichkeiten zur automatischen Konfiguration von Endgeräten zur Verfügung. Speziell kleinere Netze lassen sich völlig automatisch ohne den Eingriff eines Verwalters mit Adressen versorgen. Auch neu in eine Konfiguration hineingebrachte Geräte können automatisch aus dem Netz die notwendigen Informationen abholen, um sich richtig zu parametrisieren und gleichzeitig den Zugang zu Routern und damit den Übergängen in andere Teile des Netzes zu finden.

Mit IPv6 wurde auch die Entwicklung von IPSEC begonnen. Mit den dort definierten Methoden lassen sich Nachrichten gegen unbefugtes Mitlesen schützen (Verschlüsselung), Manipulationen entdecken (Signatur des Inhalts) und eindeutig Absender und Ziel identifizieren (Signatur der Adressen). Diese Konzepte waren ursprünglich Bestandteil von IPv6. Im Laufe der Entwicklung wurden sie jedoch herausgelöst und selbständig weiter entwickelt. Sie stehen heute auch für IPv4 zur Verfügung. Ihre Verwendung auf breiter Basis wird jedoch mit dem variablen Header-Konzept von IPv6 noch einmal deutlich einfacher. Außerdem erfordert der Einsatz von IPSEC die Ende-zu-Ende-Gültigkeit von Adressen, die ja auf Dauer nur mit dem größeren Adressraum von IPv6 erreichbar ist.

Daneben existieren noch eine Reihe weiterer, meist kleinerer Verbesserungen in IPv6. So wurden zum Beispiel einfachere Methoden zur Adressierung von Gruppen (Multicast) von Empfängern eingeführt. Auch eine Unterstützung von mobilen Endgeräten lässt sich mit IPv6 erheblich einfacher realisieren, als es mit der bisher eingesetzten Versionen von IP möglich ist.


Q: Wie werden die neuen Möglichkeiten die sich eingespielte Netzkommunikation und das Internet insgesamt verändern?

Dittler: Durch IPv6 kann das Internet in eine neue Größenordnung wachsen. IPv6 ist so ähnlich zu IPv4, dass alle bisher bekannten und benutzen Verfahren im Netz in gleicher oder ähnlicher Form weiter benutzt werden können. Die Einführung von IPv6 ist kein Bruch und wird auch nicht mit dem Umdrehen eines zentralen Schalters zu einem bestimmten Zeitpunkt erfolgen. IPv6 ergänzt bestehende Strukturen. Die Einführung kann nur ganz allmählich und Schritt für Schritt erfolgen. Es fehlt allerdings bisher die Vision einer großen "Killerapplikation", die nur mit IPv6 realisiert werden könnte. Taucht solch eine Idee für einen neuen Dienst oder eine neue Form der Kommunikation aus den Labors auf, dann wird die Notwendigkeit von IPv6 ganz andere Dimensionen annehmen und die Einführung würde sehr viel schneller gehen.

Rauschenbach: Es geht eigentlich mehr um eine Anpassung an die wachsenden Anforderungen. Das Internet wird besser in die Lage versetzt, eine sichere Kommunikation in guter Dienstqualität anzubieten, und zwar für eine noch immer exponentielle wachsende Nutzerschaft. Andererseits verschlechtern sich die Überlebenschancen des Internet, wenn der Übergang zu IPv6 ausbleibt oder zu spät kommt.


Q: Eine umstrittene Eigenschaft von IPv6 ist, dass die MAC-Adressen in den "Briefumschlag" der Datenpakete eingebaut werden und Surfer so ihre Anomymität im Netz verlieren. Sind andere Lösungen denkbar bzw. aus Ihrer Sicht sinnvoll?

Dittler: Der Einsatz der MAC-Adresse als weltweit eindeutiges Element in einer IPv6-Adresse wurde wohl ohne großes Nachdenken über Privacy einzelner Nutzer in den Standard hinein geschrieben. Bei genauer Betrachtung, die jetzt von der aktuellen Diskussion um die Verwendung dieser Information zum Beispiel bei der Registrierung von Software laut wurden, fällt jedoch auf, dass diese Art der Adresserzeugung vor allem in Firmennetzen mit automatischer Generierung von Adressen benutzt werden soll. Auch dort kann die Adresse jederzeit manuell durch eine andere ersetzt werden. Beim Anschluß eines einzelnen PCs über eine ISDN-Leitung, wie für einzelne Benutzer wohl oft zutreffend, wird im Standard einfach die Nummer des Anschlusses (beginnend ab 1) zur Erzeugung der lokalen Adresse verwendet. Der Standard bietet daher auch schon heute Möglichkeiten für Anwender, die Probleme mit ihren Adressen sehen. Weiter geht ein Vorschlag zur Änderung des Standards, der gerade in der IETF diskutiert wird: bei jedem Einschalten des Rechners wird die MAC-Adresse mit einem Zufallsgenerator verwürfelt und daraus dann die IP-Adresse errechnet.

Rauschenbach: Der lokale Teil einer IPv6-Adresse (64 Bit) enthält in der Regel einen Subnetzidentifikator und einen Interface-Identifikator. Um die Vorteile der Autokonfiguration nutzen zu können, empfiehlt es sich, das IEEE EUI-64 Format zu verwenden. Die IEEE (http://www.ieee.org/) ist als Ingenieurorganisation für die unteren Netzebenen federführend. Daher lag es nahe, ihr Format auszuwählen. In diesem Fall wäre die MAC-Adresse ein Bestandteil der lokalen Adresse. Das ist aber nicht verbindlich. Meine persönliche Einschätzung ist, dass Anonymität im Netz häufig dann gefordert wird, wenn Werbemails und Spam verschickt werden sollen oder andere unlautere Handlungen beabsichtigt werden.


Q: Wie und bis wann wird sich die Umstellung auf das neue Protokoll ohne Brüche bewerkstelligen lassen? Wird die Wirtschaft die Migration überhaupt mit tragen?

Rauschenbach: IPv6 ist seit der IETF-Tagung in Minneapolis Anfang 1999 in den Grundzügen endlich fertig standardisiert. Am 31. Juli 1999 wurde die erste IP-Adresse für das neue Internet vergeben. Man muss realistisch gesehen aber von einem mehrere Jahre dauernden Übergangsprozess ausgehen, in dem IPv4 und IPv6 koexistieren. Besonders bis zum Erreichen des Break-Even-Punktes ­ also bis die Zahl der IPv6-Adressen die der IPv4-Adressen überholt ­ werden wir wahrscheinlich eine eher allmähliche Entwicklung sehen. Für den Anfang gibt es Verwendungsmöglichkeiten für IPv6 vor allem bei den sehr im Aufwärtstrend liegenden mobilen Geräteklassen wir Palmtops, Internet-Handys und anderer personenbezogener Technik. Internetprovider werden sicher auch im kommenden Jahr ein IPv6-Angebot in ihre Palette aufnehmen. Wenn ich eine Zahl nennen soll, dann schätze ich den IPv6-Anteil im Internet im Jahre 2002 auf mindestens 10 Prozent. Vielleicht klingt das etwas vorsichtig, aber man darf nicht vergessen, dass wir uns heute noch in der Betatestphase befinden. Aber die Wirtschaft wird die Vorteile sicher aufgreifen. Die Hersteller von Endgeräten und Routern sind ja auf die Entwicklung vorbereitet. Wahrscheinlich fehlt nur noch eine überzeugende Initialzündung, zu der wir im Rahmen des neugegründeten IPv6-Forum beitragen möchten: Gemeinsam mit über 40 Mitgliedern werden der DFN und die Deutsche Telekom am 8. und 9. Dezember eine IPv6-Konferenz des IPv6-Forums in Berlin durchführen.

Dittler: Wie schon angedeutet, wird sich der Übergang nur sehr langsam vollziehen. Derzeit gibt es keine zwingenden Gründe, ein funktionierendes Netz von IPv4 auf IPv6 umzustellen. Endkunden mit einzelnen PCs, Verwalter von Firmennetzen und Anbieter von Netzwerkgeräten warten alle auf den Durchbruch des neuen Protokolls. Solange keine direkte Notwendigkeit besteht und das Wachstum mit den Mitteln von IPv4 noch bewältigt werden kann, wird diese Haltung sicher weiter das Internet dominieren. Gibt es neue Bereiche mit zusätzlichem Wachstum oder entstehen neue auf IPv6 basierende Anwendungen, so werden wir eine sehr schnelle Einführung von IPv6 erleben. Stützt sich die Notwendigkeit nur auf den Adressraum, so wird das Internet noch viele Jahre mit IPv4 auskommen können.


Q: Welche Rolle kann der DFN-Verein bei der Migration spielen? Wann wird zumindest das deutsche Wissenschaftsnetz von IPv6 "beflügelt" werden?

Rauschenbach: Der DFN-Verein ist seit mehreren Jahren in Form von Projekten mit diesem Thema befasst und wird auch weiterhin auf diesem Gebiet tätig sein. Wichtig ist uns die Einbindung in internationale Projekte. Die DFN-Nutzergemeinde stellt eine der größten Gruppen am IPv6-Testnetz 6bone (http://www.6bone.org), und auch an einem Testnetz der europäischen Forschungsnetzorganisationen werden wir uns beteiligen. Die nächste Generation des auf Übertragungsraten im Gigabitbereich ausgebauten Wissenschaftsnetzes startet im Frühjahr 2000 ­ noch ohne IPv6 als Dienst, aber auf jeden Fall in enger Verbindung mit der Entwicklung des neuen Protokolls, um zu gegebener Zeit für den Übergang gewappnet zu sein.