ubuntuusers.de

IPv6: Überblick

allgemein.png

Beschäftigt man sich ein wenig mit Computern und Netzwerken, kam man in den vergangenen Monaten kaum an dem Schlagwort „IPv6“ vorbei. Das neue Internet-Protokoll wird als das Heilmittel für die Adress-Knappheit im Internet gehandelt, aber von anderer Seite als problematisch und als Gefahr für die Privatsphäre bezeichnet. Wir werfen einen Blick darauf.

Hinweis:

Dies ist ein Überblick über die notwendigsten Punkte, die zum Verständnis der Hintergründe von IPv6 notwendig sind. Umfassende Informationen bietet zum Beispiel der IPv6-Themenschwerpunkt auf heise.de sowie der Artikel IPv6 in der deutschsprachigen Wikipedia und seine Verlinkungen.

Dieser Artikel ist auch Teil der IPv6-Ikhaya-Serie. Weitere Artikel sind „IPv6: Was bedeutet das für mich?“ und „IPv6: ubuntuusers.de“.

Netzwerkprotokolle

Netzwerke, wie auch das Internet, stellen heute stark verzweigte Strukturen miteinander verbundener Rechner dar. Diese Rechner können sowohl Server, Laptops, Arbeitsplatz-PCs und mittlerweile auch mobile Geräte wie Tablets und Smartphones sein. Dazwischen finden sich Netzwerkkomponenten wie Switches und Router, die verschiedene Netzwerke und Netzwerkteile über unterschiedliche Übertragungswege wie z. B. Kupferkabel, Glasfaser oder Funk miteinander verbinden.

xkcd865.png
Wenn der Adressraum
knapp wird, ist ein neues
Netzwerk-Protokoll fällig
(xkcd unter CC BY-NC 2.5)

Die Rechner in diesen Netzen kommunizieren miteinander, obwohl sie in der Regel nicht wissen, wo ihr jeweiliges Gegenüber steht und wie die Informationen dorthin und wieder zurück kommen. Diese Sorge nehmen ihnen verschiedene Netzwerkprotokolle ab, die in mehreren Ebenen aufeinander aufbauen (siehe DoD-Schichtenmodell). So kümmert sich beispielsweise Ethernet um die Strecke zwischen dem DSL-Router und dem per Kabel daran angeschlossenen Rechner und WLAN um die Funkübertragung. Um über diese durch die Kabellänge oder die Sendeleistung begrenzte Strecke hinauszukommen, wird das Internet Protocol (IP) genutzt, das jedoch auf Ethernet, WLAN usw. aufbaut.

IP identifiziert seine Endpunkte durch die IP-Adresse (im Gegensatz zum darunter liegenden Ethernet, das die Hardware-Adresse beziehungsweise MAC-Adresse nutzt), baut jedoch keine bleibenden Verbindungen auf, sondern dient nur der Übertragung von Datenpaketen in eine Richtung. Sichere Verbindungen kommen dann mittels Transmission Control Protocol (TCP) zustande, das für die Übertragung zwingend auf IP aufsetzt und daher zusammen mit diesem als TCP/IP bekannt ist. TCP sorgt dafür, dass die gesendeten Daten auch wirklich ankommen und veranlasst gegebenenfalls das erneute Senden eines Datenpakets, wenn es den Empfänger nach einer bestimmten Zeit noch nicht erreicht hat.

Das Gesamtpaket TCP/IP wiederum transportiert dann Pakete der besser bekannten Protokolle HTTP, HTTPS, SMTP, POP, usw.

Internetprotokoll

Für die Zugänge über (Netzwerk-) Grenzen hinweg ist das IP-Protokoll ein sehr zentraler Punkt, denn dieses Protokoll transportiert letztendlich die Datenpakete, auch wenn höhere Protokolle eine Transportsicherung (TCP) oder Container für die Datenpakete spezifischer Anwendungen nachrüsten (zum Beispiel: HTTP für Web, SMTP für E-Mail und so weiter). Die Menge der Rechner, die miteinander kommunizieren können, wird durch die Anzahl der IP-Adressen begrenzt.

Ein Teil der verfügbaren IP-Adressen wurde als „privat“ deklariert und wird nicht im Internet geroutet. Diese Adressen finden sowohl in Firmen- und Heimnetzwerken Anwendung. DSL-Router sind in der Regel so eingestellt, dass sie im Heimnetz Adressen aus diesen Bereichen vergeben und diese dann im Internet mit ihrer eigenen „offiziellen“ Adresse maskieren (NAT). Da dadurch diese privaten Adressen tausendfach verwendet werden, wurde die Verknappung der IPv4-Adressen um einige Zeit hinausgezögert.

Was ist anders?

Die Länge

IPv6-Adressen haben eine Länge von 128 Bit und sind damit viermal so lange wie die bisherigen IP-Adressen von 32 Bit Länge. Die Größe des Adressraumes wächst damit ungefähr auf das Quadrilliardenfache (Faktor 296 entspricht etwa 79 Quadrilliarden), da jede Erhöhung um ein Bit eine Verdopplung der Adressen bewirkt. Insgesamt stehen künftig 340 Sextillionen (340 * 1036) Adressen zur Verfügung.

Das Aussehen

Um diese Adressen überhaupt vernünftig schreiben zu können, wurde ein neues Format gewählt. An Stelle von vier durch Punkte getrennten Zahlen (Beispiel: 192.168.255.1) treten bei IPv6 acht Blöcke hexadezimaler Zahlen, die durch Doppelpunkte getrennt werden (Beispiel: 2001:0db8:0002:1004:5054:00ff:fefd:02eb).

Zur Vereinfachung können die führenden Nullen eines Blocks weggelassen werden und aufeinander folgende Blöcke, die nur Nullen enthalten, können entfallen. Letzteres darf jedoch nur einmal pro Adresse angewandt werden, die Lücke, an der die Null-Blöcke fehlen, wird mit zwei aufeinander folgenden Doppelpunkten markiert.

IPv6 Notation & Kürzung
lange Schreibweise 2001:0db8:0000:0000:f054:00ff:0000:02eb
führende Nullen entfernt 2001:db8:0:0:f054:ff:0:2eb
Null-Blöcke zusammengefasst 2001:db8::f054:ff:0:2eb
Verkürzbare Bestandteile einer Adresse sind gelb markiert.

Wie auch IPv4-Adressen bestehen IPv6-Adressen aus einem Präfix, welches das Netzwerksegment bezeichnet in dem sich der Rechner befindet, und aus dem Client-Teil, der sich aus der Hardware-Adresse des jeweiligen Rechners ergibt und der dementsprechend als „Interface Identifier“ bezeichnet wird.

Die menschenmögliche Merkbarkeit wird durch die Komplexität der neuen Adressen erschwert, die sich durch ihre Länge und die Tatsache, dass sie nun hexadezimal beschrieben werden, ergibt. Bereits bei IPv4 griff man deswegen auf DNS zurück, das mit einem dicken Adressbuch verglichen werden kann, in dem zu Servernamen (wie zum Beispiel www.example.org) dann die richtige Adresse verzeichnet ist. Unter IPv6 führt an DNS nun kein Weg mehr vorbei.

Die Adressvergabe

Teilnehmer eines Netzwerks erzeugen sich bei IPv6 ihre Adresse selbst beziehnungsweise handeln sie untereinander aus. Ein DHCP-Server, wie zum Beispiel der DSL-Router im eigenen Heimnetz, ist nicht zwingend notwendig. Dabei weisen sich die Geräte selbst mehrere Adressen zu. Die erste, die Link-Lokale Adresse, leitet sich aus der Hardware-Adresse der Netzwerkschnittstelle ab und wird zur anfänglichen Kommunikation mit den direkten Nachbarn im Netz verwendet.

Diese müssen zuerst einmal mittels Neighbor Discovery Protocol gefunden werden und es wird auch der unwahrscheinliche Fall überprüft, dass bereits ein anderes Gerät im Netz die eigene IP-Adresse verwenden und gegebenenfalls eine neue Adresse generiert. Teil dieser ersten Kommunikation ist auch der Versuch, einen Router aufzuspüren, der den Zugang in weitere Netze ermöglichen soll. Von diesem erhält der Rechner dann auch ein Präfix, an das er dann den hinteren Teil seiner Link-Lokalen Adresse, den Teil der sich aus der MAC-Adresse ergibt, anfügt. Diese Adresse bleibt dauerhaft bestehen und der Rechner bleibt damit dauerhaft über seine IPv6-Adresse identifizierbar.

Das Präfix denkt sich der eigene Heimrouter im Übrigen nicht selbst aus, er bekommt es vom Internetzugangsprovider zugewiesen, wenn er sich z. B. mittels DSL anmeldet. Auch der Router erzeugt sich selbst dann eine IP-Adresse, analog zu dem oben beschriebenen Verfahren.

Ein Präfix ist quasi gleichbedeutend mit einem Netz, dessen Größe von der Netzmaske bestimmt wird. Eine Maske von 64 Bit (Schreibweise z.B.: 2001:db8:ff00:8dde::/64), wie sie unter anderem der Tunnelbroker SixXS an Nutzer vergibt, bietet ein Netz mit immer über 18 Trillionen Adressen. Innerhalb eines Unternehmens würde dieses Netz dann gegebenenfalls in weitere Subnetze unterteilt, im privaten Heimnetzwerk jedoch würde das vollständige Netz zur Verfügung stehen.

Privatsphäre

Der Adressraum von IPv6 ist groß genug, dass Internetzugangsanbieter ihren Kunden über die gesamte Vertragslaufzeit ein bleibendes Präfix zuweisen können, bislang gab es bei jeder Einwahl eine neue IP-Adresse.

Auch die Adressenbereiche, die private Internetanschlüsse erhalten, sind ausreichend, um jedem Rechner eine eigene Adresse zu verpassen, die er dauerhaft behalten kann. Das ist auch so angedacht, da die Hardware-Adresse der Netzwerkschnittstelle in die IP-Adresse mit eingeht. Für viele Gerätetypen wie zum Beispiel Server oder Netzwerkkomponenten ist das von Vorteil gegenüber IPv4. Aber auch Betreiber von Webseiten und Diensten zur gezielten Einblendung von Werbung dürften sich dann die Hände reiben, da der Anwender beziehungsweise sein Rechner dauerhaft mit nur einer Adresse identifizierbar bleibt.

Ein weiterer Punkt in diesem Zusammenhang ist, dass auch private Anwender nun ein ganzes Netz, statt wie bisher nur eine einzige IP-Adresse erhalten. Bislang wurde diese Adresse dem Router zugewiesen, der dann mittels NAT die Lokale IP-Adresse, die nur im Heimnetz Bedeutung hatte, den Zugang zum World Wide Web herstellte. Dies ist auch der Grund, warum Dienste wie ip.cc 🇬🇧 eine andere Adresse zeigen als zum Beispiel das Kommando ip -4 addr.

Konnte man bisher zwar den Internetzugang, jedoch nicht den genauen Rechner des Netzwerks ermitteln, macht IPv6 dies möglich. Mit IPv6 erhält der Router keine Adresse mehr, sondern ein Präfix und damit quasi ein ganzes Netz - NAT ist hier nicht mehr notwendig. Das bedeutet, die Betreiber von Webseiten finden die IP-Adresse des jeweiligen Rechners in ihren Logdateien anstatt wie bisher nur die des Internet-Routers.

Diese drei Punkte, ein dauerhaftes Präfix für den Internetzugang, eine feste Adresse des Rechners und der Wegfall von NAT, machen den Nutzer nur mit seiner IP-Adresse leichter und dauerhaft identifizierbar. Für den ersten Punkt sind die Provider gefragt, sie müssten weiterhin - zumindest auf Wunsch - dynamisch bei jeder Einwahl ein anderes Präfix zuweisen.

Punkt zwei versucht man mit den IPv6 Privacy Extensions in den Griff zu bekommen. Sind diese aktiviert, so erzeugen sie weitere Adressen, die nur eine begrenzte Gültigkeit haben. Nach deren Ablauf wird ein neue Adresse erzeugt und für Anfragen verwendet, die alte Adresse bleibt noch eine Zeit lang bestehen, um eingehende Antworten auf vergangene Anfragen mit jener Adresse annehmen zu können.

Das letzte Problem lässt sich lösen, wenn auch für IPv6 ein NAT-Mechanismus zur Verfügung steht. Dieses Verfahren, als NAT66 oder NPTv6 (Network Prefix Translation) bezeichnet, wurde im Juni 2011 als RFC 6296 🇬🇧 veröffentlicht. Hier sind nun die Router-Hersteller gefordert, es in ihren Produkten umzusetzen.

Prinzipiell würde die Zuweisung ständig wechselnder Präfixe zusammen mit NAT66 oder der Nutzung der Privacy Extensions einen vergleichbaren Schutz der Privatsphäre gewährleisten wie bisher im Zusammenhang mit IPv4.

Übergangszeit

Das Internet und die daran angeschlossenen Netzwerke von Organisationen, Firmen und privaten Nutzern lassen sich nicht zu einem bestimmten Stichtag schnell von einer Version des Internetprotokolls auf eine Neue umstellen. An diesem Punkt kommen Verfahren für die Übergangszeit zum Tragen.

Am meisten dürfte Dual-Stack Verbreitung finden. Hierbei nutzten Clients, Router und Server einen Netzwerk-Stack, der beide Internet-Protokolle implementiert und dadurch in beiden Welten zu Hause ist. Dies funktioniert jedoch nur, wenn alle Komponenten auf der Verbindung zwischen dem Rechner des Nutzers und dem von ihm genutzten Dienst durchgängig mindestens eine Version des IP-Protokolls beherrschen, ansonsten müssen Tunnel-Verfahren zum Einsatz kommen.

Hierbei werden die IPv6- in IPv4-Pakete eingepackt - oder umgekehrt, falls irgendwo ein Bruch in der IPv4-Verbindung bestünde. Eines der Verfahren hierfür ist 6to4, das von Routern genutzt werden kann, um Strecken zu überbrücken, die nur IPv4 bieten.

Teredo dagegen ist eine Tunnel-Methode, die bereits auf dem lokalen Rechner genutzt wird. Es stellt über IPv4 eine Verbindung zu einem Teredo-Server her, über die mittels IPv6 kommuniziert werden kann, sodass der Teredo-Server dann das Tor zur IPv6-Welt darstellt. Unter Linux existiert hierfür eine Umsetzung namens Miredo.

Eine weitere Methode sind Tunnel-Broker wie SixXS 🇬🇧 oder gogo6 🇬🇧. Sie stellen Endpunkte für Tunnel zu Verfügung, die sowohl mittels entsprechender Software auf dem eigenen Rechner genutzt werden können, als auch auf den Breitband-Routern verschiedener Hersteller. Manche Router lassen sich auch mittels OpenWRT so umrüsten, dass sie mittels eines Tunnel-Brokers das eigene Heimnetz IPv6-fähig machen, wie der heise-Artikel Taschenrouter als IPv6-Verteiler beschreibt.

Fazit

Das neue Internetprotokoll, das mit fast 14 Jahren gar nicht mehr so neu ist, kommt und es führt auch kein Weg daran vorbei. Seit den ersten Entwürfen des IPv6-Standards wurden zahlreiche Ergänzungen und Verbesserungen vorgenommen, zwischenzeitlich haben Netzbetreiber, Gerätehersteller und auch Software-Entwickler Erfahrungen damit gesammelt, so dass die meisten Endanwender keine bösen Überraschungen beim ersten Kontakt erleben werden. Es besteht kein Grund, wegen IPv6 pessimistisch in die Zukunft zu blicken oder vor dessen Einsatz Angst zu haben. Um Douglas Adams zu zitieren: „Keine Panik“

Was IPv6 für den einzelnen bedeutet, soll in einem gesonderten Beitrag beleuchtet werden.