Warum eigentlich IPv6?
tl;dr: IPv6 ist gut für Leute, die sich auskennen. Für den DAU ist es ein Albtraum. Und eigentlich kann man mit bestehender Technik beliebig viele Geräte ans Netz bekommen.
IPv4 ist dem Untergang geweiht und IPv6 steht vor der Tür, ach gewissermaßen schon im Flur. Denn die Adressen gehen zu Ende. Mit 4 Milliarden IP-Nummern ist bald das Ende der Fahnenstange erreicht. Wirklich?
Meine Versuche – Airport Express über FritzBox an Alice – IPv6 einzurichten waren bisher erfolglos und auch meine Server bei Strato zickten so rum, dass ich ihnen IPv6 wieder wegnehmen musste.
Aber die Probleme bei der Migration sind sicher nicht nur in der nichttrivialen Einrichtung zu suchen. Tatsächlich gibt es beispielsweise erhebliche Irritationen in Bezug auf den Datenschutz. Anfangs haben unter anderem Apple-Geräte ihre eindeutigen MAC-Adresse in die IP-Adresse eingebaut und waren damit immer wiedererkennbar. Aber selbst nach der Aktivierung der “Privacy Extensions” sind Rechner für eine bestimmte Zeit identifizierbar und ein Dritter mit Zugang auf Logfiles verschiedener Services (z.B. ein Targeter) kann Beziehungen zwischen der Nutzung mehrerer Dienste herstellen.
Auf der operativen Ebene gibt es momentan Bestrebungen, die Adressvergabe bei IPv6 grundlegend zu ändern. Statt, wie bisher, die Adressen frei (also ohne Ansehen der Person) zu vergeben sollen sie zukünftig zu einer Handelsware werden. Der Markt soll die Verteilung regeln. Es ist absehbar, dass Adresshändler große Blöcke horten und wie bei jedem limitierten Gut werden die Preise langsam aber sicher steigen.
Eine Frage stellt sich jedoch unabhängig von der offensichtlich problematischen Migration: Warum eigentlich IPv6?
Aus Sicht eines technophilen Menschen bietet v6 den tollen Vorteil der statischen IP-Adresse. Jedes Gerät zu Hause ist zukünftig erreichbar. Bisher machte einem die tägliche Neuvergabe der Adresse durch den Provider einen Strich durch die Rechnung. Man brauchte einen Service wie dyndns der einen Hostnamen auf die aktuelle IP-Adresse im DNS einträgt. Und dieses Setup hat noch den Nachteil, dass man hinter einem NAT-Router ist. Dieser erlaubt nur ein Gerät in der DMZ. Hat man mehrere Geräte, die über den gleichen Service laufen sollen wird die Konfiguration schon extrem aufwendig. Für viele anderen Dienste als httpd (Webserver) ist eine Konfiguration auf Basis von Hostnamen nicht möglich.
Mit der Aktivierung der Privacy Extensions für IPv6 entfällt jedoch der Vorteil der eindeutigen Adresse. Man benötigt wieder einen dynamischen DNS. Auf dem Gerät muss also ein Dienst laufen, der dem DNS-Server Bescheid sagt, dass sich seine Adresse geändert hat. Der einzige Vorteil, der dann noch bleibt ist die Tatsache, dass im heimischen Netzwerk alle Geräte auch alle Protokolle parallel anbieten können und von aussen erreichbar sind.
Mit der bestehenden Technik können im Prinzip 4 Milliarden Server und Heim-/Office-Netze bedient werden. Effektiv sind es vielleicht nur 1 Milliarde weil große Firmen große Blöcke haben, die sie nicht nutzen. Viele Server bieten mehrere Web-Seiten unter der gleichen IP-Adresse an und lösen nach Namen auf. Und viele Telcos betreiben Handys ebenfalls hinter NATs. Warum auch nicht? Fast alles läuft über http und selbst Skype bohrt sich durch Port 80 nach aussen.
Wer ausser technophilen Leuten möchte also alle Geräte zu Hause oder im Büro nach aussen sichtbar haben? Ist nicht NAT tatsächlich eine der besten Schutzeinrichtungen vor klassischen Viren und Trojanern, die sich über Lücken in Betriebssystemen verbreiten und nicht auf die Mithilfe der Nutzer angewiesen sind. Wollen die Nerds allen Ernstes wieder regelmäßig bei Freunden und Familie schlechte Router und OS konfigurieren und updaten?
[Update] Tim Pritlove hat in seinem aktuellen CRE-Podcast #197 das Thema IPv6 aufgegriffen und dort gibt es etliche Informationen insbesondere zu den technischen Grundlagen. [Update]
Nein, ich möchte mich nicht weiter mit den Ärgernissen von NAT, wie z.B. Adressüberlappungen herum plagen.
Zweiklasseninternet ist unfair, vor allem denen gegenüber (ISPs, Firmen, Länder), die bei der Verteilung der echten alten Adressen zu kurz gekommen sind.
Außerdem, dass PE und Serverbetrieb ein Widerspruch sind, ist ja wohl klar. Bei einem (Heim)Server PE einschalten und anschließend jammern, dass man wieder dyndns braucht, grenzt an Persönlichkeitsspaltung.
Die Probleme mit Strato sollten lösbar sein, andere Kunden schaffen es schließlich auch.
Mit freundlichen Grüßen
Thomas Schäfer
Thomas Schäfer
15 Jul 12 at 9:01 pm
@Thomas: Stimme Dir zu bzgl. Fairness und Netzneutralität. Nur ist ja grade die aktuell diskutierte Adressvergabepraxis die Basis für eine zukünftig noch schlechtere Situation.
Der Widerspruch mag Dir und mir klar sein. Das ändert aber nichts daran, dass Du und ich künftig wieder Anrufe von DAUs bekommen werden, die – Wunder der Technik – von obskuren Sites angegriffen werden (egal ob PE eingeschaltet ist oder nicht). Ich erinnere mich noch lebhaft an die Zeiten von ISDN ohne Router. Zwar wird das Scannen mit IPv6 nicht mehr so einfach (wg. sehr großem Adressraum) aber wenn mich nicht alles täuscht, werden böse Buben den Zugriff die Adresse über kompromittierte Banner und ähnliches erlangen.
qrios
16 Jul 12 at 11:04 am
Das mit der Adressvergabepraxis sehe ich nicht so dramatisch wie in dem Artikel dargestellt. Ich gebe zu, ihn nur überflogen zu haben. IPv6-Adressen sind kein knappes Gut – deshalb sind sie rein wirtschaftlich betrachtet und das tun tatsächlich immer mehr Internetgiganten, allen voran einige Spinner in den USA und einige Luschen bei der ITU, auch nicht verkäuflich, jedenfalls nicht über ein Verwaltungshonorar hinaus. Die Deals mit IPv4-Adressen sind mir egal, das Pferd ist tot, auch wenn es noch so getreten wird. Einzig ein Problem in dieser Richtung wurde prima von IPv4 nach IPv6 vererbt und das ist der gnadenlose Umgang mit den Routingtabellen, obwohl jedem normaldenkenden Menschen schon klar sein müsste, dass 2^32 /32 Routen eigentlich schon mehr als die Schmerzgrenze sind.
Was Scanner betrifft, natürlich wird keiner wild in einem Subnetz suchen, sondern vorher Fallen stellen oder den Verkehr belauschen, je nach dem an welcher Steller der Hack erfolgt. Anderseits seit ISDN ist auch windows sicherer geworden. Rdesktop & co. laufen dann auch besser, d.h. die Hilfe zum DAU wird einfacher.
MfG
Thomas Schäfer
Thomas Schäfer
16 Jul 12 at 6:07 pm
*hüstel* wie willst du deinem schwiegerpapa mit rdp helfen, wenn er sich das netz verkonfiguriert hat?
(ansonsten teile ich quriosens befürchtung nicht. aber er scheint ja gerne zu ranten
caveman
16 Jul 12 at 6:42 pm
Wenn er sich das Netz komplett verkonfiguriert hat, ist natürlich alles zu spät. Aber es gibt mehr, was man mit Remoteunterstützung erledigen kann. Und da muss man zukünfig nur noch Firewalls aufmachen und nicht hoffen, dass NAT das irgendwie mit Hilfsprogrammen oder manuellen Eingriffen – wie TCP-Weiterleitung- irgendwie doch durchlässt.
Thomas Schäfer
16 Jul 12 at 8:05 pm
Also ich persönlich habe mich schon viele STunden mit IPv4-NAT herumgeschlagen und langsam bin ich es leid. Einmal z.B. als ich jemandem per VNC helfen wollte und wir beide hinter einem NAT waren. Ich habe es nciht geschafft, die beiden NATs zu überbrücken – und das obwohl ich sogar noch einen dritten Rechner mit eigener IP versucht hatte, dazwischen zu schalten.
Die ganzen Scheinargumente von wegen Sicherheit sind keine ARgumente gegen IPv6. Gegen Wiedererkennung und Adressbereichscanner helfen die Privacy Extensions. Und wenn dann trotzdem immernoch jemand die Adresse rausfindet, dann kann man immernoch eine Firewall installieren.
Dieses Herumgetue, dass NAT ein Sicherheitsfeature wäre, stimmt einfach nciht – NAT ist eine Krücke, die dazu dient, das IPv4-Adress-Sharing zu ermöglichen. Wer Datenverkehr filtern will, muss dafür keine Addressen umschreiben, eine einfache Firewall reicht.
Anonymous
2 Oct 12 at 6:32 pm