Als vor über 30 Jahren die technischen Grundlagen für das Internet geschaffen wurden, war sein durchschlagender Erfolg kaum absehbar. Inzwischen ist es aber für uns selbstverständlich, dass auch Fernseher und Spielekonsolen immer online sind. Hinzu kommen noch die Milliarden an Smartphones, die für viele von uns aus dem Alltag kaum mehr wegzudenken sind. Und auch die noch vor wenigen Jahren kühne technische Vision von Kühlschränken oder Waschmaschinen, die automatisch Waren beim Händler bestellen, wird Realität werden.
IPv4: Adressen sind restlos aufgebraucht
Was das alles mit dem Internetprotokoll zu tun hat? Eine ganze Menge. Denn wie schon der Name vermuten lässt, bildet es die Basis für jegliche Internetkommunikation. Damit Datenpakete den Weg zu einem Gerät finden, muss es mittels einer individuellen Adresse erreichbar sein. Die IP-Adresse besteht aus vier durch jeweils einen Punkt getrennte Nummernblöcke zwischen 1 und 255, zum Beispiel 192.168.1.1. Rechnerisch erlaubt dieser Adressenpool die Vergabe von 4 Milliarden Adressen und damit Geräten.
Eine enorme Zahl, die den technischen Erfindern des Protokolls Anfang der 1980er Jahre für alle nur denkbaren Bedürfnisse mehr als ausreichend erschien. Doch bereits Anfang der 1990er Jahre wurde deutlich, dass der Adressraum knapp werden könnte. Das lag insbesondere daran, dass das Internet massentauglich wurde und immer mehr Nutzer anzog.
IPv6: Ermöglicht mehrere Sextillionen Adressen
Die Antwort auf die Adressknappheit ist die Version 6 des Internetprotokolls (IPv6). Rein rechnerisch ermöglicht IPv6 die Bereitstellung von mehreren Hundert Sextillionen Adressen. Wirklich jeder aktuell auf der Erde lebende Mensch könnte mehr Adressen erhalten, als er jemals Geräte besitzen könnte. Möglich wird dies durch einen völlig anderen Aufbau der Adressen: Sie bestehen aus acht Blöcken mit jeweils vier Stellen in hexadezimaler Schreibweise. Die Blöcke werden mit Doppelpunkten voneinander getrennt, zum Beispiel:2001:0db8:85a3:08d3:1319:8a2e:0370:7344
Die ersten vier Blöcke werden Prefix genannt und üblicherweise vom Zugangsanbieter zugewiesen und an den Router übermittelt. Die letzten vier Blöcke heißen Device Identifier. Sie werden individuell einem Gerät zugewiesen und bleiben auch dann gleich, wenn es sich in andere Netze einwählt.
Dieser Block kann gemäß Spezifikation direkt aus der Hardware-Adresse (MAC-Adresse) eines Netzwerk-Geräts gebildet werden. Das bedeutet auch ein Umdenken im Alltag, wenn ein Gerät etwa direkt über seine Adresse erreicht werden soll. Denn da auch in diesem Protokoll Portangaben gemacht werden können, müssen diese ja von der eigentlichen Adresse getrennt erfolgen. Bei IPv4 macht man das, indem man die Portnummer durch einen Doppelpunkt getrennt anhängt, zum Beispiel so: 192.168.1.1:21. Da IPv6-Adressen selbst Doppelpunkte in der Adresse tragen, setzt man sie zur Angabe einer Portnummer in eckige Klammern und fügt dahinter einen weiteren Doppelpunkt mit der Portangabe ein, also beispielsweise so: [2001:0db8:66b5:07h5:1012:8c5e:0913:6232]:21
Wollen Sie herausfinden, ob Sie vielleicht bereits den neuen Standard verwenden oder ob zumindest Ihr Internetanschluss technisch dazu in der Lage ist? Mit Web-Diensten wie www.test-ipv6.com finden Sie es heraus.
IPv6 – das sind die Vorteile des neuen Standards
IPv6 löst nicht nur die Adressknappheit des vorherigen Standards. Der Einsatz bietet auch zusätzliche Vorteile. Da es schon heute weniger Adressen als Geräte gibt, muss ein Trick herhalten, um die Datenpakete in den internen Netzwerken in Firmen und Haushalten zu verteilen: „private“ IPv4-Adressen in Kombination mit Network Adress Translation (NAT). Als „private“ IP-Adressen bezeichnet man solche, die nur für die Verwendung in internen Netzwerken gedacht sind und daher mehrfach benutzt werden können, während öffentliche IP-Adressen weltweit einmalig sein müssen, um eine eindeutige Adressierbarkeit zu gewährleisten. Für private IPs sind bestimmte Adressbereiche vorgegeben, zum Beispiel der Bereich 192.168.xxx.xxx. Er wird in nahezu jedem Heim-oder Firmennetzwerk genutzt. Damit Netzwerkgeräte trotz privater IPs auch über das Internet miteinander kommunizieren können, kommt NAT ins Spiel. Dieses Verfahren ist im Router implementiert und übernimmt die Vermittlung zwischen internen IPs und der öffentlichen IP-Adresse, die sich alle Geräte teilen.
Netzwerkgeräte mit einer privaten IP-Adresse lassen sich entsprechend nicht über das Internet direkt ansprechen. Das ist sicherheitstechnisch ein entscheidender Vorteil. Der Nachteil ist allerdings, dass es so erst einmal nicht möglich ist, hinter einem Router mit NAT zum Beispiel einen Server zu betreiben, auf den man aus dem Internet zugreifen kann. Dazu muss im Router erst eine Portweiterleitung eingerichtet werden, die Anfragen, die an der öffentlichen IP-Adresse ankommen, je nach angegebenem Port an eine bestimmte interne IP weiterleitet.
NAT fordert eine gewisse Rechenleistung vom Router, kann also im Extremfall die Übertragung der Datenpakete leicht verzögern. Je mehr Geräte gleichzeitig Daten abfordern, umso mehr Arbeit muss der Router verrichten.
Hier kann IPv6 seine Stärken ausspielen. Denn da ja jedes Gerät eine eigene öffentlich erreichbare IP-Adresse bekommen kann, ist es auch potenziell direkt aus dem Internet ansprechbar. Es ist also kein NAT mehr nötig – das vermeidet Verzögerungen.
Umstellung: So verläuft der Übergang von IPv4 zu IPv6
Aus nachvollziehbaren Gründen kann der Wechsel auf das neue Protokoll nicht mit dem sprichwörtlichen Paukenschlag und von einem Tag auf den anderen erfolgen. Das würde zu Chaos allerorten führen, denn noch ist nicht jede Hardware in der Lage, mit IPv6-Adressen umzugehen. Mit einer plötzlichen Umstellung wären alle diese Geräte von heute auf morgen offline. Die Migration auf den neuen Standard wird zwar derzeit von Zugangsanbietern forciert, aber bis flächendeckend nur noch per IPv6 kommuniziert wird, dürfte noch einige Zeit vergehen.
Für eine möglichst reibungslose Umstellung gibt es verschiedene Szenarien. Im einfachsten Fall setzt der Zugangsanbieter einen Parallelbetrieb aus IPv6 und IPv4 auf. Dies wird als Dual-Stack („DS“) bezeichnet. Alle Knoten eines Netzwerks beherrschen beide Verfahren. Dies dürfte auch noch für einige Jahre der Normalbetrieb sein. Der Zugangsanbieter vergibt in diesem Fall für beide Protokolle eine IP-Adresse. Kennzeichnend für einen echten Dual Stack ist, dass der Anschluss eine öffentliche IPv4-Adresse besitzt. Das Verfahren bietet den großen Vorteil, dass alle bestehenden Dienste weiterhin unter gewohnter Adresse erreicht werden können. Nach und nach kann man bestehende Dienste per IPv6 erreichbar machen.
Um einen echten Parallelbetrieb von beiden Protokollen zu ermöglichen, müssten Internetzugangsprovider allerdings jedem Anschluss neben der IPv6-Adresse auch eine „klassische” IP-Adresse zuweisen. Ein echter Dual-Stack-Betrieb kommt aber nicht überall zum Einsatz. Denn vielen Providern, insbesondere denen, die noch nicht lange auf dem Markt sind, gehen schon jetzt die ihnen zugeteilten IPv4-Adressen aus. Dann muss er auf „Dual-Stack Lite“ (DS-Lite) zurückgreifen.
IPv4: Etliche Anwender erhalten keine öffentlichen Adressen mehr
Der Anschluss des Kunden erhält dabei neben einer öffentlichen IPv6-Adresse nur eine private IPv4-Adresse von einem netzseitigen NAT-Router des Providers zugewiesen („Carrier-Grade NAT“). Bei ausgehenden Verbindungen bemerkt der Nutzer davon wenig bis gar nichts. Wenn er aber bestimmte Netzwerkgeräte für eingehende Anfragen benutzen will, stößt er auf ein Problem. Denn diese sind nur über die öffentliche IPv6-Adresse direkt erreichbar, also nur für Benutzer, die ebenfalls bereits IPv6-fähige Internetzugänge und Hardware benutzen.
Um auch auf den privaten IPv4-Adressen für eingehende Verbindungen erreichbar zu sein, müssen Sie theoretisch eine Portweiterleitung auf dem netzseitigen NAT-Router des Providers einrichten – was aber daran scheitert, dass Sie darauf aus nachvollziehbaren Gründen keinen Zugriff haben. Sie können sich aber eines Umwegs bedienen:
Vielleicht besitzen Sie bereits ein Gerät, das einen so genannten Relay-Dienst anbietet und den direkten Anschluss von weiteren Komponenten erlaubt. Ein Beispiel dafür sind etwa die NAS-Server des Herstellers Synology, an die etwa auch Webcams angeschlossen werden können. Mit Quick Connect betreibt Synology einen Dienst, über den sich solche Komponenten dann über den Synology-Server ansprechen lassen. Eine andere Option besteht in der Anlage eines Tunnels, um einen IPv6-Anschluss über ein IPv4-Netz zu erreichen. Hier helfen Anbieter wie www.sixxs.net weiter. Die Einrichtung ist nicht besonders schwierig und auf den Hilfeseiten des Anbieters gut erklärt. Der Dienst nutzt einen speziellen Client zur Einrichtung, der für nahezu alle aktuellen Betriebssysteme angeboten wird.
IPv6: So aktivieren Sie das Protokoll in Ihren Geräten
Je nachdem, welchen Provider Sie nutzen, ist das Aktivieren beziehungsweise Deaktivieren von IPv6 in den Optionen eines Router einfach oder schwierig. Sie sollten sich grundsätzlich bewusst sein, dass Sie nach Arbeiten am Router, sofern Sie so tief in die Optionen des Geräts eingreifen, riskieren, dass etwas nicht mehr funktioniert. Im Zuge der Umstellung und in Abhängigkeit des verfügbaren Leitungsnetzes bietet beispielsweise Kabel Deutschland (Vodafone) allein drei Protokoll-Varianten an. IPv4-only, Dual-Stack-Betrieb mit IPv4 und IPv6 sowohl Dual-Stack-Lite-Betrieb.
Am einfachsten ist die Umstellung für Nutzer einer Fritzbox, egal, ob diese vom Provider stammt oder selbst in Betrieb genommen wurde. Denn der Hersteller bietet schon seit einiger Zeit echten Dual-Stack-Betrieb in seinen Geräten an. In aktuellen Geräten aktivieren Sie IPv6 etwa (die genauen Dialog-Bezeichnungen können je nach Modell abweichen) so:
Wer die Fritzbox 6431 von O2 verwendet, findet die entsprechenden Optionen in der Rubrik „Heimnetz”. Dazu muss im Browser das Konfigurationsmenü des Geräts mit „o2.box” aufgerufen werden. Unter „Heimnetz/LAN” sind die beiden Register für DHCPv4 und DHCPv6 untergebracht. In beiden Dialogen finden erfahrene Anwender die Einstellungen, um das interne Netz zu steuern. O2 weist aber ausdrücklich darauf hin, dass Änderungen der IPv6-Konfiguration schlimmstenfalls dazu führen können, dass die Box gar nicht mehr erreichbar ist. Wer bereits ein internes Netz auf IPv6 umstellen will, unabhängig davon, ob er vom Provider bereits eine solche IP zugewiesen bekommen hat, sollte sich einmal genauer mit ULA (Unique-Local Addresses) und den damit verbundenen Optionen in der Homebox beschäftigen. Bei der Homebox 6641 verbergen sich die Einstellungen unter dem gleichen Menüpunkt.
Im Konfigurationsmenü der Telekom-Speedport-Familie finden sich die Optionen zur Einrichtung und Anmeldung von Geräten für das lokale Netzwerk in der Hauptrubrik „Heimnetz”. Dort finden Sie in der linken Navigation den Punkt „Heimnetzwerk LAN” für den Zugriff auf kabelgebundene Geräte. Um ein internes IPv6-Netzwerk aufzubauen, müssen Sie „Lokale IPv6-Adresse (ULA) verwenden” aktivieren. Der Eintrag verbirgt sich unter „Name und Adresse des Routers”. Aber auch hier gilt: Änderungen immer genau dokumentieren, um im Notfall schnell wieder den Ursprungszustand wiederherstellen zu können.
IPv6: Probleme mit dem Datenschutz?
Es liegt mehr oder weniger auf der Hand, dass IPv6 Probleme mit dem Datenschutz hervorrufen könnte. Denn nach dem ursprünglichen Konzept sollte der Device Identifier ja automatisiert aus der Hardware-Adresse („MAC-Adresse“) des Geräts erzeugt werden.
Damit entspräche er aber unter dem Gesichtspunkt des Datenschutzes einer eindeutigen Geräte-ID. Jeder, der das Internet nutzt, weiß, dass er beim Surfen Spuren hinterlässt, die mehr oder weniger intensiv von Webseitenbetreibern und Werbetreibenden ausgewertet werden. Da beim derzeit eingesetzten IPv4-Verfahren aber die meisten Nutzer nach gewisser Zeit eine neue IP-Adresse vom Provider zugewiesen bekommen, wird das Erstellen von lückenlosen Nutzerprofilen erschwert. Mit IPv6 könnten umfassendere Profile über die Nutzungsgewohnheiten eines Anwenders angelegt werden.
Diese Tatsache rief bereits früh Datenschützer auf den Plan. Und die Berichterstattung zum Thema IPv6 ist auch heute noch teilweise wegen dieser konzeptionellen Lücke negativ besetzt. Deshalb wurde der Standard mit „Privacy Extensions“ erweitert. Sie übernehmen genau die Aufgabe, die sich aus ihrem Namen ableiten lässt: Sie geben die automatische Erstellung des Device Identifiers aus der MAC-Adresse auf und nutzen stattdessen einen speziellen Algorithmus, um den letzten Teil des Adressblocks zu erzeugen.
Häufig wird dieser Sachverhalt so dargestellt, dass die Erzeugung des Geräte-Identifiers nach dem Zufallsprinzip erfolgen würde. Das ist indes nicht richtig. Korrekt wäre, von einer temporären IPv6-Adresse zu sprechen. Inzwischen nutzen alle aktuellen Betriebssysteme die Privacy Extensions aktiv. Die Identifikation eines Nutzers oder, korrekter, eines Geräts wird damit erschwert. Sie ist aber natürlich nicht völlig unmöglich. Der vom Provider vergebene Prefix, also der vordere Teil, könnte spezifisch genug sein, um das Gerät dennoch verfolgen zu können.
Die Privacy-Extensions können von Systemadministratoren auch abgeschaltet werden. Und das aus gutem Grund: Denn in einigen Szenarien ist das Prinzip der temporären Adresse natürlich nicht gewünscht, zum Beispiel um Servern eine feste Adresse zuzuweisen.
Gerätekauf: Achten Sie auf IPv6-Untersützung
Wann immer Sie für Ihr Netzwerk eine Komponente austauschen müssen, achten Sie unbedingt darauf, dass diese IPv6 unterstützt. Das ist bei aktuellen Geräten zwar eigentlich immer der Fall, aber Ausnahmen bestätigen die Regel. Insbesondere bei besonders preiswerten Angeboten oder gebrauchten Artikel lohnt sich ein kritischer Blick. Das gilt besonders für den zentralen Baustein der Infrastruktur, dem Router.
Informieren Sie sich mit Testberichten oder der Bedienungsanleitung von der Homepage des Herstellers darüber, ob sich der Dual-Stack-Betrieb einfach aktivieren lässt. Außerdem sollten Sie die voreingestellten Sicherheitsoptionen der Firewall im Router und gegebenenfalls auch in den Endgeräten prüfen. Denn gerade bei öffentlich erreichbaren IPv6-Adressen ist es wichtig, dass unerwünschte externe Anfragen abgeblockt werden.
(PC-Welt/ad)