Erstellt am: 6. 6. 2012 - 18:20 Uhr
Sextillionen Internetadressen durch IPv6
Nach der eintägigen Generalprobe vor einem Jahr führt am Mittwoch eine ganze Reihe von großen Anbietern wie Facebook, Google, Yahoo und Co, aber auch Zugangsanbieter wie AT&T oder Verizon die neue Internet-Adressierung ein.
Statt der vertrauten IP-Adressen - etwa 194.232.104.141 (ORF.at) - kommen nun Konstrukte wie 2607:f0d0:1002:51::4 zum Einsatz, die eigentlich 2607:f0d0:1002:0051:0000:0000:0000:0004 darstellen.
Anhand der Stellen lässt sich unschwer absehen, dass hier ungleich mehr Kombinationen möglich sind. Statt der 4,3 Milliarden IPv4-Adressen, was 2 hoch 32 entspricht, wird nun mit 2 hoch 128 gerechnet, das ergibt eine Summe, die kaum mehr in Worten darstellbar ist: 340 Sextillionen.
Erich Moechel
Die IP-Parallelaktion beginnt
All das klingt weitaus spektakulärer, als es ist, denn wirklich umgestellt wird eigentlich nichts und auch zu keinem genauen Stichtag. Vielmehr wurde der schleichende Parallelbetrieb ausgerufen, die obgenannten WWW-Schwergewichte, aber auch erste Zugangsanbieter rüsten Segmente ihrer Netzwerke auf IPv6-Tauglichkeit auf. Normalbenutzer sollten davon - wenn alles planmäßig funktioniert - überhaupt nichts mitbekommen.
Angepeiltes Ziel der großen Internetfirmen ist derzeit lediglich, ein Prozent ihrer Kunden über die neue Adressierung auf Dauer anbinden zu können. Das Datum 6. Juni ist also mehr symbolisch zu sehen, denn die Umstellung läuft bereits seit Jahren und das nicht nur bei den großen Anbietern.
IPv6 als alter Hut betrachtet
"IPv6 ist für uns der absolute Standard und so selbstverständlich wie die Stromversorgung", sagte Georg Chytil vom österreichischen Provider Nextlayer.at. Das sei auf die "Gnade der späten Geburt" des Unternehmens im Jahr 2005 zurückzuführen.
Nextlayer habe von Anfang an auf die neue Adressierung gesetzt und nur entsprechend doppeltaugliches Equipment angeschafft. Zu dieser Zeit waren bereits "dual stack"-Geräte, etwa Router, die beide Arten der Adressierung parallel beherrschen, auf dem Markt.
Auch in den Kernel des freien Betriebssystems Linux wurde IPv6 bereits damals implementiert. In Wirklichkeit ist diese neue Adressierung, die mittlerweile in allen Betriebssystemen implementiert ist, also ein alter Hut, zumal der entsprechende Standard der Internet Engineering Task Force bereits 1998 vorgestellt wurde. Mittlerweile beherrscht bereits eine Unzahl an Routern, PCs und anderen Endgeräten IPv6, allerdings nur theoretisch, weil es noch nicht eingesetzt wird.
Die Internetprotokoll Version 6 wurde im RFC (Request for Comments) 2640 der Internet Engineering Task Force vom Dezember 1998 definiert
Prestigeaktion und Praxistest
"Die Herausforderung dabei ist nicht die Umstellung sondern der Parallelbetrieb", sagt Chytil, vieles an neuer Hardware sei noch noch nicht ganz ausgereift, aber das "Haupthindernis für eine Implementierung sind Know-How und vor allem Zeit". Ein Content-Betreiber, der seine Website über IPv6 erreichbar mache, habe es natürlich wesentlich einfacher als ein Zugangsanbieter, der jeden einzelnen Kunden umstellen müsse.
Im Moment ist die neue Adressierung also noch eine Mischung aus Prestigeangelegenheit der Großen und Praxistest für eine irgendwann unvermeidliche Umstellung. Die letzten Blocks an Top-Level-Adressen des IPv4-Raums, nämlich 16 Millionen IPs wurden bereits im Februar 2011 ausgegeben, im Raum Asien und Pazifik gingen die dorthin zugeteilten Adressen schon zwei Monate später aus.
Groß und klein
Die Größe des Unternehmens allein gibt nicht den Ausschlag, im Gegenteil, denn Firmen mit noch überschaubaren Netzwerken lassen sich wesentlich einfacher umstellen.
Die Internet Society hat eine notwendigerweise unvollständige Liste von Unternehmen ins Netz gestellt, auf der auch etwa ein Dutzend österreichische sind. Große bis winzige Unternehmen der unterscheidlichsten Art meist aus der IT-Branche, Universitäten und andere Forschungseinrichtungen usw. finden sich darauf.
"Heute passiert bei uns gar nichts Besonderes, wir haben ja schon 2009 mit den Vorarbeiten angefangen", sagte Karim Hussein vom kleinen Wiener IT-Sicherheitsberater Exabit zu ORF.at. Die Angebote der Firma - etwa durch Verschlüsselung abgesicherte Domain Name Services - laufen auf ein paar redundant abgesicherten Mietrechnern in großen Rechenzentren.
Alles zum Quadrat
Nicht zufällig erinnert diese Situation etwas an 1995, als eine bunte Mischung aus Großkonzernen bis Kleinstunternehmen begann, ins World Wide Web zu drängen - ohne so recht abschätzen zu können, was da genau geht und wohin die Reise führt.
Für IPv6 lässt sich jedenfalls sicher sagen, dass kein Weg daran vorbeiführt. Der schier unendlich gewachsene Adressraum macht es jedenfalls möglich, dass aus einem einzigen von 45.000 möglichen Subnetzen eines IPv6-Adressblocks etwa soviele IP-Adressen generiert werden können wie mit dem gesamten IPv4 - allerdings zum Quadrat.
Auf mindestens fünf, wahrscheinlicher aber zehn Jahre schätzt Chytil die Dauer des parallelen "Dual-Stack"-Betriebs. Zu einem richtigen Run wird es vorerst nicht kommen, denn zum einen ist noch wenig praktisches Know-How vorhanden. Zum anderen wirft IPv6 völlig neue Sicherheitsfragen auf, gefolgt von solchen des Datenschutzes.
Veränderte Sicherheit
Bei IPv4 gibt es, von 192.168.0.1 angefangen, gewisse Adressbereiche, die für nicht-öffentliche Netzwerke vorgesehen sind. Die IP-Adressen von PCs, Druckern etc. werden dabei nie nach außen übermittelt, sondern mit dem "Network Adress Translation"-Protokoll übersetzt. Im WWW sind dann alle Geräte mit der IP-Adresse des Gateway-Routers am Ausgang unterwegs, der auch über eine Firewall verfügt. Für Angreifer sind also zwei Hürden aufgebaut, von denen eine wegfällt, denn übersetzt wird bei IPv6 nichts mehr.
Sowohl Nextlayer wie auch Exabit sind im B2B-Bereich aktiv, liefern also Services für andere Unternehmen. Nextlayer stellt etwa für Firmen, die noch nicht auf "Dual Stack" umgestellte haben, aber aus Vernetzungsgründen IPv6-Adressen brauchen, solche Anbіndungen zur Verfügung. Exabit wiederum bietet verschlüsselte DNS-Services [DNSSEC] zum Schutz gegen Cyberkriminelle an. Beide bieten Testzugänge derzeit gratis an.
Um zu verhindern, dass hinter Firewalls befindliche Hardware aller Art an ihrer IP-Adresse von außen identifizierbar wird, sind "Privacy Extensions" vorgesehen. Die haben eine ähnliche Funktion wie temporäre IP-Adressen, die von Mobilfunk- und DSL-Providern vergeben werden.
Wer schon darauf wartet
Wie sicher diese Datenschutzerweiterungen sind, wird erst die Praxis zeigen, denn Sicherheit hängt völlig von der Implementation von IPv6 ab. Dasselbe gilt natürlich auch für die Frage nach dem Datenschutz.
Die inhärente, global eindeutige Identifizierbarkeit aller internetfähigen Geräte wird natürlich jene Interessensgruppen auf den Plan rufen, die bei solchen Gelegenheiten zuerst aktiv werden.Geheimdienste und fortgeschrittene IT-Kriminelle rund um die Welt warten nur darauf, dass eine kritische Masse an IPv6-Adressen aktiviert ist, um neue, mögliche Angriffsvektoren aufzuspüren.