DER NETZWERK INSIDER – Ausgabe August 2024

Gibt es überhaupt einen Grund für den Wechsel zu IPv6?

Das Internet Protocol der Version 4 (IPv4) funktioniert seit Jahrzehnten gut. Die Adressen bestehen nur aus vier Zahlen zwischen 0 und 255, die mit Punkten getrennt werden. Man braucht kein außergewöhnliches Zahlengedächtnis, um zumindest ein paar IPv4-Adressen in Erinnerung zu behalten, anders als IPv6-Adressen, die viermal so lang sind und statt in einer dezimalen Notation sedezimal (hexadezimal) dargestellt werden.

Der größte Nachteil des IPv4-Adressraums, nämlich die Beschränkung auf rund vier Milliarden denkbare Adressen, ist für die meisten Menschen nicht spürbar. Jedes Heimnetz kommt mit wenigen privaten IPv4-Adressen aus, und mir fällt keine für private Verbraucher wichtige Applikation ein, die mit privaten IPv4-Adressen im Heimnetz und der Network Address Translation (NAT) zwischen dem internen Netz und dem Internet nicht zurechtkäme.

Selbst in den meisten Unternehmensnetzen scheint es keinen Grund für den Wechsel zu IPv6 zu geben. Man hat sich daran gewöhnt, dass in unternehmensinternen Netzen private IPv4-Adressen, größtenteils aus dem Bereich 10.0.0.0/8 (kurz 10/8), verwendet werden. Der Zugriff auf das Internet erfolgt meistens über Proxy- oder NAT-Instanzen.

Ohne Internet geht fast nichts mehr

Die Zeiten, in denen eine Organisation mit der eigenen IT-Umgebung, notfalls isoliert von der restlichen Welt, sinnvoll funktionierte, sind längst vorbei. Immer mehr alltägliche Abläufe erfordern die Kommunikation über das Internet. Videokonferenzen, E-Mail-Austausch mit Kunden und Geschäftspartnern und eine schnell wachsende Zahl von Cloud-Applikationen können in der Regel nur genutzt werden, wenn der Internet-Zugriff möglich ist.

Das Internet funktioniert ausschließlich mit eindeutigen IP-Adressen. A und B können nur dann über das Internet kommunizieren, wenn sie IP-Datagramme (Pakete) mit der IP-Adresse des jeweils anderen Kommunikationspartners versehen und auf die Reise schicken können. Befindet sich eine Mehrzahl von Kommunikationspartnern hinter einer NAT-Instanz mit einer einzigen öffentlichen IP-Adresse, werden auf der NAT-Instanz Tabellen erforderlich, die notgedrungen neben der IP-Adresse auch die Portnummer (eine Art Adresse bei TCP oder UDP zur Identifikation von kommunizierenden Prozessen auf einem Computer) für die Zuordnung eines Paketes zu einem Ziel im internen Netz einbeziehen müssen. An der eindeutigen IP-Adresse im Internet führt jedoch kein Weg vorbei. Und genau diese eindeutigen, öffentlichen IP-Adressen werden trotz NAT- und Proxy-Nutzung und dem damit verbundenen Verstecken von vielen Geräten hinter derselben IP-Adresse immer knapper.

Laut Google nutzen Stand Juni 2024 ca. 45,6 % der Google-Nutzer IPv6-fähige Anschlüsse. Aus der Statistik geht nicht hervor, wie viele Google-User sich hinter den öffentlichen Internet-Adressen befinden. Immerhin ist festzustellen, dass in den letzten vier Jahren seit 2020 der Anteil der IPv6-fähigen Anschlüsse von rund 30 % auf rund 45 % gestiegen ist.

Die Macht des Faktischen

Bei einer linearen Extrapolation der Google-Statistik ist erst Mitte des nächsten Jahrzehnts mit einer hundertprozentigen IPv6-Durchdringung zu rechnen. Grund für die Annahme eines linearen Anstiegs ist der lineare Verlauf der Kurve in den letzten sieben bis acht Jahren. Jedoch kann bereits heute der IPv6-Nutzung im Internet die Macht des Faktischen zugeschrieben werden.

Kein Anbieter von Applikationen, Diensten und Inhalten, die über das Internet erreichbar sein sollen, kann IPv6 ignorieren. Auch wenn es besonders träge Anbieter gibt, die immer noch keine Kommunikation über IPv6 unterstützen, wird eine solche Trägheit zu einem wachsenden Wettbewerbsnachteil für jede Art Anbieter.

Miteinander eingeschränkt verbundene Inseln

Die zunehmende IPv6-Fähigkeit der über das Internet direkt erreichbaren Geräte findet bisher keine Entsprechung in organisationsinternen Netzen. Die meisten Organisationen haben ihre eigenen Netze noch nicht auf IPv6, oder genauer, auf Dual Stack, d.h. parallele Nutzung von IPv4 und IPv6, umgestellt.

So finden wir heute eine zerstückelte Netzwelt vor. Das Internet verbindet eine Vielzahl von Inseln miteinander, wenn Sie mir ein solches Bild für die privaten Netze erlauben. Dieser Zustand entspricht nicht ganz der Vorstellung der Internet-Pioniere, um nicht zu sagen, dass er nicht „im Sinne des Erfinders“ sei. Die Möglichkeit für jedes Gerät, an jedes andere Gerät ein Paket zu senden, war eines der Grundprinzipien in der Vorstellung der Initiatoren des Internet.

Ist es schlimm, von diesem Prinzip abgekommen zu sein? Oder ist es vielleicht sogar aus Sicherheitsgründen gut, wenn nicht jedes Gerät jedem anderen ein Paket senden kann?

Meine Antwort auf die letzte Frage lautet: Die Offenheit im Internet sollte nicht gegen die Sicherheit ausgespielt werden. Nicht zu bestreiten ist, dass die Offenheit Auswirkungen auf die Sicherheit hat. Das gilt nicht nur für das Internet. Bewegungsfreiheit unter Nutzung öffentlicher Straßen und Wege macht den öffentlichen Raum zu einem gewissen Maß unsicher. Niemand kommt jedoch deshalb auf die Idee, die Bewegungsfreiheit ganz abzuschaffen.

Zur ersten Frage: Aus meiner Sicht ist NAT ein aus der Not geborenes Mittel und hauptsächlich auf die Knappheit von IPv4-Adressen zurückzuführen. Hätte es die IPv6-Standards bereits Anfang der 1990er Jahre gegeben, gäbe es heute kein NAT. Erst nachträglich ist man auf die Idee gekommen, dass NAT auch ein Sicherheitsvorteil sein kann. Dabei ist NAT kein sehr großer Sicherheitsvorteil. Die meisten und gefährlichsten heutigen Angriffsvektoren sind in der per NAT zerstückelten Welt entstanden.

Bleibt es bei der heutigen Zerstückelung?

Eine der vielen bleibenden Auswirkungen der 2020 ausgebrochenen Pandemie ist die nun sehr weit verbreitete Tätigkeit an Arbeitsstätten außerhalb der privaten Netze von Organisationen. Eine Detailentwicklung ist für den Gegenstand des vorliegenden Artikels bezeichnend, nämlich die Normalisierung des sogenannten Split VPN. Der Zustand, dass ein Endgerät über das VPN einer Organisation auf deren IT-Ressourcen und gleichzeitig direkt über das Internet und am VPN vorbei auf Ressourcen in öffentlichen Clouds zugreift, wurde vor der Pandemie von den meisten IT-Organisationen als zu riskant eingestuft. Nun ist dieser Zustand weit verbreitet. Hat die massive Verbreitung des Split VPN die IT-Welt wesentlich unsicherer gemacht? Das wissen wir nicht, und es hat auch keinen Sinn, darüber zu diskutieren. Auch das Split VPN hat etwas von der Macht des Faktischen.

Das Split VPN hat die Zerstückelung ein Stück weit aufgehoben. Millionen von dienstlich genutzten Geräten greifen nunmehr direkt über das Internet auf diverse Ressourcen zu, die sich hauptsächlich in öffentlichen Clouds befinden. Für einen zunehmenden Teil dieser Zugriffe wird bereits jetzt IPv6 verwendet. Ob und wann dies zur Regel wird, mit IPv4 und NAT als Ausnahme, kann ich nicht vorhersagen. Gewissheit habe ich darüber, dass wir für eine steigende Anzahl von Paketströmen mit dem Wegfall von NAT als vermeintliche Sicherheitsbarriere leben müssen.