Der Pilgermaske Blog

der andere blog - Willkommen!

IPv6 only: Ein gangbarer Weg?

- Veröffentlicht unter Systeme von

Tja, die meisten Internet- Zugänge in Deutschland sind - statistisch gesehen - mittlerweile in ipv6 realisiert. Das hat den Hintergrund, dass ipv4 Adressen für die Menge der Konsumenten nicht mehr realisierbar ist. Für Konsumenten, die einen Zugang über das Internet in die heimische Umgebung z.B. auf ein NAS brauchen, hat das natürlich momentan den Nachteil, dass ein Zugriff nur noch bedingt möglich ist.

Praktisch ist es so, dass die, von Providern zugewiesene öffentliche ipv4 Adresse, nicht mehr wirklich nutzbar ist. Das hat technische Gründe und lässt sich nur über Zusatzdienste (z.B. portmapper) umgehen. Aber auch diese Lösungen haben Nachteile - wenn sie denn funktionieren. Auch sicherheits-technisch ist es bedenklich: Der Web-Traffic eines Rechners geht bei dieser Lösung über den Server des Dienstleisters. Wieso also nicht die ipv6 Adressen nutzen?

Die Vergabe von ipv6 Adressen hat die letzten Jahre weltweit zugenommen. Eigentlich ist es schon absehbar, dass ipv4 in ein paar Jahren keine Rolle mehr spielt: China plant bis 2030 (Übersetzung mit Browser möglich) eine ipv6-Umstellung in heimischen wie in öffentlichen Netzwerken abzuschließen. Und Google registriert auf seinen Suchmaschinen, dass immer mehr Nutzer mit einer ipv6 vorbei kommen.

Wieso also nicht reines ipv6 versuchen? Mit einer ipv6 Adresse kann ich aus dem Internet direkt auf ein Gerät zugreifen. NAT ist nicht mehr notwendig. Auch die automatische Vergabe für IP Adressen - also DHCP - erfordert in einen ipv6 Netzwerk nicht mehr zusätzliche Geräte: Das ipv6 Protokoll kann Geräte selbständig mit IP's versorgen und in ein Netzwerk einbinden. Und zusätzlich ist IPsec (ESP) in ipv6 integriert: der Netzwerkverkehr kann damit verschlüsselt werden.

Allerdings muss man dann annehmen, dass die Sicherheitsansprüche an die Geräte steigen werden - steigen müssen. Wenn ipv6 Geräte aus dem Internet direkt ansprechbar sind, muss es eine Pflicht sein, genau zu prüfen, welche sonstigen Dienste auf den Geräten laufen, die Updates entsprechend aktualisiert werden und die Firewall eine sinnvolle Einstellung auf dem Webrouter haben. 

Zur Zeit geiern alle nach einer ipv4 Adresse, welche, wie in den guten alten Tagen, problemlos im Internet gesehen wird. Die aktuellen ipv4 Adressen, die mit den heutigen Internet Anschlüssen vergeben werden, sind nur eingeschränkt ansprechbar (siehe DS-Lite). Eigentlich gar nicht mehr.

Auf der anderen Seite: Sollte ein Rechner keinen ipv6 Zugang ins Internet haben, wird er Webseiten - oder sonstige Services z.B. NAS, Webcam - mit einer reinen ipv6 Anbindung nicht nutzen können. So kann es dann mit der eigenen Webseite laufen: Zuhause - kein Problem, auf der Arbeit kann die Seite nicht gesehen werden, weil der Arbeitgeber kein ipv6 auf den Rechnern aktiviert hat. Gleich und Gleich gesellt sich gerne.

Technisch ist es also einfach z.B. einen Webserver aus dem Wohnzimmer im Internet anzubieten. Die heimische ipv6 Adresse der Netzwerkkarte des z.B. Webservers, die der Server vom Internet-Router des Internetanbieters im heimischen Netzwerk bekommen hat, wird bei einen DNS Dienst als AAAA Eintrag mit einen registrierten Domänennamen hinterlegt und fertig. Einfache Sache das.

Die eigentliche Frage ist, ob man das Experiment eingehen will, dass nur Besucher mit ipv6 Zugang die freigegebenen Ressourcen nutzen. Auch die eigenen Zugänge, also von Rechnern auf der Arbeit, von den Mobilen Geräten, müssen in diese Überlegung eingehen: Wenn ich den Zugriff auf z.B. meinen Webserver, meine NAS, über diese Zugänge nicht benötige, ist es problemlos möglich, den Zugriff nur über ipv6 zu wagen. Millionen andere Besucher mit ipv6 Anschluss werden schon den Webserver finden.

Comments