IPv6 = totale Überwachung?

Über feste und dynamische IPv6-Adressen und ihre gleichzeitige Verwendung

Die Einführung der neuen Version des Internetprotokolls sorgt bei vielen Internetnutzern für Angst vor Überwachbarkeit. Diese Befürchtungen sind zum Teil berechtigt, wenn wir alle bei der Umsetzung nicht aufpassen. Verkürzt dargestellt lautet die Kritik: Wenn jedem mit dem Internet verbundenen Gerät eine feste IPv6-Adresse zugewiesen würde und Network Address Translation (NAT) wegfiele, tauchten diese festen Identitäten in jedem Datenverkehr, der mit dem Internet ausgetauscht wird, auf und es sei nicht zu verhindern, dass Amazon oder Google, Wolfgang Schäuble, Thomas de Maizière, die Geheimdienste, das Militär, die Amerikaner oder noch schlimmere Gesellen den Datenverkehr immer wieder demselben Internetanschluss oder gar demselben Computer zuordnen können. Eine Art persönliche Absenderangabe unter jeden Datenverkehr.Zunächst sprechen statistische Gründe für das Argument, denn wenn viele Dinge vermehrt mit weltweit eindeutigen Identitäten verknüpft werden, wird es auch mehr Möglichkeiten der Datenerhebung geben. Bei genauerer Betrachtung ist dieses Argument jedoch relativ schwach, wie dieser Beitrag zeigen möchte. Dazu werde ich auf Details beider Protokolle, IPv4 und IPv6 eingehen, die gesellschaftliche Auswirkungen hatten oder haben könnten und zum Teil die Diskussion über die Einführung von IPv6 bereits beherrschen.

Überall weltweite Eindeutigkeit bei IPv6, aber wie dauerhaft?

Zunächst ist der wichtige Umstand festzuhalten, dass eine IPv6-Adresse zweifach weltweit eindeutig werden kann und meistens auch wird. Zum einen geschieht dies zwingend im Präfix, also grob in den ersten 64 Bit der Adresse, welche dem Kunden vom Internetprovider zugewiesen werden. Dies ist erforderlich, um Datenverkehr dem entsprechenden Internetanschluss zuführen zu können. Zum anderen wird oft noch einmal der Interface Identifier, also die letzten 64 Bit der Adresse, die vom Kunden eines Providers eigentlich völlig frei für jeden Rechner gewählt werden könnten, weltweit eindeutig. Die 128 Bit lange IPv6-Adresse besteht aus Präfix und Interface Identifier und jede einzelne Information lässt für sich recht sicher auf einen Teilnehmeranschluss oder gar Teilnehmer schließen. Wenn auch nur eine dieser Informationen sich nicht regelmäßig ändert, hat man also ein eindeutiges Indentifizierungsmerkmal.

Bei der Wahl des Interface Identifiers ergibt sich ein Dilemma: Wählen wir ihn sehr zufällig, wie z.B. 21a4:73f6:8e25:7515, wird er weltweit eindeutig, und wählen wir ihn zu einfach, wie z. B. 0:0:0:10, kann er leicht erraten werden. Denn ein Aspekt kommt noch hinzu: Der erste Schritt eines Angriffs von außen auf ein Netz ist meistens ein Sweep-Scan, das heißt, der Angreifer versucht festzustellen welche  IP-Adressen irgendeine Antwort liefern, sei es auf Echo-Anfragen oder Portscans. Das ist für Netzgrößen von wenigen hundert Adressen, wie sie bei IPv4 üblich sind, in wenigen Minuten geschehen, und so ist es Realität, dass auf jedem mittels IPv4 an das Internet angeschlossenen Rechner pro Minute einige solcher ungebetenen Pakete ankommen, die versuchen Schwachstellen zu finden. Dagegen können bei IPv6 unmöglich alle 2 hoch 64 Adressen, die durch unterschiedliche Wahl des Interface Identifiers möglich sind, von einem Angreifer via Sweep-Scan durchprobiert werden. Ein Rechner sollte sich bei IPv6 also in der irrsinnigen Menge möglicher Adressen verstecken, die jedem Heimanschluss zur Verfügung stehen. In der Praxis erzeugen viele IPv6-Implementierungen den Interface Identifier immer wieder gleich und quasi weltweit eindeutig aus der Hardwareadresse (MAC-Adresse) der Netzwerkkarte.

Der Status quo: Überwachbarkeit von IPv4

Doch wie steht es eigentlich um die Überwachbarkeit von IPv4? Der Stand heute ist, dass ein Internetprovider technisch natürlich den Datenverkehr mit Quell- und Zieladresse mitlesen kann. Sicherheitsbehörden kann problemlos die Möglichkeit zur Überwachung von IPv4-Anschlüssen und Zugriff auf die Historie der IPv4-Adressen, die dafür vergeben wurden, gewährt werden. Die gute alte Fangschaltung, wie sie noch in einigen Krimis immer mal wieder bemüht wird, benötigt man nicht mehr.

IPv4 hat derzeit die Schwäche, dass die Kommunikation fast ausschließlich auf zentrale Server angewiesen ist, da nur diese feste Adressen haben und damit allen Beteiligten dauerhaft bekannt sind. Das gilt für E-Mail-Versand ebenso wie für das Telefonieren über IPv4 oder soziale Netzwerke. So könnte etwa der Betreiber eines Mailservers den Nutzern diktieren, dass der Verkehr unverschlüsselt und schlecht oder gar nicht authentifiziert zu geschehen hat. In jedem Falle sind diese zentralen Server, wie z. B. der eines Freemailproviders, Fundgruben für Überwachungsinstitutionen. Angeblich wurde so etwa die islamistische Sauerlandgruppe ausgehoben.

Ein privater Internetanschluss bekommt in der Regel eine täglich wechselnde IPv4-Adresse aus einem großen Bereich zugewiesen. Zum einen können die Internetanbieter so ihre knappen Kontingente an IPv4-Adressen besser ausnutzen, zum anderen garantieren sie dem Kunden damit eine gewisse Privatsphäre. Eine Folge ist, dass Serverbetreiber bei IPv4 einen Dienst oft gar nicht abhängig von Quelladressen auf IP-Ebene freischalten können. Der einzelne Nutzer kann maximal sagen, dass er IPv4-Adressen aus einem sehr großen Pool zugewiesen bekommt, der möglichst komplett als Quelle erlaubt sein müsste. Auch ist es kompliziert auf einen Heimanschluss mit ständig wechselnder Adresse aus dem Internet zuzugreifen.

Da jedem Anschluss bei IPv4 wegen Knappheit nur eine weltweit eindeutige Adresse zugewiesen wird, benutzen die Menschen Network Address Translation (kurz NAT), um bei ausgehenden Verbindungen Richtung Internet mehrere Rechner mit so genannten privaten Adressen hinter dieser einen öffentlichen Adresse zu verstecken. Der Preis dafür ist, dass aus dem Internet auf diese Rechner nicht ohne weiteres voll zugegriffen werden kann. Der Heimanwender wird zum Konsumenten degradiert. Des Weiteren werden Verschlüsselungen, z.B. mittels IPsec, bei IPv4 oft nicht von Ende zu Ende, sondern im Tunnel-Modus realisiert, da wegen NAT der Zielrechner nicht ohne Weiteres zu erreichen ist. Das heißt, dass oft ein Teil des Weges unverschlüsselt im privaten Netz zurückgelegt wird, wenn eine unzureichende NAT-Implementierung die Kommunikation über IPsec nicht ganz unterbindet. Ein Vorteil von NAT für die Privatsphäre ist, dass sich oft ganze Netzwerke hinter einer IP-Adresse verbergen können ohne dem Internet ihre innere Struktur preiszugeben.

IPv6: Erreichbarkeit gegen Privatsphäre?

Nun zu IPv6. Ein Irrglaube ist, dass für die IPv6-Einführung ein Masterplan aller Provider und Behörden existiert. Das konnte man beim Heise-IPv6-Forum im Mai 2009 erfahren. Dieses Treffen wurde größtenteils zur Rückversicherung der Branche genutzt: Wie weit sind die anderen? Finden alle es befremdlich, dass einige Hersteller noch nicht implementiert haben? Wie viele Adressen soll man für welche Art von Kunden vorsehen, gibt es da Richtlinien? Und so weiter. Ich fragte also die versammelte deutsche Internetgemeinde bei diesem Treffen: In drei Sätzen bitte, wie stellt man die gleiche Privatsphäre mit IPv6 her, die man bei einem IPv4 Anschluss mit NAT und dynamisch wechselnder Adresse genießt?

Die erste Antwort lautete: Mit den Privacy Extensions, also einer Technik, welche regelmäßig den Interface Identifier wechselt, gepaart mit ebenso dynamischen, also vom Provider ständig wechselnd zugewiesenen Präfixen, wie man es von IPv4 her schon für die einzige öffentliche Adresse kennt. Gut, das genügt für Privathaushalte, aber was ist mit großen Firmen, sollen dort alle Mitarbeiter jede Stunde oder gar für jede Verbindung neue Interface Identifier und damit IPv6-Adressen bekommen? Das gibt Chaos. Andererseits möchten Unternehmen bei nach außen gerichteter Kommunikation auch nicht die interne Struktur offenbaren, nach dem Motto: Ach schau mal, Sachbearbeiter Schäuble surft jetzt mit demselben PC, wie vorher Herr Schily.

Die Antwort auf das zweite Problem lautete: Es wird doch wohl so kommen, dass in Firmen Anfragen nach außen über einen Proxy laufen, also zunächst an einen Rechner im Unternehmen gestellt werden, der dann nach bestimmten Kriterien filtert und selbst die Anfrage nach außen stellt, um die Antwort nach innen über eine separate Verbindung weiterzureichen. So ist nach außen nur die Adresse des Proxys sichtbar. Im Unternehmen werden dann geordnet IPv6-Adressen vergeben, und soll eine Verbindung zwischen außen und innen direkt ermöglicht werden, so kann das für einzelne Ziel- und Quelladressen am Proxy vorbei geschehen, z. B. durch entsprechendes Routing.

Für Privathaushalte und kleinere Netze schließt sich die Frage an: Müssen wir uns also entscheiden zwischen Privatsphäre und den Vorteilen der Erreichbarkeit durch feste, nicht wechselnde IPv6-Adressen (Also festes Präfix und fester Interface Identifier)? Die Antwort lautet nein, oder besser, das hängt von der Ausgestaltung und der weiteren Entwicklung ab. Die Lösung besteht darin, dass die Nutzer gleichzeitig feste und dynamische Präfixe von den Providern verlangen und beide parallel in ihrem keinen Netz betreiben, was in den Standards von IPv6 eigens als Möglichkeit vorgesehen ist.

Beim normalen Surfen könnte man dann dauernd wechselnde Identitäten benutzen, und gleichzeitig auf den festen Adressen angerufen werden oder verschlüsselte Nachrichten entgegennehmen. Zu bestimmten, streng gefilterten Diensten könnte man seine festen Adressen auch als Quelle benutzen, eine Unterscheidung, die man zugegebenermaßen den Anwendungen oder dem Betriebssystem zum Beispiel in Form einer veränderten “policy table”, welche laut RFC-3484 die Wahl der Quell- und Zieladressen regelt, beibringen müsste.

Setzt sich nun mit IPv6 mehr streng gefilterte, verschlüsselte Ende zu Ende Kommunikation direkt zwischen Teilnehmern, ohne Server dazwischen, durch, bleibt trotzdem die Möglichkeit der anonymen Kommunikation zu Fremden und können die Adressen neu angebundener Rechner nicht leicht von Angreifern erraten werden, so ließe sich mit IPv6 Überwachbarkeit vermindern und die Privatsphäre besser schützen.

Noch hat sich IPv6 bei privaten Internetanschlüssen nicht durchgesetzt. Es gibt aber längst Seiten, die ohne IPv6 nicht erreichbar sind, z.B. http://ipv6.google.com oder http://www.six.heise.de. Ein vollwertiger IPv6-Anschluss sollte aber ein festes und ein dynamisches Präfix umfassen, darauf gilt es die Provider hinzuweisen.

Kategorie: Developer
15 Kommentare
  1. 7. Mai 2010 um 14:06 |

    Gibt es denn mitlerweile feste Pläne wann 1&1 IPv6 Adressen an die Kunden vergiebt und wie die Umstellung sich genau abspielen wird?

    Lg

  2. 7. Mai 2010 um 14:57 |

    danke für den beitrag,
    ich habe mich schon oft gefragt wie die isps das problem zukünftig regeln. ich freue mich sehr, falls 1und1 das modell aus festen und dynamischen adressen verfolgt!

    jetzt bleibt nur die frage: wann kann man ipv6 bei 1und1 dazubestellen? :)

    grüsse, ralf

  3. 7. Mai 2010 um 15:13 |

    Hallo Ralf und IceDragon,

    unsere Rechenzentren sind bereits seit gut zwei Jahren “IP-ready”. Im DSL-Bereich ist die Einführung von IPv6 leider komplexer, da wir mit verschiedenen Leitungspartnern zusammenarbeiten und außerdem die DSL-Modems auch auf das neue Protokoll umgestellt werden müssen. Daher können wir leider noch keinen konkreten Termin nennen. Unser Parter AVM bietet bereits erste Labor-Versionen einer IPv6-fähigen Firmware an.

    Schöne Grüße ,
    Andreas Maurer, 1&1

  4. 7. Mai 2010 um 15:54 |

    sehr interessant, wird es evtl einen testlauf für dsl-kunden geben an nem man teilnehmen kann?
    grüsse, ralf

  5. 7. Mai 2010 um 17:04 |

    Sehr schöner Artikel!
    Ich hoffe, das 1&1 bald bei Heise als erster (privat) DSL Anbieter genannt wird, der natives ipv6 ausrollt für seine DSL Kunden. –> Schönes Marketing
    Die AVM Firmware müsste ja bald rauskommen :-)

    Einen Rollout für early adaopter könnte ich mir gut vorstellen.

  6. 8. Mai 2010 um 03:21 |

    Ich spiele privat auch mit IPv6 und habe verschiedene Tunnelmechanismen ausprobiert, sie sind teilweise sehr langsam. IPv6 direkt vom Provider wäre großartig, leider bietet 1&1 nichts dergleichen an. Falls Tester gesucht werden: ich bin gerne dabei.

  7. 8. Mai 2010 um 12:56 |

    Vielen Dank!

    Ich finde es wichtig, dass sich ISPs an der Diskussion um die Einführung von IPv6 beteiligen und sehr begrüßenswert, dass dieses schwierige Thema nicht ausgeklammert wird. Es zeigt, dass sich 1und1 damit beschäftigt und dass die Bedenken ernst genommen werden.

    Parallel ein statisches UND ein dynamisches Adresspräfix zu vergeben finde ich nicht nur eine bemerkenswerte Idee, sondern im Sinne der Kunden und deren Entscheidungsfreiheit äußerst wünschenswert. Ich hoffe, über diese Idee wird noch weiter nachgedacht und ich würde mich freuen, wenn es zum Zeitpunkt der Einführung von IPv6 tatsächlich diese Möglichkeit gäbe.

    Grüße,
    Patrick

  8. 8. Mai 2010 um 22:48 |

    Es ist sehr interessantes Thema was da auf uns zukommt. Aber bei dem Gedanken eine feste IP Adresse zu haben wird m mir doch anders.
    Eine Möglichkeit wäre regelmäßig den Provider zu wechseln aber weil es bestimmt nicht in beiderseitigem Interesse ist sind die Provider gefragt etwas zu unternehmen.
    Ich bin der festen Überzeugung das etwas wachsen wird bei dem alle beteiligten zu Frieden sein werden.
    Vielleicht bekomme ich ja mehrere Adressen und stelle einige in einer Tauschbörse zu Verfügung um auch wechseln zu können? Nur unter 1&1 Kunden. Wenn jeder eine bestimmte Anzahl von Adressen hat sind auch bald alle zuordbar also kommt nur ein System in Frage wie es bei Ipv4 ist.
    Vielleicht gibt es auch etwas ganz neues?

  9. 11. Mai 2010 um 15:15 |

    Ich freue mich zu sehen, das dem Thema IP6 endlich mehr Aufmerksamkeit entgegengebracht wird.
    Leider wartete man hier ja vergeblich auf eine native Anbindung, denn das derzeit mögliche Tunneling ist ja keine auf Dauer angelegte Lösung.
    Ich hoffe, hier bald mehr zu diesem Thema zu lesen.
    mfg

Die Kommentare sind geschlossen.