Arbeit für die Fußnote

In den letzten Wochen wurden weltweit deutlich mehr IPv4-Adressen vergeben als zuvor, daher haben die Glaskugeln alle Schätzungen zur  Vergabe der letzten IPv4-Adressen um jeweils ein Vierteljahr vorgezogen. Der Name „IPv4” suggeriert, daß wir die vierte Version eines Protokolls vor uns hätten und daher die Internet Provider ja schon viel Erfahrung mit so einem „Update” haben müssten; tatsächlich ist IPv4 aber eben die erste (verbreitete) Version des Internet Protokolls, IPv6 eben die zweite.

Beide sollen parallel betrieben werden, bis auch der letzte IPv6 am Laufen hat, daraus ergibt sich an vielen Stellen aber auch doppelte Arbeit. Wenn es ein historisch vergleichbares Beispiel gibt, dann ist es am ehesten noch der Wechsel vom Network Control Programm auf das Transmission Control Protocol im Jahr 1983: jeder Server und jede Internet-Anwendung muss einmal angepasst werden, aber für einige Jahre beides gleichzeitig können. Es ist eben keine „Umstellung” oder ein „Update”, sondern eine Migration ohne festen Stichtag. Und immer wieder gibt es Aspekte, zu denen es noch keine Praxiserfahrungen gibt. Obwohl für Endanwender vieles schon gelöst ist, bedeutet IPv6  für Admins und Softwareentwickler oft noch ein recht weites Forschungsfeld. Auch, wenn man schon seit 10 Jahren IPv6 routet: in der Praxis spielt dann doch oft wieder alles etwas anders zusammen.

Da „dem Internet” IPv4 weiterhin schneller ausgeht, als es uns allen lieb ist, muss man als Admin und Entwickler aber in diesen sauren Apfel beissen und eben ausprobieren: was passiert, wenn man auf einem Server ein paar Tausend IPv6-Adressen parallel hochfährt, weil man z. B. jedem Hosting-Kunden eine eigene IPv6-Adresse, eigene SSL-Zertifikate, FTP-Zugänge, etc. bieten möchte? Kommt der Kernel damit zurecht, wie reagiert der Webserver? An welchen Stellen kann man per Konfigurationsoption finetunen, an welchen Stellen muss ein Kernelentwickler dran? Und ist die vor drei Jahren für IPv6 vorbereitete Software wirklich in allen Aspekten IPv6-ready?

Auch, wenn Netzwerk-Ausrüster Cisco in einem Filmchen etwas (zu) reißerisch mit dem Thema umgeht: wer heute als Internet Service Provider oder Webentwickler das Thema IPv6 noch nicht in Arbeit hat, kann sich angesichts der groben Erfahrungswerte von 1-2 Jahren Anpassungsdauer überlegen, was er  in 2 Jahren noch verkaufen möchte: Zugang zum halben Internet? Einen Onlineshop, der keine Bestellungen via IPv6 erlaubt? Oder „einmal Menü 3 mit Pommes-Mayo und ‘ner grossen Cola”?

Laufend kommen Presseanfragen zu vielen verschiedenen Themen, bei den bestimmten „Spezialthemen” mit einem hohen Detailgrad an gewünschter Information gehen die Kollegen der Pressestelle auch auf ihre internen Techniker und Experten zu. Beim in dieser Situation bereits allgemein brennenden Thema IPv6 „erwischt” es dabei eben auch immer wieder mich wie meinen Kollegen Jan Rischmüller.

Und mit der selbst-erdachten Möhre, wir könnten so etwas Fachwissen weiterverbreiten und Missverständnisse aufheben, spannen wir uns gern vor den Wagen und beantworten Fragen, statt die Themen intern voranzutreiben. „Selbst schuld”, müsste man sagen …

Umso mehr ist es schade, wenn wir dann feststellen müssen, dass am Ende des Tages nur etwas sinnentstellend aus einem alten Blogartikel zitiert wurde und der Redakteur sich für alle anderen Antworten per Titel oder Vereinsmitgliedschaft wichtig klingende Autoren geholt hat. Und genauso schade, weil man eines ahnt: auch diese Autoren bekamen vermutlich einen ähnlichen Fragenkatalog, haben mit viel Mühe eine Menge an technischem Fachwissen stark vereinfacht und allgemeinverständlich eingedampft   – und wurden nachher in einem Halbsatz in einer Form zitiert, wie es weder ihrer Antwort noch dem Thema gerecht ist.

Ich bin richtig froh, dass ich nicht erwähnt habe, wie einfach man aus einer per Stateless Autoconfig vergebenen IPv6-Adresse die MAC-Adresse extrahieren kann, aus der man wiederum ablesen kann, von wem denn die Netzwerk-Hardware stammt und ggf. auch noch in welchem Zeitraum sie gebaut wurde. Vielleicht haben die Hersteller auch noch eine Liste der MAC-Adressen ihrer Rechner … Wenn ich also die Website des Herstellers meines Rechners besuche, könnte der mir dann theoretisch allein aufgrund meiner IPv6-Adresse sagen, vor was für einem Rechner ich sitze, dass der Rechner gerade vor zwei Monaten aus der Garantiezeit gelaufen ist und versuchen, mich für das Nachfolgemodell zu begeistern. Aber: mit den schon 2001 definierten Privacy-Extensions zerbricht dieses Szenario sofort, zusammen mit wechselnden Netzen ist das ganze dann auf IP-Ebene „perfekt”.

Ich habe nichts dagegen, dass Autos feste Nummernschilder haben, für IPv4 ist die statische IPv4-Adresse in den klassischen „always on”-Ländern auch seit Jahren üblich. Wie wichtig  eine „anonyme” IPv6-Adresse ist, muss jeder für sich beurteilen, aber Privacy Extensions mit wechselnden IPv6-Netzen geben einem  einige Möglichkeiten des  Aston-Martin DB5 in der James-Bond-Ausstattung und somit keinen Anlass, IPv6 Probleme nachzusagen, die es so nicht verdient hat und die man seit fast 10 Jahren als „gelöst” betrachten darf.

Wer dennoch wissen möchte, wie unsere Antworten auf die insgesamt fünf Fragekomplexe von Spiegel Online aussahen – bitteschön:

Frage 1 – Thema Datenschutz / Anonymität bei IPv6:

Mit aktivierten Privacy Extensions gibt es bei dynamischer IP-Netz-Vergabe hinsichtlich des Datenschutz-Niveaus keinerlei Unterschiede zwischen IPv6 und IPv4.

Die Kernfunktion von IPv4-DHCP-Servern, die Adressvergabe, kann bei IPv6 besonders einfach und bequem über die “Stateless Auto Configuration” gelöst werden. Der eigene Rechner generiert hier mithilfe der MAC-Adresse (MAC = Media Access Control) der Netzwerkkarte sowie einem vom Router gelieferten Netzbereich eine IPv6-Adresse. Da sich derart generierte IPv6-Adressen jedoch erkennen und zurückverfolgen lassen, hat die Internet Engineering Task Force (IETF) die sogenannten Privacy Extensions für IPv6 definiert. Diese IPv6-Erweiterungen sehen vor, dass der Rechner alle 24 Stunden automatisch eine neue, zufällige IPv6-Adresse erzeugt, in der nicht die eindeutige Hardware-Adresse der Netzwerkkarte vorkommt. Die Privacy Extensions sind bei vielen Betriebssystemen bereits standardmäßig aktiviert.

Frage 2 – Stichwort feste IP-Adressen bei IPv6:

Bei IPv6 wird Kunden in der Regel nicht eine einzelne IPv6-Adresse zugewiesen, sondern ein Netz aus mindestens 2 hoch 64 IPv6-Adressen – je nach Anbieter ggf. auch 2 hoch 72 oder sogar 2 hoch 80. Diese Menge an IPv6-Adressen macht es Providern zwar grundsätzlich leichter, ihren Kunden feste Netze zuzuweisen. Viele Kunden wünschen dies aber nicht mehr, um im Internet anonymer zu sein. Und diese Bedenken müssen von den Providern natürlich bei ihren Planungen berücksichtigt werden.

Frage 3 – Welche Konfiguration werden wir unseren Kunden bei IPv6 künftig anbieten, werden standardmäßig die Privacy Extension aktiviert?

Die Privacy Extensions werden im Betriebssystem des jeweiligen Rechners konfiguriert, 1&1 hat darauf keinen Einfluss. Bei Windows XP, Vista und Windows 7 sind sie standardmäßig aktiviert. Bei anderen Betriebssystemen, beispielsweise OS X oder Linux, müssen sie ggf. manuell eingeschaltet werden

Welche IPv6-Netze unseren DSL-Kunden zugeteilt werden, ist zum gegenwärtigen Zeitpunkt noch nicht abschließend geklärt. Grundsätzlich sind verschiedene Modelle denkbar. Erstens dynamische IPv6-Netze: Hier wird alle 24 Stunden automatisch eine neue IP-Adresse zugeteilt. Zweitens semi-statische IPv6-Netze: Hier wird bei jedem DSL-Verbindungsaufbau eine neue IP-Adresse zugeteilen. Drittens voll-statische IPv6-Netze: Hier wird eine feste IP-Adresse zugeweisen. Viertens eine Mischform aus dynamischen und voll-statischen IPv6-Netzen: Hier können Anwender per Konfiguration im DSL-Router selbst entscheiden, welches der beiden Netze sie wie verwenden möchten.

Frage 4  – Implementierung der Privacy Extensions

Bei den Privacy Extensions konfigurieren Anwender an ihrem Rechner, dass sie beispielsweise alle 24 Stunden eine neue IPv6-Adresse haben möchten – bei neueren Windows-Betriebssytemen ist diese Einstellung bereits standardmäßig aktiviert.

Der Rechner behält dann seine per Autokonfiguration generierte IPv6-Adresse, generiert aber alle 24 Stunden automatisch eine neue hinzu. Die “jüngste” zusätzliche IPv6-Adresse wird jeweils für ausgehende Verbindungen genutzt. Gleichzeitig ist der Rechner auch weiterhin über die IPv6-Adresse erreichbar, die er sich per Autokonfiguration selbst gegeben hat sowie über die “älteren”, zusätzlich generierten IPv6-Adressen. Diese werden in der Regel erst nach 7 Tagen „vergessen“.

Obwohl Anwender frei wählen können, wie lange temporäre IPv6-Adressen erhalten bleiben, raten wir dringend davon ab, allzu sehr von den Standardwerten (24 Stunden pro IP, 7 Tage Haltbarkeit) abzuweichen. Generiert man sich etwa alle 5 Minuten neue IPv6-Adressen, die weiterhin 7 Tage erhalten bleiben sollen, muss der Rechner nach einer Woche immerhin 2016 temporäre IPv6-Adressen parallel betreiben. Für einige Betriebssysteme ist das unter Umständen zu viel – Instabilität droht. Des weiteren lösen auch eine Reihe von Sicherheitsfunktionen in Webanwendungen aus, so dass sich der Benutzer bei jedem IP-Wechsel „immer wieder“ neu einloggen muss.

Frage 5 – Aufwand für mit IPv4 vergleichbare Privatsphäre bei IPv6

Beides ist richtig und wichtig, muss aber nicht zwingend einen Mehraufwand bedeuten.

Dynamische Netze sind für die Provider in der Regel sogar deutlich einfacher zu handhaben. Die Privacy Extensions sind bei allen neueren Windows-Betriebssystemen bereits standardmäßig aktiviert. Anwender müssen hier also nichts machen. Bei anderen Betriebssystemen wie OS X oder Linux lassen sich die Einstellungen relativ einfach aktivieren. Wenn der Provider dynamische zugewiesene IPv6-Netze nutzt und Anwender die Privacy Extensions aktiviert haben, bietet IPv6 den gleichen Schutz der Privatsphäre wie IPv4.

Das grundsätzliche Problem ist nicht die Wiedererkennbarkeit anhand der IP-Adresse. Cookies, Webseites mit Anmeldungszwang und Flash-Cookies sorgen schon seit einiger Zeit dafür, dass Homepage-Betreiber einen Internet-Nutzer auch trotz IP-Wechsel “wiedererkennen” können – und diese Verfahren funktionieren sowohl für IPv4 als auch für IPv6.

Weitere Informationen zum Thema liefert auch unser Blog-Artikel: http://blog.1und1.de/2010/05/07/ipv6-totale-ueberwachung/

Kategorie: Netzkultur
9 Kommentare9
  1. 18. November 2010 um 18:34 |

    Leider beantwortet der Beitrag die spannendste Frage nicht: wie wird 1&1 bzw die Zulieferer mit IPv6 umgehen. Wie oft wird ein neues Präfix vergeben werden – das Präfix ist ja das Äquivalent zu der heutigen IPv4-Adresse, wenn ich das recht verstanden habe. Und: Wann ist überhaupt ein Release von IPv6 für Endkunden geplant?

    1. 22. November 2010 um 14:08 |

      Es stellt sich für mich ausschließlich die Frage, wann IPv6 DSL-Kunden eingeführt wird. IPv6 mit dynamischen Präfixen ist schlichte Augenwischerei. Privatsphäre entsteht nicht durch dynamische Zuteilung von Präfixen. Ein nötiges Feature aus der IPv4-Zeit (SNAT verbunden mit der geringen Anzahl v4-Adressen) als nötiges Privatsphäre-Feature in der IPv6-Welt zu verkaufen ist nicht nachvollziehbar.
      Wie sich die Konfiguration von Router Advertisements (beispielsweise mit radvd) bei dynamischer Vergabe verhält, sollte ebenfalls klargestellt werden.
      Aktuell ist für mich als 1und1-DSL-Kunde insbesondere der Zeitpunkt der Einführung von nativem IPv6 interssant. Es wäre daher angenehm einen Einführungszeitplan, bestehend beispielsweise aus ungefähren Zeitangaben zu Evaluierung, Tests etc., zu veröffentlichen.

  2. 18. November 2010 um 22:22 |

    @Torsten: Der Beitrag beantwortet m.E. deien Frage ganz direkt. Derzeit steht es noch nicht fest (und siehe Artikel) 1&1 ist am Evaluieren von 3 Varianten.

    Dazu auch meine Anmerkung: Bin selbst 1&1 Kunde und Server-Admin, hab mich also auch schon mit dem Thema beschäftigt. Ich bin hier der ganze klaren Meinung, wenn 1&1 einen USP zu den Mitbewerbern sucht, dann bitte Variante 3!!! Ich will als Kunde selbst festlegen können, wie die Prafixe/Netze für mich vergebben werden. Entweder statisch oder eben dynamisch. Das ist je nach Einsatzzweck untesrchiedliche. Der Default sollte dynamisch sein. Denn, das muss man ganz klar sagen. Ich habe bestimmt keine Geheimnisse. Aber eine eindeutige Rückverfolgbarkeit im Internet wäre mit der Tod des Internets selbst. Dann müsste man letztenldich immer überlegen welche Adresse man ansurft und vertippt man sich mal beim eingeben dann kann man nciht mehr schlafen, weil nun ggf. die Ehefrau noch Jahre später mitbekommt auf welcher Seite man da versehtnlich gelandet ist. Mit cookies (die man regelmäßig löscht) ist das nicht zu vergleichen. Es wird dann auf dem Schwarzmarkt wahrscheinlich IP-Profile gehandelt werden… Ncihts desto trotz gibt es aber auch Anwendungsfälle für Statische IPs. Es wird wohl immer mehr Anwendungen geben, Stichwort Cloud, bei denen man eigene Dienste auch sogar von Mobilen Geräten anbieten will und dafür eine Statische IP braucht… Also liebe 1&1, ich will als Kunde beide Varianten. Wenn nicht, wird es andere Provider geben die das so umsetzen und zu denen werde ich dann, wie viele andere, eben auch sofort wechseln.

  3. 18. November 2010 um 22:31 |

    Noch ein wichtiger Nachtrag!

    Die Beste Variatne wäre, das habe ich ganz vergessen, wenn 1&1 mir BEIDES GLEICHZEITIG ermötglicht! Ich hätte gerne eine Dynamische IP Adresse die gänzlich anonym ist und ZUSÄTZLICH und GLEICHZEITIG eine feste IP für irgendwelche Serverdienste! T

    echnisch scheint mir das kein Problem zu sein ist wohl nur ein Frage des Routings der IP Adressen und ein Rechner kann ja mehrere IPs haben…

    1. 19. November 2010 um 13:27 |

      Das ist exakt die vierte genannte Option, eine Kombination aus dynamisch und statisch vergebenen Prefixen. Leider ist das auch eine Sammlung des maximalen Aufwands 🙂

      Jan Rischmüller hat sich bereits vor einem halben Jahr im letzten Satz seinesArtikels dafür ausgesprochen. Und ja, wir möchten es auch gerne realisieren – ob wir es schnell genug
      realisieren können oder ob uns der Marktdruck dazu drängt, etwas weniger aufwändiges zu liefern, wird noch geklärt.

  4. 19. November 2010 um 11:04 |

    Das ist aber mal eine enttäuschende Antwort, Herr Henke:

    „Welche IPv6-Netze unseren DSL-Kunden zugeteilt werden, ist zum gegenwärtigen Zeitpunkt noch nicht abschließend geklärt.”

    Dabei wollte Herr Lischka doch eigentlich nur wissen, wie es 1&1 damit hält – die allgemeinen Belehrungen über IPv6 findet man ja auch etwa im Wikipedia-Artikel dazu. Aber was tun Sie? Sie antworten über mehrere Seiten hinweg, um dann lediglich in einem dürren Satz mitzuteilen, dass 1&1 sich da nicht festlegen will – was insbesondere bedeutet, dass man sich die Option offenhalten möchte, ausschließlich feste IPv6-Netze zu vergeben. Dafür hätte wohl auch der obenstehende Satz gereicht. Oder einfach: „Da wollen wir uns nicht festlegen.”

    1. 19. November 2010 um 13:21 |

      Schön, daß sie den Wikipedia-Artikel IPv6 ansprechen – den hat mein Kollege Jan Rischmüller in den letzten Jahren etappenweise nahezu neu geschrieben. Suchen Sie in der Edit-History einfach mal nach dem Benutzer „Rischmueller” …

      Kernfrage zum Artikel von Herrn Lischka war die Frage der Privatssphäre mit IPv6, wie wir diese Frage beurteilen, was wir tun, um Privatsspäre zu erreichen. Theoretisch hätten wir auch direkt mit einem Verweis auf Jan’s Blogartikel antworten können. Wie oder wann wir IPv6 zur Verfügung stellen können, war nur eine Frage am Rande und dementsprechend auch nur im Nebensatz beantwortet.

      Nutzen kann man IPv6 bereits heute, wenn auch „nur” getunnelt. Die aktuelle Firmware der aktuellen AVM-Fr!tzboxen enthält bereits alles nötige, um so auch an einem beliebigen 1&1-DSL-Anschluß IPv6 zur Verfügung zu stellen. Dennoch wollen wir IPv6 gerne „native” zur Verfügung stellen, und daran arbeiten wir eben noch.

      Herr Lischka hat in seinem Fragenkatalog die gleichen Punkte mehrfach gestellt, z.B. wurde gefragt, ob wir unseren Kunden die Privacy Extensions zur Verfügung stellen werden.
      Um klarzustellen, daß die Privacy-Extensions auf Betriebssystemseite des Kunden aktiviert werden müssen, keine Option sind, die der Provider beeinflusst und um in diesem Kontext nicht falsch zitiert zu werden, haben wir diese Punkte auch „immer wieder” unter der jeweiligen Frage beantwortet. Daher ergibt sich vielleicht der Eindruck, es wären „Belehrungen” gewesen; aus urheberrechtlichen Gründen haben wir darauf verzichtet, die Fragen im Original zu nennen.

      Zurück zu ihrer Frage: wir möchten uns gern festlegen, sammeln aber noch die verschiedenen Einschätzungen, um eine Entscheidung treffen zu können.

      Für uns ergeben sich in der Auswahl zwischen statischen, semi-statischen, dynamischen Netzen keine technischen Vorteile, daher haben wir von der Technik aus wirklich keine Präferenz und müssen abklären, was wir wem, wann und wie zur Verfügung stellen können.

      Bei statischer Vergabe muss z.B. dem BRAS („Einwahlrouter”) gesagt werden, welchem Login ein bestimmter Prefix zugewiesen werden soll, bei dynamischer bzw. semi-statischer Vergabe entscheidet das der BRAS im Alleingang. Allein dadurch bereiten statisch geroutete IPv6-Netze mehr Aufwand für alle Accessprovider, dynamisch oder semi-statische hingegen weniger.

      Kombiniert man alle Features addiert man aber auch alle Aufwände. Man hätte zwar ein „optimales” Produkt, kann das aber vielleicht erst anbieten, nachdem aus einer wilden Panik vor IPv4-Notstand die Kunden zum ersten Marktbegleiter gewechselt sind, der „irgendwie” IPv6 anbietet.

      Für uns stellt sich auch die Frage, wie wir den IPv6-Launch für DSL-Produkte z.B. mit den Hostingprodukten koordinieren sollen. Böten wir morgen IPv6 für alle DSL-Produkte an, stellten uns übermorgen ein paar Millionen Hostingkunden die Frage, wann sie IPv6 haben werden.
      Das sind letztlich alles Fragen, die wir intern abstimmen müssen, für die es heute aber noch keine Antwort gibt.

Die Kommentare sind geschlossen.