Infoblox warnt vor Fallstricken beim Einsatz von IPv6

Checkliste für eine erfolgreiche IPv6-Strategie

| Autor / Redakteur: Bernhard Lück / Andreas Donner

Infoblox möchte mit einer Checkliste die Entwicklung erfolgreicher IPv6-Strategien fördern.
Infoblox möchte mit einer Checkliste die Entwicklung erfolgreicher IPv6-Strategien fördern. (Bild: Torbz – Fotolia.com)

Infoblox hat Fallstricke identifiziert, die Unternehmen den Umstieg von IPv4 auf IPv6 erschweren können. Die folgende Checkliste soll sieben Problemen entgegenwirken. Zusätzlich warnt der Spezialist für Netzwerkautomatisierung vor einer weiteren Falle.

Unternehmen, die ihre IPv6-Strategie entwickeln, müssen Hardware und Software gründlich prüfen, Mitarbeiter schulen und Richtlinien, die das Netzwerk betreffen, neu aufsetzen oder anpassen. Infoblox zufolge ist dies allerdings noch lange nicht alles.

1. Überprüfen Sie, wie Sie IP-Adressen konfigurieren und nachverfolgen

IPv6 wird großen Einfluss darauf haben, wie IP-Adressen zugeteilt und verwaltet werden – das ist sicher die wichtigste Änderung bei der Umstellung. Der Wechsel von 32-Bit-IPv4- zu 128-Bit-IPv6-Adressen macht für Unternehmen die Überlegung notwendig, wie sie von nun an IP-Adressen zuteilen, aber auch tracken. Bei IPv4-Adressen war das einfach und konnte manuell erledigt werden, etwa mithilfe von Tabellen. Bei IPv6 funktioniert das nicht mehr: Schon die pure Länge zwingt Unternehmen dazu, für das IP Address Management (IPAM) Tools einzusetzen, die automatisiert und mit IPv6 kompatibel sind.

2. Überprüfen Sie Ihre DNS-Architektur

Sobald IPv6 auch im internen Netzwerk verwendet wird, müssen Unternehmen prüfen, ob der Rest der IP-Management-Infrastruktur für die Umstellung bereit ist. Wird etwa ein Dynamic Host Configuration Protocol (DHCP) für die Adresszuteilung genutzt, muss auch der DHCP-Server IPv6-kompatibel sein. DCHP ist aber nur ein Teil dessen, was ein IPv6-Endpunkt benötigt. Zudem müssen auch DNS Domain Support, DNS-Serveradressen, Adressen von Netzwerkzeitservern und viele andere Elemente mit IPv6 kompatibel sein. Dafür muss eine moderne DNS-Infrastruktur implementiert, sowie die Kompatibilität zwischen DNS und DHCP-Systemen getestet werden.

3. Überdenken Sie die Richtlinien für Sicherheit und Wartung

Wird IPv6 implementiert, dann ist es auch nötig, Richtlinien für Sicherheit und Wartung anzupassen. Während die Schwächen von IPv4 hinlänglich bekannt sind und daher bekämpft werden können, gibt es diese Erfahrungswerte bei IPv6 noch nicht. Deshalb müssen etwaige Bedrohungen, die das neue System mit sich bringen kann, konsequent analysiert werden. Unternehmen sollten also bei der Umstellung auf IPv6 auch daran denken, ihre Sicherheitsvorkehrungen zu überarbeiten.

4. Kontrollieren Sie das Inventar Ihrer Netzwerkinfrastruktur

Eine Umstellung auf IPv6 kann nur funktionieren, wenn ein Unternehmen genau über sein Netzwerk und dessen Komponenten Bescheid weiß. Deshalb müssen Netzwerkinfrastruktur und Traffic-Routing eingehend untersucht werden. So sollte beispielsweise jedes Subnetz daraufhin überprüft werden, ob die Verbindung zum Backbone auch unter dem neuen Protokoll funktioniert.

5. Sind auch Ihre Anwendungen kompatibel?

Unternehmen sollten sich vor der Annahme hüten, dass Anwendungen automatisch auch auf einem IPv6-basierenden Netzwerk laufen – auch sie müssen vor einer Umstellung getestet werden. Bei IPv6 werden nämlich auch neue Layer-4-TCP-Protokolle eingesetzt (TCP 6 und UDP 6), die durchaus Auswirkungen auf einige Anwendungen haben können.

6. Bringen Sie Ihre Backend-Tools auf den aktuellen Stand

Um ein IPv6-Netzwerk verwalten sowie Probleme erkennen und lösen zu können, müssen Unternehmen evaluieren, ob ihre existierenden Tools dafür geeignet sein. Gegebenenfalls müssen hier gänzlich neue Lösungen angeschafft werden. Das gilt sowohl für den Betrieb als auch für die Wartung. So ist etwa schon die Länge der IPv6-Adressen problematisch für manche Datenbanken, die solche Adressen nicht speichern können. Auch Analyzer und andere Überwachungslösungen sind häufig nicht IPv6-kompatibel.

7. Behalten Sie die Netzwerk-Performance im Auge

Die Veränderungen durch IPv6 können sich negativ auf die Leistung eines Netzwerks auswirken. So sind etwa Header mit 40 Byte doppelt so groß wie bei IPv4. Daher wird es gerade bei Anwendungen, die kleine Paketgrößen benötigen, merkliche Leistungsauswirkungen geben. Obwohl die meisten Systemanbieter wohl eine Strategie zur IPv6-Implementierung haben, gilt diese nicht unbedingt für die Leistung von Systemen, auf denen das IPv6-Protokoll läuft. Hier ist die Umstellung der Firmware ein erster Schritt. Für eine umfassende interne Umstellung wird aber die Hardware der Netzwerkinfrastruktur zu großen Teilen verbessert werden müssen, um leistungsfähig genug zu bleiben.

Eine zusätzliche Warnung: Spam-Filter müssen neu entwickelt werden

Spam-Blocker von heute stützen sich meistens auf DNS Black Lists (DNSBL). Die werden allerdings bei der Umstellung auf IPv6 wertlos, da Hosts unter IPv4 nur einige Hundert Adressen haben, sodass individuelle Adressen einfach aufgelistet und blockiert werden können. Bei IPv6 können Hacker einem Server dagegen Tausende von Adressen zuweisen und für jede neue Spam-Nachricht eine neue Adresse wählen. Ganze IPv6-Bereiche in DNSBL aufzulisten – so wird es aktuell bei IPv4 gemacht – ist keine Lösung, da diese aufgrund ihrer Größe Caches und DNS-Server zusammenbrechen lassen würden. Zudem ziehen DNS-Caches neue Antworten älteren gegenüber oft vor, sodass die Vielzahl von DNSBL-Daten alle anderen DNS-Informationen aus dem Cache drängen würde. Oft wird zudem für DNSBL der gleiche Cache genutzt wie für alle anderen DNS-Anfragen. Das belastet wiederum alle anderen DNS-Server, die sich die gelöschten Antworten zurückholen müssen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42364894 / IPv6)