So klappt der Wechsel

IPv6: Die sieben wichtigsten Tipps zur Umstellung

| Autor / Redakteur: Rainer Singer / Andreas Donner

Die Umstellung auf IPv6 geht langsamer voran als prognostiziert – bleibt aber enorm wichtig und herausfordernd!
Die Umstellung auf IPv6 geht langsamer voran als prognostiziert – bleibt aber enorm wichtig und herausfordernd! (Bild: Mikko Lemola - Fotolia.com)

Am 24. September 2015 wurden in den USA die letzten IPv4-Adressen verteilt. Damit waren Adressen nach altem Protokoll viel länger verfügbare als immer prophezeit wurde. Und IPv4 dominiert noch immer, obwohl IPv6 seit mehr als drei Jahren empfohlen wird. Doch die Einführung verzögert sich, weil Unternehmen Mehrkosten fürchten und die Ausmaße einer Umstellung oft nicht einschätzen können.

Vieles deutet darauf hin, dass alleine die Verwaltung der neuen IPv6-Adressen für viele Unternehmen eine Herausforderung wird. Die Erweiterung auf 128-Bit-Adressen wird etliche Datenbanken zur Verwaltung von IP-Adressen einfach außer Gefecht setzen und lässt sich unmöglich nur mit Excel-Sheets bewerkstelligen.

Worauf sollten Unternehmen bei der Entwicklung ihrer IPv6-Strategie achten? Einige Punkte sind allgemein bekannt. Sämtliche Hard- und Software muss konsequent überprüft werden. Das Personal muss IPv6-Schulungen erhalten und Netzwerkrichtlinien müssen neu bewertet bzw. erstellt werden.

Zu diesen allgemeinen Punkten gibt es allerdings noch ein paar weitere sehr wichtige Aspekte zur Umstellung auf IPv6. Infoblox, Anbieter für IPAM- und DNS-Lösungen, hat sieben Tipps zusammengestellt, mit denen die Umstellung leichter fällt:

1. Automatisierte Nachverfolgung der IP-Adressen

Die wichtigste Neuerung bei der Umstellung auf IPv6 ist die Auswirkung dieses neuen Protokolls auf die Zuteilung und Verwaltung von IP-Adressen. Aufgrund des Wechsels von 32-Bit-IPv4-Adressen zu 128-Bit-IPv6-Adressen müssen sich Unternehmen entscheiden, wie sie IP-Adressen in Zukunft zuteilen und nachverfolgen werden. Während eine solche Nachverfolgung in IPv4-adressierten Netzwerken manuell etwa über Tabellenblätter möglich war, ist dies mit IPv6 nicht mehr praktikabel.

Allein die Länge von IPv6-Adressen macht eine Verwaltung von Hand schwierig, wenn nicht sogar unmöglich. Unternehmen sollten daher zu einer automatisierten und vollständig IPv6 kompatiblen IP-Adressverwaltung (IPAM) wechseln.

2. Moderne DNS-Architektur

Bei der Planung von IPv6 auf dem internen Netzwerk sollten Unternehmen prüfen, ob der Rest ihrer IP-Verwaltungsstruktur für eine Umstellung auf IPv6 bereit ist. Wenn die Zuteilung von Adressen über DHCP erfolgt, müssen Unternehmen logischerweise für einen IPv6-kompatiblen DHCP-Server sorgen. Ebenso wichtig ist jedoch die Konfiguration einer IPv6-DNS-Domain-Unterstützung, einer DNS-Server-Adresse, einer Netzwerkzeit-Server-Adresse, sowie weiterer mit dem DHCP-Server in Verbindung stehender Elemente. Entscheidend ist, dass die IT-Abteilung eine moderne DNS-Infrastruktur installiert, die sowohl IPv4 (A Records) als auch IPv6 (AAAA Records) unterstützt.

3. Neue Richtlinien für Sicherheit und Wartung

Alle Unternehmen müssen sich darauf vorbereiten, dass sie ihre Richtlinien für Sicherheit und Wartung bei der Umstellung auf IPv6 wahrscheinlich überarbeiten müssen. Die Schwächen eines IPv4-Stacks sind aufgrund des langen Einsatzes bereits bekannt, für IPv6 liegen jedoch keine vergleichbaren Erfahrungswerte vor. Daraus folgt die Notwendigkeit einer konsequenten Analyse möglicher Bedrohungen, die aus dem neuen Protokoll entstehen können. Für Unternehmen bedeutet dies, dass sie im Rahmen der Umstellung auf die neuen Protokolle ihre Positionierung zu Sicherheitsfragen überarbeiten müssen.

4. Inventarisierung der Netzwerkinfrastruktur

Eine erfolgreiche Umstellung auf IPv6 kann erst beginnen, wenn ein Unternehmen Klarheit darüber hat, welche Geräte an das momentane IPv4-basierte Netzwerk angeschlossen sind. Sowohl die Netzwerkinfrastruktur wie auch das Routing des Traffics müssen einer detaillierten Analyse unterzogen werden. Bei jedem Subnetz muss geprüft werden, ob die Verbindung zum Backbone unter dem neuen Protokoll voll funktionsfähig ist.

5. Neue Tools für das Backend

Die Verwaltung und das Lösen von Problemen in einem IPv6- Netzwerk erfordern mindestens eine Überprüfung der bisher verwendeten Backend-Tools, wenn nicht sogar brandneue Werkzeuge. Denn bereits die bloße Länge einer IPv6-Adresse ist oft schon ein Problem für manche Datenbanken, die für solche Adressen nicht konzipiert wurden. Viele IT-Administratoren, die eine Umstellung ohne eine vorherige Backend-Prüfung durchgeführt haben, berichten, dass Analyzer und andere Überwachungstools häufig nicht IPv6-kompatibel waren.

6. Hardware-Upgrades gegen Leistungsabfall

Header nehmen nun trotz geringerer Komplexität mehr Platz ein. Sie sind mit 40 Byte doppelt so groß wie bei IPv4-Anwendungen. Bei Anwendungen, die auf kleine Paketgrößen angewiesen sind, wird sich dies merklich auswirken. SIP benutzt beispielsweise kleine, durchschnittlich 1.000 Byte große Pakete. Die Vergrößerung des Headers wird die Paketgröße um etwa 2 Prozent erhöhen, was sich in Extremfällen durchaus bemerkbar machen kann.

Die Leistung stellt ein generelles Problem in der IPv6-Netzwerkinfrastruktur dar. Auch wenn die meisten Systeme eine Umstellung auf IPv6 erlauben, heißt dies noch lange nicht, dass die Performance der Systeme sich bei einem Wechsel von IPv4 zu IPv6 nicht verschlechtert. Die Anpassung der Firmware ist in diesem Zusammenhang ein erster Schritt in die richtige Richtung. Aber bei einer umfassenden internen Umstellung wird es ohne Hardware-Upgrades in einem Großteil der Netzwerkinfrastruktur nicht gehen, wenn die heute von Kunden und Mitarbeitern erwartete System-Leistung beibehalten werden soll.

7. Neue SPAM-Filter

Die heutigen SPAM-Blocker stützen sich hauptsächlich auf DNS Black Lists, die bei der Umstellung auf IPv6 wertlos werden. Unter IPv4 kommen Hosts höchstens auf einige hundert Adressen – das Auflisten und Blockieren individueller Adressen bleibt damit überschaubar. Unter IPv6 jedoch können Hacker einem Server tausende von Adressen zuweisen und für jede SPAM-Nachricht eine neue, unverbrauchte Adresse wählen.

Ganze IPv6-Bereiche in DNS Black Lists einzuspeisen, wie es derzeit unter IPv4 geschieht, ist keine Option: die Bereiche wären derart groß, dass Caches und DNS-Server zusammenbrächen. Zudem neigen DNS-Caches dazu, die neuesten Antworten gegenüber älteren vorzuziehen. Damit würde die Flut von Black-List-Daten alle anderen DNS-Informationen aus dem Cache drängen. Bei den meisten Systemen wird für Black Lists derselbe Cache wie für alle anderen DNS-Anfragen genutzt. Dies wird die Belastung für alle anderen DNS-Server erhöhen, die die aus dem Cache gelöschten Antworten zurückholen müssen.

Selbst wenn DNS Black-List-Server einen einzelnen DNS-Platzhalter zur Abdeckung eines großen Bereichs von Einträgen erstellen, hilft dies nicht weiter. DNS-Caches können nicht unterscheiden, ob ein Platzhalter eine Antwort gibt, somit wird bei jeder Antwort ein neuer Eintrag erstellt.

Unternehmen sollten daher sicherstellen, dass ihr SPAM-Schutz-Anbieter seine Produkte in Bezug auf diese Probleme aktualisiert hat.

Fazit

Die Ergänzung um IPv6 auf Dual Stack ist früher oder später notwendig. Einige Unternehmen haben bereits damit begonnen und entsprechende Erfahrungen gesammelt. Wer die vorgestellten sieben Hinweise beherzigt, wird viele Probleme mit dem neuen Protokoll von vorneherein vermeiden können und besser in der Lage sein, die Vorteile zu nutzen und davon zu profitieren.

Rainer Singer
Rainer Singer (Bild: Infoblox)

Dazu gehören nicht nur die Anschaffung robuster Automatisierungslösungen und die Inventarisierung und grundsätzliche Analyse des Netzwerks, sondern auch ein genauer Blick auf die Anbieter, deren Lösungen ein Unternehmen verwendet.

Über den Autor

Rainer Singer ist Systems Engineering Manager Central Europe bei Infoblox.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43833732 / TCP / IP)