IPv6 im Unternehmen

#de, #network edit this page

In diesem Artikel versuche ich ein paar Argumente für IPv6 in Unternehmensnetzwerken zu erklären, die meisten Netzwerker und Admins mit denen ich zu tun habe sind verunsichert oder schlecht informiert und versuchen aus diesen und anderen Gründen IPv6 als unwichtig oder gar unnötig abzutun.

Warum?

Diese Frage hört man immer wieder, dabei gibt es einige Gründe die für IPv6 sprechen. Ich teile diese Frage in zwei Bereiche auf, IPv6 im Unternehmensnetzwerk und IPv6 im Internet.

IPv6 im Internet

Viele neuen Trends in der IT haben eines gemeinsam: immer mehr Geräte wollen immer mehr Informationen an immer mehr Teilnehmer senden. Dazu werden immer mehr Verbindungen und immer mehr Adressen benötigt. Das Internet of Things, immer-online Smartphones und viele Cloud Produkte sind ohne IPv6 bereits jetzt schon nicht mehr denkbar. Facebook stellt derzeit sogar das interne Netzwerk wegen Adressmangel auf IPv6 um.

Aus der Sicht eines Unternehmens ist IPv6 spätestens dann interessant, wenn man Geschäftspartner in Regionen mit wenigen öffentlichen IPv4 Adressen hat. So werden z.B. in Asien, Afrika und Osteuropa nur noch IPv6 Anschlüsse verkauft, nur selten ist es möglich einige IPv4 Adressen zu ergattern.

Durch Übergangstechnologien (transition technology) bietet der Provider zwar die Möglichkeit weiterhin auf IPv4 Inhalte zuzugreifen, aber will man sich als Unternehmen wirklich darauf verlassen, dass potentielle Kunden und Partner die Website schon irgendwie erreichen werden? Dass Emails mit Aufträgen schon irgendwie ankommen werden?

Um Problemen mit Übergangstechnologien (Tunneling, CGN…) aus dem Weg zu gehen, sollten bestimmte Dienste aus dem nativen IPv6 Netzwerk erreichbar sein. Die bereits angesprochenen Aufträge oder Webzugriffe sind dabei nur ein Grund, Mitarbeiter (und Führungskräfte) reisen in Regionen in denen IPv6 Internet bereits Normalität ist und auch von dort wollen diese auf das Firmennetzwerk zugreifen und Emails abrufen.

Wegen des einfachen (und für den Benutzer kaum merkbaren) Fallbacks ist E-Mail ein Dienst, der relativ einfach über IPv6 erreichbar gemacht werden kann, hier profitiert man sofort von einer besseren Erreichbarkeit und kann den Umgang mit der Technologie lernen.

IPv6 im internen Netzwerk

Bei der Entwicklung von Windows Vista und Server 2008 wurde der Netzwerkstack komplett neu geschrieben, dabei wurde großer Wert auf die Implementierung von IPv6 gelegt. So ist IPv6 ab Windows Vista/2008 nicht nur standardmäßig aktiv, es wird auch bevorzugt. Bekommt ein Client also sowohl ein IPv4 als eine IPv6 Adresse für eine DNS Abfrage zurück, versucht dieser die Verbindung über IPv6 zuerst.

Da Windows XP hoffentlich nicht mehr zum Einsatz kommt, kann man davon ausgehen, dass in den meisten Unternehmen bereits jetzt IPv6 großflächig ausgerollt wurde! Leider passiert das häufig ohne detaillierte Planung und manchmal sogar ohne das Wissen der Admins bzw. Netzwerkverantwortlichen.

Während das IPv4 Netzwerk genau geregelt wird, Firewalls und IPS Systeme in regelmäßigen Audits gecheckt werden, hat man einen zweiten, nicht berücksichtigen, nicht verwalteten Netzwerkstack. Aus Sicht der Netzwerksicherheit ist dies deshalb kritisch, weil Windows teilweise automatisch Tunnel aufbaut welche dem Client einen ungefilterten Zugriff auf das wachsende IPv6 Internet geben.

Da IPv6 bevorzugt wird, kann man mit einem IPv6 “Router Advertisement” einfache Man-in-the-Middle Attacken ausführen und z.B. den gesamten Traffic eines Subnets über einen Proxy umleiten. Security Features wie DHCP Snooping und ARP Inspection sind weiterhin wichtig um das IPv4 Netzwerk zu schützen, in diesem Fall sind diese aber nutzlos.

Spätestens zu diesem Zeitpunkt sollte man sich Gedanken über IPv6 machen! Man muss nicht gleich das gesamte Netzwerk umstellen, wichtiger ist eine genaue Planung und die Übertragung der bestehenden Sicherheitsrichtlinien auf IPv6.

Migration

Das (langfristige) Ziel einer IPv6 Einführung ist die komplette Migration des Netzwerkes auf natives IPv6, trotzdem wird man IPv4 über eine lange Zeit weiter betreiben. Wie bei jeder Einführung oder Migration ist auch hier die Planung ein wichtiger, erster Bestandteil.

Dabei sollten folgende Punkte berücksichtigt werden:

  1. Adressplan: Welche IP Adressen, Subnets? Im Enterprise Umfeld Providerunabhängige Adressen
  2. Übergangstechnologie: Nativ, Tunnel oder eine Mischung?
  3. Bestehendes Equipment: Können benötigte Features abgebildet werden? Firmware Update nötig?

Der erste Schritt bei der Einführung ist das Aktivieren des IPv6 Zugriffes am Übergangspunkt des Netzwerkes, hier muss in der Regel mit dem ISP gearbeitet werden. Sind Routing und Sicherheitsrichtlinien eingerichtet, kann IPv6 von außen nach innen ausgerollt werden.

Beginnen sollte man mit einer Labor oder Testumgebung, diese kann in einer DMZ, nahe am Übergangspunkt angesiedelt werden, so kann man Erfahrungen sammeln ohne IPv6 ans letzte Ende des Netzwerkes zu transportieren.

Nach ausgiebigem Test bieten sich E-Mail und DNS als erste Dienste an, die in einer produktiven Umgebung für IPv6 aktiviert werden können. Beide fallen ohne Probleme auf IPv4 zurück, sodass Benutzer im Problemfall nicht betroffen sein sollten.

Ein weiterer interessanter Punkt sind Load Balancer oder Application Delivery Controller, diese veröffentlichen bereits jetzt Systeme und stellen eine Verbindung zwischen öffentlichem und privatem Netzwerk dar. In aktuellen Versionen bieten viele dieser ADCs die Möglichkeit auch über IPv6 mit dem öffentlichen Netzwerk zu kommunizieren. Verwendet der ADC eine Technologie wie NAT64 ist dies für den veröffentlichten Dienst (SharePoint, Exchange, Web…) transparent und dieser muss nicht geändert werden.

Möglichkeiten und Vorteile

Die Einführung von IPv6 bietet, neben der Vielfalt an Adressen weitere Vorteile, so können Router z.B. schneller arbeiten da der IP Destination Header immer an derselben Stelle im Paket zu finden ist. Außerdem erledigen sich die Themen ARP und Broadcasts, für die Auflösung der L2 Adressen wird ICMPv6 verwendet, die sogenannte Neighbor Discovery findet immer über Multicast statt.

Ein weiterer Punkt der in IPv4 Netzwerken häufig zu Problemen führt ist MTU und Paketfragmentierung, auch das gibt es in IPv6 Netzwerken nicht mehr. Über ICMPv6 wird die Path MTU ermittelt, so weiß der Client wie groß seine Pakete für den Server sein dürfen, bevor er diese losschickt.

Die Automatische Konfiguration von Clients wird oft als Vorteil genannt, dies kann in kleineren Netzwerken sicher interessant sein, im Unternehmen wird es weiterhin DHCP und statische Adressierung für Server geben.

Eine der größten Krücken und der Grund aus dem viele immer noch an IPv4 festhalten, ist NAT oder Network Address Translation. Diese Technologie hat es überhaupt erst ermöglicht die Einführung von IPv6 so lange hinaus zu zögern, gleichzeitig hat sie aber auch jede Menge Probleme für Applikationen mit sich gebracht. Mit einem global skalierbaren IPv6 Adressplan wird eine End-to-End Kommunikation von Geräten endlich möglich, das wechseln zwischen Netzwerken kann so für den Benutzer einfacher werden. In einer mobile-first Welt ein nicht unwichtiger Punkt ;)

Natürlich ist auch Sicherheit ein wichtiger Aspekt und auch da bietet IPv6 einige Vorteile, so ist IPSEC z.B. standardmäßig implementiert und jeder Host kann (theoretisch) verschlüsselt kommunizieren. Allerdings sieht man auch hier, dass es sich schon um ein älteres Protokoll handelt, einige Standardheader gelten heute als unsicher und es gibt schon einen Nachfolger für Neighbor Discovery, SEND oder SEcure Neigbor Discovery.

Probleme

Wie bei jeder neuen Technologie gibt es auch bei der Einführung von IPv6 bestimmte Fallstricke, so kann es z.B. sein dass Clients zwar die IPv6 Verbindung bevorzugen, das Routing dafür aber einen weniger optimalen Pfad wählt und die Verbindung deshalb langsamer ist. Aktives Monitoring, saubere Dokumentation und gutes Configuration Management sind wie bei IPv4 unerlässlich. Hier gilt es bestehende Prozesse an die neue Technologie anzupassen.

 

Einige hilfreiche Links zum Thema hab ich hier gesammelt: IPv6 Learning Resources

 

Ich hoffe in diesem Artikel das Interesse an IPv6 geweckt zu haben :)

Happy hacking!
Tom