Skip to content

Eine Zahl mit 37 Nullen und vielen Mißverständnissen

SWR3 hat anlässlich des World IPv6 Launch Days einen Artikel über IPv6 veröffentlicht.

Und gemessen an dem, was sonst so in der Presse über IPv6 geschrieben wird, war dieser Artikel nicht so, dass man ihn neu schreiben müsste, um ihn mit der Realität in Verbindung zu setzen. Nach einer kurzen Twitter-Diskussion mit @SWR3 habe ich mich entschlossen, nicht das Kommentierspielchen auf der SWR3-Webseite zu spielen, sondern einen Blogartikel darüber zu schreiben

Vorab sei gesagt: Ich nutze IPv6 täglich, auf fast allen meinen eigenen Rechnern ist IPv6 aktiviert. Dies tue ich hauptsächlich, um von überall auch auf die Rechner zugreifen zu können, für die keine eigene IPv4-Adresse verfügbar ist, und die ich sonst nur auf Umwegen erreichen könnte. Dies gilt sowohl für meine Rechner zuhause als auch für die virtuellen Maschinen, die auf Housingservern angesiedelt sind, für die es nur eine IPv4-Adresse gibt.

Da ich dies über ein OpenVPN tue, könnte man dieses Ziel zwar auch mit IPv4 und intern gerouteten RFC1918-Adressen erreichen, IPv6 tut dies aber schöner und ohne Unterscheidung zwischen "intern" und "weltweit".

Freilich hat IPv6 auch Nachteile. Und zwar so viele und so nervige, dass ich vermutlich noch dieses Jahr einen Vortrag über die größten IPv6-Marketinglügen für eine noch näher zu bestimmende Konferenz einreichen werde. Es ist wirklich nicht alles Gold was glänzt.

Aber nun zu Peter Mühlfeits Artikel auf SWR3.de. IPv4-Adressen sind knapp. So knapp, dass auch größere Internetprovider nicht mehr so viele IPv4-Adressen neu zugewiesen bekommen, und deswegen nicht mehr so schnell weiter wachsen können, wie sie eigentlich wollten. Dies entwickelt sich zunehmend zur Innovationsbremse für die ganze Branche.

IPv6 ist eine langfristige Maßnahme, Carrier Grade NAT eine kurzfristig helfende. Über Carrier Grade NAT kommt in Kürze in diesem Blog ein weiterer Artikel (dafür muss ich aber schlecht genug drauf sein, dieser Artikel wird keinen Spaß machen).

Niemand hat vor, 34*10³⁷ Systeme ins Internet zu hängen. Die vielen Adressen werden dazu dienen, das Netz besser zu strukturieren und um die Administration leichter zu machen. Für die meisten Administratoren wird das Hantieren mit Netzmasken beispielsweise zur Vergangenheit gehören: Anstelle heute mit dem oft unangemessen großen /24 (v4) zu arbeiten (weil viele nichts anderes kennen), wird man bald nur noch /64-Netze (v6) verwenden, was natürlich noch viel mehr unangemessen groß ist, aber da die Adressen so lang sind, wird das sicher nicht mehr stören.

Und "umstellen" wird man auf IPv6 sicher in den nächsten Jahren nicht. Das hat Peter Mühlfeit ja auch richtig vestanden, denn er schreibt ja, dass der alte Standard parallel aktiv bleiben wird. Warum er trotzdem persistent in seinem Artikel von der "Umstellung" auf IPv6 spricht, verstehe ich nicht. Bestenfalls wird IPv6 parallel aktiviert, und die meisten Nutzer werden davon in der Tat nichts merken. Schief laufen kann dabei allenfalls, dass plötzlich und ungeplant IPv6 hinzukommt, und der Benutzer darauf noch nicht vorbereitet ist. Da kann vorkommen, dass zwar ein Hostname plötzlich eine IPv4- und eine IPv6-Adresse zugeordnet bekommt, aber auf der IPv6-Adresse noch kein Dienst konfiguriert ist, oder eine Firewall-Freigabe fehlt. Das ist dann aber ein Adminfehler, für den IPv6 erstmal nichts kann. Das kann mit IPv4 genau so passieren.

"Wenn der Provider schon umgestellt hat" ist ein Beispiel für "ex falso quodlibet". Kein ISP auf dieser Welt hat am 06. Juni IPv4 abgeschaltet. Und dass IPv6 hinzugekommen ist, wird man zunächst nicht merken. Wenn man plötzlich IPv4 und IPv6 hat, wird IPv6 genutzt, wo es möglich ist. In den meisten Betriebssystemen kann man konfigurieren, welches Protokoll genutzt werden soll, wenn beide verfügbar sind. Unter Linux beispielsweise wird IPv6, so verfügbar, bevorzugt genutzt. IPv6-fähige Browser auf IPv6-fähigen Betriebssystemen werden beispielsweise dieses Blog per IPv6 abrufen, denn blog.zugschlus.de ist schon seit Jahren per IPv6 erreichbar. Wer durch die Aktivierung von IPv6 parallel zu IPv4 seine Konnektivität verliert, hat einen ISP, der es nicht kann. "This should not happen".

Nun aber zum Kernthema der IPv6-Gegner, der Privacy. Man sagt, mit IPv6 hat jedes Endgerät seine eigene, statische IP-Adresse und wird identifizierbar. Nun, das ist eingeschränkt heute schon so. Dass wir unsere Heimnetze in aller Regel täglich hinter einer neuen IPv4-Adresse verstecken, hat den Grund, dass die Telekom damals bei der Einführung von DSL eine tägliche Zwangstrennung vorgesehen hat. Dies tat sie nicht aus Wohltätigkeit, sondern weil sie wenig Vertrauen in ihr eigenes UDP-basiertes Accounting hatte und lieber alle 24 Stunden einen Reset des Accounting erzwingen wollte, um zeitbasierte DSL-Zugänge sinnvoll und zuverlässig abrechnen zu können. Das hat sich durch Flatrates weitgehend erübrigt, aber die Zwangstrennung blieb - heute hauptsächlich, um Nutzer davon abzuhalten, aktiv am Netz teilzunehmen und eigene Server zuhause zu betreiben. Dynamic DNS ist nur Flickwerk.

Viele Nutzer genießen die Möglichkeit, in ihrem Router auf "Trennen" zu klicken und eine neue IPv4-Adresse zu bekommen. So kann man IP-basierte Trackingmechanismen aushebeln, bleibt aber natürlich trotzdem dank Cookies, Zählpixeln etc für diejenigen trackbar, die das wirklich wollen. Nutzer mit anderen Zugangstechniken, z.B. am Fernsehkabel, müssen ihr Modem aus der Steckdose ziehen, damit sie eine neue IPv4-Adresse zugewiesen bekommen, sonst bleibt diese über Monate hinweg konstant.

In diesen Szenarien bleibt nicht das Endgerät trackbar, sondern der Anschluß. Somit kann man rein am IP-Datenstrom nicht erkennen, wenn das mit IPv4 angebundene Notebook daheim, am Kneipenhotspot oder im UMTS-Netz betrieben wird.

Bei IPv6 wird das in der Tat ein wenig schlechter. Eine IPv6-Adresse teilt sich auf in Prefix und Hostadresse. Dabei wird diese Trennung in typischen Heimnetzwerken in der Mitte, nach dem 64sten Bit liegen. Ich sage voraus, dass "kleinere" Netze in der Praxis kaum auftreten werden, und in den typischen Netzen, in denen sich mobile Endgeräte bewegen werden (daheim, LANs in Firmen, Kneipen-Hotspot etc) wird man ausschließlich /64-Netze sehen. Denn nur bei der Netzgröße /64 funktionieren die Automatismen, die IPv6 so einfach machen.

Ein Tracking des DSL-Anschlusses wird also auch bei IPv6 weiterhin möglich sein: Man guckt sich dabei halt nicht die komplette IPv4-Adresse, sondern nur die ersten 64 Bit der IPv6-Adresse an. Wenn die DSL-Provider bei der Aktivierung von IPv6 auf die Zwangstrennung verzichten und beim Neuaufbau der Verbindung keinen neuen, mehr oder weniger zufälligen IPv6-Prefix zuweisen, wird der mit IPv6 erreichbare Anschluß seinen festen Prefix haben und jeder wird erkennen können, dass die Verbindung heute vom gleichen DSL-Anschluß in Ilvesheim kommt wie die Verbindung von vor einer Woche. Wenn ich mich irgendwo angemeldet habe, hat der Betreiber dieses Dienstes auch die Zuordnung zwischen meinem IPv6-Prefix und meiner Person.

Dass man das nicht will, liegt auf der Hand. Aber die Situation ist bei IPv4 auch nicht anders: Tut mir mein ISP nicht den Gefallen und weist mir täglich eine neue IPv4-Adresse zu, bin ich mit IPv4 genau so trackbar wie ich es mit einem statischen IPv6-Prefix bin.

Deswegen meine dringende Bitte an die Endkunden-ISPs: Bitte implementiert für IPv6 genau so einen regelmäßigen Wechsel des Prefixes, wie Ihr das heute mit IPv4 tut. Tut ihr das richtig, geht sogar der Wechsel des Prefixes, ohne dass bestehende Verbindungen abbrechen, wie es heute bei der Zwangstrennung passiert. Für diejenigen, die für eigene lokale Dienste eine feste IP-Adresse haben wollen, könnt Ihr dies wie heute schon bei IPv4 als (kostenpflichtigen?) Zusatzdienst anbieten. Auch hier kann man die Dinge wieder "richtig" machen und dem Kunden zusätzlich zum statischen Prefix auch einen dynamischen Prefix anbieten. Ich sehe allerdings nicht, dass sich dieses, doch recht komplexe Zugangsmodell in der Praxis durchsetzen will.

Bei IPv6 gibt es noch einen weiteren Privacy-Aspekt, der aus der IP-Adresse erwächst: Den Host-Teil der Adresse. Der kann im Autoconfigurations-Verfahren vom Endgerät frei gewählt werden. Dabei muss natürlich darauf geachtet werden, dass keine Kollisionen auftreten. Deswegen hatte man zunächst ein Verfahren definiert, das die (in der Theorie) weltweit eindeutige, 48 Bit lange MAC-Adresse des Netzwerkinterfaces mit in den Hostteil der IPv6-Adresse einfließen lässt. Somit wählt sich jedes Endgerät in einem autokonfigurierten IPv6-Netzwerk denselben Hostteil, was natürlich dazu führt, dass mein Notebook als "mein Notebook" identifizierbar wird, und zwar unabhängig davon, ob ich im Hotel-WLAN, im Gästenetz beim Kunden oder bei mir zuhause bin.

Das ist natürlich ein Privacy-GAU, und zwar einer, der bei IPv6 neu ist, und den wir gesondert behandeln müssen. Aber - natürlich - gibt es dafür auch eine Lösung, die auch Peter Mühlfeit in seinem Artikel angesprochen hat: Mit aktivierten Privacy Extensions würfelt sich ein Rechner in einstellbaren Zeitabständen einen neuen Host-Teil und nutzt diesen für neue Verbindungen. Damit hat man eine regelmäßig wechselnde IPv6-Adresse und hat somit den Privacy-GAU elegant umschifft. Elegant deswegen, weil der Adresswechsel so stattfindet, dass die neue Adresse für neue Verbindungen benutzt wird, während die alte(n) Adresse(n) weiterhin nutzbar bleiben, um bereits aufgebaute Verbindungen weiter bedienen zu können. Ach ja: Privacy Extensions sind bei Windows 7 im default eingeschaltet.

Wenn man zuende denkt, ist natürlich das Tracking über die IP-Adresse nur die offensichtlichste Anwendung. Wenn man wirklich anonym im Netz unterwegs sein will, möchte man Tor oder andere Anonymisierungdienste verwenden, und muss auch dann noch darauf achten, dass man nicht über Login-Daten, Cookies etc identifizierbar wird oder bleibt. Das ganze IP-Adressen-Privacy-Geraffel ist im Grunde genommen nur Augenwischerei - was nicht heißen soll, dass man es ignorieren kann.

Dem aufmerksamen Leser wird nach der Lektüre dieses viel zu langen Artikels nicht entgangen sein, dass man mit IPv6 mehrere Adressen pro Endgerät haben kann. _Das_ ist für den Systemadministrator der Kernunterschied und eigentlich auch das Killerfeature von IPv6. Mehrere Adressen pro Host sind zwar schon bei IPv4 möglich, aber immer mit Klimmzügen verbunden. Mit IPv6 kann man einfacher kontrollieren, welche Adresse für ausgehende Verbindungen genommen wird, und man kann bei IP-Adress-Wechseln die "alte" Adresse im Status "deprecated" weiterführen, damit man bestehende Verbindungen nicht abbrechen muss. Leider stößt dabei das bald 40 Jahre alte UNIX network socket API hierbei an seine Grenzen, so dass viele Applikationen mit mehreren oder sich gar während der Laufzeit des Dienstes ändernden IP-Adressen mehr schlecht als recht umgehen können. Zumindest auf Servern ist der nahtlose Wechsel zwischen IP-Adressen mit heutiger Software leider eine Marketinglüge: Renumbering tut bei IPv6 genau so weh wie bei IPv4.

Trackbacks

No Trackbacks

Comments

Display comments as Linear | Threaded

Evgeni on :

" Nutzer mit anderen Zugangstechniken, z.B. am Fernsehkabel, müssen ihr Modem aus der Steckdose ziehen, damit sie eine neue IPv4-Adresse zugewiesen bekommen, sonst bleibt diese über Monate hinweg konstant." ...für eine halbe Stunde oder mehr ziehen... davor gibts einfach die alte Adresse wieder :-)

Marc 'Zugschlus' Haber on :

Wah, das wird ja immer übler. Will ich wirklich einen Netzzugang über Fernsehkabel haben? Wohl oder übel ja, denn am neuen Standort gibt es sonst nur DSL 16000.

Florian on :

Viele der Kabelmodems haben einen Reset im Webinterface, je nach provider reicht es auch, wenn der router den dhcp lease korrekt zurückgibt und dann einen neuen anfordert.

-stm on :

Hast Du da nähere Infos oder Links?

Bei KabelDeutschland ist es jedenfalls AFAIK so, daß man "einfach" nur die MAC des Routers ändern muß und dann einmal den dhcp client anstoßen muß.

Und @Marc: Eigentlich will man Netzzugang über Fernsehkabel durchaus haben wollen. :-) Wir haben es jedenfalls seit 4 Jahren nicht bereut

Add Comment

Markdown format allowed
Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
Form options