Papier: 01.02.02 Absicherung gegenüber potenziellen negativen Effekten – Teil 2 (Exkurs IPv6)

Originalversion

1 01.02.02.02
2 Exkurs: Sicherheitsaspekte bei der Einführung des neuen
3 Internetprotokolls Version 6 (IPv6)
4
5 [FN: Die Mitglieder der Projektgruppe danken den
6 sachverständigen Anhörpersonen des Expertengesprächs zum
7 Thema „IPv6 – Sicherheitsaspekte“ für ihre zahlreichen
8 Hinweise und Anregungen. Es sei an auch auf die
9 Stellungnahmen der Experten verwiesen. Online abrufbar
10 unter:
11 http://www.bundestag.de/internetenquete/dokumentation/Zugang
12 _Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-05-21_oeffen
13 tliches_Expertengespraech/index.jsp]
14
15
16 Der vorliegende Exkurs zeigt nach einer kurzen technischen
17 Einführung die mit IPv6 verbundenen Chancen und
18 Herausforderungen auf, wobei der Aspekt der Sicherheit im
19 Vordergrund steht.
20
21 I.2.1.1.1 Einführung
22
23 I.2.1.1.1.1 Das Internetprotokoll Version 4 (IPv4)
24 Das Internetprotokoll (IP) ist verantwortlich für den
25 Transport von Datenpaketen zwischen den ans Internet
26 angeschlossenen Endgeräten – beispielsweise einem Computer
27 oder Smartphone. Damit die Datenpakete zum richtigen Ziel
28 geleitet werden (engl. routing), wird jeder
29 Netzwerkschnittstelle (engl. interface) eine eindeutige
30 Adresse zugewiesen: die IP-Adresse.
31 Das aktuell verwendete Internetprotokoll Version 4, kurz
32 IPv4, entstand bereits vor über 30 Jahren.[FN: IPv4 wurde
33 1981 definiert in RFC 791 – Internet Protocol. definiert.
34 Online abrufbar unter: http://tools.ietf.org/html/rfc791]
35 Die darauf basierenden IPv4-Adressen umfassen 32 Bit,
36 wodurch rein rechnerisch knapp 4,3 Milliarden Adressen (232)
37 zur Anbindung von Endgeräten ans Internet zur Verfügung
38 stehen – abgesehen von Adressbereichen, die für besondere
39 Zwecke reserviert[FN: Einen Überblick liefert RFC 5735 –
40 Special Use IPv4 Addresses. Online abrufbar unter:
41 http://tools.ietf.org/html/rfc5735 ] oder in der
42 Anfangszeit des Internets großzügig an Unternehmen oder
43 Regierungsbehörden vergeben wurden.[FN: Vgl. IANA: IANA IPv4
44 Address Space Registry. Online abrufbar unter:
45 http://www.iana.org/assignments/ipv4-address-space/ipv4-addr
46 ess-space.xml]
47
48 I.2.1.1.1.2 Vergabe der IP-Adressen
49 Die Internet Assigned Numbers Authority (IANA) – weltweit
50 zuständig für die Verwaltung der IP-Adressen – vergibt
51 IP-Adressen in großen, zusammenhängenden Blöcken an die fünf
52 regionalen Registrierungsorganisationen (Regional Internet
53 Registries, RIR)[FN: Die fünf RIR sind für die Region Afrika
54 AfriNIC, für die Region Asien/ Pazifik APNIC, für die Region
55 Europa, den Nahen Osten und Zentralasien RIPE NCC, für die
56 Region Lateinamerika und die Karibik LACNIC und für die
57 Region Nordamerika ARIN.]. Diese unterteilen die
58 Adressblöcke wiederum in kleinere Segmente, die sie ihren
59 Mitgliedern, den Local Internet Registries (LIR), zuweisen.
60 Die meisten LIR, welche letztendlich IP-Adressen an
61 Endkunden vergeben, sind Internet Service Provider (ISP),
62 Unternehmen und Behörden.[FN: Ein Überblick über alle LIR,
63 die in Deutschland tätig sind, kann online abgerufen werden
64 unter: https://www.ripe.net/membership/indices/DE.html ]
65
66 I.2.1.1.1.3 IPv4-Adressknappheit
67 Im Februar 2011 hat die IANA die letzten fünf
68 /8-Adressblöcke[FN: Die CIDR-Notation oder auch
69 Präfix-Notation basiert auf dem Verfahren des Classless
70 Inter-Domain Routing (CIDR). Demnach wird eine IP-Adresse in
71 ein Präfixteil und einen Hostteil aufgeteilt. Ein /8-Präfix
72 umfasst einen zusammenhängenden IPv4-Adressblock von über 16
73 Millionen IP-Adressen. CIDR ist in RFC 4632 – Classless
74 Inter-domain Routing (CIDR): The Internet Address Assignment
75 and Aggregation Plan definiert. Online abrufbar unter:
76 http://tools.ietf.org/html/rfc4632] an die RIR verteilt. Der
77 IPv4-Adressvorrat ist damit erschöpft.[FN: Vgl. RIPE NCC:
78 RIPE NCC Receives Final /8 of IPv4 Address Space from IANA.
79 3. Februar 2012. Online abrufbar unter:
80 http://www.ripe.net/internet-coordination/news/announcements
81 /ripe-ncc-receives-final-8-of-ipv4-address-space-from-iana]
82 Die für Europa zuständige regionale
83 Registrierungsorganisation RIPE hat im September 2012
84 begonnen, die letzten ihr zur Verfügung stehenden
85 IPv4-Adressen zu vergeben. Laut RIPE ist es „now imperative
86 that all stakeholders deploy IPv6 on their networks to
87 ensure the continuity of their online operations and the
88 future growth of the Internet“.[FN: Vgl. RIPE NCC: RIPE NCC
89 Begins to Allocate IPv4 Address Space From the Last /8. 14
90 September 2012. Online abrufbar unter:
91 http://www.ripe.net/internet-coordination/news/ripe-ncc-begi
92 ns-to-allocate-ipv4-address-space-from-the-last-8]
93 Schließlich steigt der Bedarf an IP-Adressen stetig an, da
94 Entwicklungen wie die mobile Internetnutzung, das Internet
95 der Dinge und das Internet der Energie für jedes Gerät, das
96 mit dem Internet verbunden wird, eine eigene IP-Adresse
97 beanspruchen.
98
99 I.2.1.1.1.4 Das Internetprotokoll Version 6 (IPv6)
100 Da bereits abzusehen war, dass der mit IPv4 zur Verfügung
101 stehende Adressraum in wenigen Jahren erschöpft sein würde,
102 hat die Internet Engineering Task Force (IETF) in den
103 1990er-Jahren mit der Entwicklung eines neuen Protokolls
104 begonnen: dem Internetprotokoll Version 6, kurz IPv6.[FN:
105 IPv6 wird definiert in RFC 2460 – Internet Protocol, Version
106 6 (IPv6) – Specification. Online abrufbar unter :
107 http://tools.ietf.org/html/rfc2460]
108 Mit der Umstellung auf IPv6 vergrößert sich der Adressraum
109 um ein Vielfaches. IPv6-Adressen bestehen aus 128 Bit,
110 wodurch künftig 340 Sextillionen Adressen (2128) zur
111 Verfügung stehen.
112
113 I.2.1.1.1.5 Aufbau von IPv6-Adressen
114 IPv6-Adressen setzen sich aus drei Bereichen zusammen: dem
115 Global-Routing-Präfix und dem Subnetz Identifier, welche
116 zusammen ein 64 Bit umfassendes Netzwerk-Präfix bilden,
117 sowie dem Interface Identifier.[FN: Unter IPv6 stehen je
118 nach Verwendungszweck drei Arten von IPv6-Adresstypen zur
119 Verfügung: Unicast, Anycast und Multicast. Unicast-Adressen
120 gliedern sich wiederum in mehrere Untertypen auf. Wird
121 innerhalb dieses Berichts von IPv6-Adressen gesprochen, so
122 sind Global-Unicast-Adressen gemeint. Zum Aufbau von
123 IPv6-Adressen vgl. RFC 4291 – IP Version 6 Addressing
124 Architecture. Online abrufbar unter:
125 http://tools.ietf.org/html/rfc4291]
126 Die regionale Registrierungsorganisation RIPE hat eine
127 Richtlinie[FN: Vgl. RIPE: IPv6 Address Allocation and
128 Assignment Policy. Online abrufbar unter:
129 http://www.ripe.net/ripe/docs/ripe-552] hinsichtlich der
130 Verteilung und Zuweisung von IPv6-Adressen erlassen. Danach
131 erhalten die LIR von der RIPE Global-Routing-Präfixe der
132 Größe /32, das heißt die ersten 32 Bit des 64 Bit
133 umfassenden Netzwerk-Präfix sind fest vorgegeben; die
134 restlichen 32 Bit stehen zur Bildung von Teilnetzen zur
135 Verfügung.[FN: In Einzelfällen können auch kürzere Präfixe
136 vergeben werden. Vgl. RIPE: IPv6 Address Allocation and
137 Assignment Policy, Absatz 4.3. Minimum allocation sowie 4.4.
138 Consideration of IPv4 infrastructure. Online abrufbar unter:
139 http://www.ripe.net/ripe/docs/ripe-552] Ein LIR –
140 beispielsweise ein Internet Service Provider – vergibt den
141 ihm zugewiesenen IPv6-Adressraum wiederum nach eigenen
142 Regeln[FN: In RFC 3177 – IAB/IESG Recommendations on IPv6
143 Address Allocations to Sites wurde die Vergabe von
144 /48-Präfixen empfohlen. Die IETF hat diese Empfehlung in RFC
145 6177 relativiert, da ein /48-Präfix möglicherweise nicht den
146 Anforderungen jedes Endkunden entspricht. Vgl. RFC 6177 –
147 IPv6 Address Assignment to End Sites. Online abrufbar unter:
148 http://tools.ietf.org/html/rfc6177] an seine Endkunden,
149 wobei Global-Routing-Präfixe der Größe /56 sowie /48
150 bevorzugt zugeteilt werden.[FN: Vgl. RIPE: Understanding IP
151 Adressing. Online abrufbar unter:
152 http://www.ripe.net/internet-coordination/press-centre/under
153 standing-ip-addressing]
154 Der zweite Teil einer IPv6-Adresse, der Subnetz Identifier,
155 kann vom Endkunden frei gewählt werden. Je nach Größe des
156 Global-Routing-Präfix, welches der Endkunde von seinem ISP
157 erhalten hat, können mehrere eigene Teilnetze gebildet
158 werden. Dies kann beispielsweise für Unternehmen relevant
159 sein, die für jeden Standort ein eigenes Netzwerk einrichten
160 wollen. Ausgehend von einem /56-Präfix stehen 8 Bit zur
161 Bildung eigener Subnetze zur Verfügung – dies entspricht 256
162 Subnetzen mit jeweils 264 IPv6-Adressen.
163 Die letzten 64 Bit einer IPv6-Adresse bilden den Interface
164 Identifier. Dieser dient dazu, ein Endgerät innerhalb eines
165 Netzwerks eindeutig zu identifizieren. Die Vergabe des
166 Interface Identifier erfolgt automatisch, wobei zu dessen
167 Bildung zwei Optionen[FN: Neben den im Text genannten
168 Optionen gibt es unter bestimmten Voraussetzungen weitere
169 Möglichkeite den Interface Identifier zu erzeugen. Siehe
170 dazu Anhang 1 des RFC 4291 – IP Version 6 Addressing
171 Architecture. Online abrufbar unter:
172 http://tools.ietf.org/html/rfc4291] zur Verfügung stehen:
173 Bildung auf Basis der weltweit einmaligen
174 Media-Access-Control(MAC)-Adresse des Endgerätes[FN: Die
175 Bildung des Interface Identifier erfolgt nach dem vom
176 Institute of Electrical and Electronic Engineers (IEEE)
177 definierten Modified-EUI-64-Format. Siehe dazu RFC 4291 – IP
178 Version 6 Addressing Architecture. Online abrufbar unter:
179 http://tools.ietf.org/html/rfc4291, sowie die EUI-64
180 Guidelines der IEEE. Online abrufbar unter:
181 http://standards.ieee.org/develop/regauth/tut/eui64.pdf]
182 oder Bildung auf Basis regelmäßig neu erzeugter
183 Zufallszahlen mittels Privacy Extensions[FN: Die Bildung des
184 Interface Identifier auf Basis der Privacy Extensions wird
185 in RFC 4941 definiert. Vgl. RFC 4941 – Privacy Extensions
186 for Stateless Address Autoconfiguration in IPv6. Online
187 abrufbar unter: http://tools.ietf.org/html/rfc4941
188 ].
189
190
191 I.2.1.1.1.6 Technische Neuerungen von IPv6 gegenüber IPv4
192 Neben dem stark vergrößerten Adressraum gehen mit IPv6
193 diverse technische Neuerungen einher.[FN: Im öffentlichen
194 Expertengespräch der Projektgruppe zum Thema „IPv6 –
195 Sicherheitsaspekte“ wurde darauf hingewiesen, dass „viele
196 der neuen Funktionen von IPv6 […] im Laufe der Zeit auch in
197 IPv4 als Workaround eingebaut worden [sind].“ Beispielhaft
198 wurde „die Internet Protocol Security (IPsec), welche
199 heutzutage zur Verschlüsselung von Kommunikation im Internet
200 und zwischen Standorten von Unternehmen verwendet werde”,
201 genannt. Protokoll des öffentlichen Expertengesprächs zum
202 Thema „IPv6 – Sicherheitsaspekte“ der Projektgruppe Zugang,
203 Struktur und Sicherheit im Netz der Enquete-Kommission
204 Internet und digitale Gesellschaft des Deutschen Bundestages
205 vom 21. Mai 2012, S. 10, 11 und 14. Online abrufbar unter:
206 http://www.bundestag.de/internetenquete/dokumentation/Zugang
207 _Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-05-21_oeffen
208 tliches_Expertengespraech/PGZuStrSi_2012-05-21_Protokoll.pdf
209 ] Dies sind u.a.:[FN: Zu den Vorteilen von IPv4 gegenüber
210 IPv6 siehe: Bundesministerium für Wirtschaft und Technologie
211 (Hrsg.): Strategiepapier zur Förderung der Einführung von
212 IPv6 – AG2 Sonderthemengruppe „Einführung von IPv6“.
213 Nationaler IT-Gipfel München 2011, S. 9. Online abrufbar
214 unter:
215 http://www.it-gipfel.de/IT-Gipfel/Redaktion/PDF/strategiepap
216 ier-ag-2,property=pdf,bereich=itgipfel,sprache=de,rwb=true.p
217 df]
218
219 * Wiederherstellung des Ende-zu-Ende-Prinzips: Da durch IPv6
220 jedem Gerät eine individuelle IP-Adresse zugewiesen werden
221 kann, ist die Verwendung des Network Address Translation
222 (NAT)-Verfahrens nicht mehr notwendig. Das NAT-Verfahren
223 widerspricht dem ursprünglichen Gedanken der direkten
224 Erreichbarkeit eines Rechners im Internet. Es wurde jedoch
225 entwickelt, um der Adressknappheit unter IPv4 zu begegnen.
226 Mittels NAT, welches üblicherweise auf einem Router
227 implementiert ist, werden die privaten IP-Adressen eines
228 Netzwerks, beispielsweise eines Unternehmens, durch eine
229 öffentliche Adresse ersetzt.[FN: Sofern die Übersetzung
230 einer privaten in eine öffentliche IP-Adresse bereits auf
231 der Ebene des Provider-Netzwerks stattfindet, spricht man
232 von Carrier Grade NAT. Siehe hierzu auch: Boeddinghaus,
233 Wilhelm/Meinel, Christoph/Sack, Harald: Einführung von IPv6
234 in Unternehmensnetzen. Ein Leitfaden. Technische Berichte
235 Nr. 52 des Hasso-Plattner-Instituts für
236 Softwaresystemtechnik an der Universität Potsdam. 2011, S.
237 11f. Online abrufbar unter:
238 http://www.hpi.uni-potsdam.de/fileadmin/hpi/source/Technisch
239 e_Berichte/HPI_52_ipv6_leitfaden.pdf] Die einzelnen Geräte
240 kommunizieren somit über dieselbe IP-Adresse ins Internet
241 und werden durch NAT hinter dem Router quasi „versteckt“.
242 Dadurch sind sie über das Internet nicht direkt ansprechbar.
243
244 Dies ändert sich mit IPv6: Durch den mit der Einführung von
245 IPv6 einhergehenden Wegfall von NAT ist eine direkte
246 Kommunikation zwischen mehreren Rechnern wieder möglich. Da
247 nun das Zwischenschalten eines fremden Servers zur
248 Herstellung der Verbindung nicht mehr erforderlich ist,
249 erhöht sich durch die Möglichkeit der
250 Ende-zu-Ende-Verschlüsselung auch die Sicherheit bei der
251 Kommunikation.[FN: Vgl. Boeddinghaus, Wilhelm/Meinel,
252 Christoph/Sack, Harald: Einführung von IPv6 in
253 Unternehmensnetzen. Ein Leitfaden. Technische Berichte Nr.
254 52 des Hasso-Plattner-Instituts für Softwaresystemtechnik an
255 der Universität Potsdam. 2011, S. 16f. Online abrufbar
256 unter:
257 http://www.hpi.uni-potsdam.de/fileadmin/hpi/source/Technisch
258 e_Berichte/HPI_52_ipv6_leitfaden.pdf. sowie
259 Bundesministerium für Wirtschaft und Technologie (Hrsg.):
260 Das Internetprotokoll der Version 6 (IPv6) – Chancen und
261 Herausforderungen für den Wirtschaftsstandort Deutschland –
262 Abschlussbericht. Juni 2012. S. 11f. Online abrufbar unter:
263 http://www.bmwi.de/BMWi/Redaktion/PDF/Publikationen/bmwi-int
264 ernetprotokoll-ipv6,property=pdf,bereich=bmwi2012,sprache=de
265 ,rwb=true.pdf] Die direkte Adressierung eines Geräts ist
266 zudem für Entwicklungen wie dem Internet der Dinge[FN: Siehe
267 zum Begriff Internet der Dinge: Boeddinghaus,
268 Wilhelm/Meinel, Christoph/Sack, Harald: Einführung von IPv6
269 in Unternehmensnetzen. Ein Leitfaden. Technische Berichte
270 Nr. 52 des Hasso-Plattner-Instituts für
271 Softwaresystemtechnik an der Universität Potsdam. 2011, S.
272 17f. Online abrufbar unter:
273 http://www.hpi.uni-potsdam.de/fileadmin/hpi/source/Technisch
274 e_Berichte/HPI_52_ipv6_leitfaden.pdf sowie Horvarth, Sabine:
275 Aktueller Begriff – Internet der Dinge. Deutscher Bundestag
276 – Wissenschaftlicher Dienst – Fachbereich WD 10 – Kultur,
277 Medien, Sport. 17.07.2012. Online abrufbar unter:
278 http://www.bundestag.de/dokumente/analysen/2012/Internet_der
279 _Dinge.pdf] von besonderer Bedeutung.
280
281 * Autokonfiguration: Durch die Autokonfiguration[FN: Die
282 zustandslose Adresskonfiguration unter IPv6 wird definiert
283 in RFC 4862 – IPv6 Stateless Address Autoconfiguration.
284 Online abrufbar unter: http://tools.ietf.org/html/rfc4862]
285 von Endgeräten und Netzwerkkomponenten wird die
286 Administration eines Netzwerks erleichtert, da sich ein
287 Gerät, welches neu in ein Netzwerk eingebunden wird, selbst
288 eine IP-Adresse zuweisen kann.[FN: Vgl. Hagen, Silvia: IPv6
289 – Grundlagen, Funktionalität, Integration. 2009, S. 124.]
290 Eine Adresszuweisung mittels Dynamic Host Configuration
291 Protocol(DHCP)-Server[FN: Zur IP-Adresszuweisung mittels
292 DHCP-Server siehe beispielsweise: Zisler, Harald.
293 Computer-Netzwerke – Grundlagen, Funktionsweise, Anwendung.
294 2012, S. 122.] oder eine manuelle Konfiguration sind somit
295 nicht erforderlich. Die Funktion der Autokonfiguration ist
296 beispielweise für Sensornetze[FN: Vgl. Boeddinghaus,
297 Wilhelm/Meinel, Christoph/Sack, Harald: Einführung von IPv6
298 in Unternehmensnetzen. Ein Leitfaden. Technische Berichte
299 Nr. 52 des Hasso-Plattner-Instituts für
300 Softwaresystemtechnik an der Universität Potsdam. 2011, S.
301 18f. Online abrufbar unter:
302 http://www.hpi.uni-potsdam.de/fileadmin/hpi/source/Technisch
303 e_Berichte/HPI_52_ipv6_leitfaden.pdf sowie Bundesministerium
304 für Wirtschaft und Technologie (Hrsg.): Das
305 Internetprotokoll der Version 6 (IPv6) – Chancen und
306 Herausforderungen für den Wirtschaftsstandort Deutschland –
307 Abschlussbericht. Juni 2012. S. 12. Online abrufbar unter:
308 http://www.bmwi.de/BMWi/Redaktion/PDF/Publikationen/bmwi-int
309 ernetprotokoll-ipv6,property=pdf,bereich=bmwi2012,sprache=de
310 ,rwb=true.pdf], aber auch für die Integration verschiedener
311 Geräte in ein Heimnetzwerk wichtig.
312
313 * Mobile IPv6: Durch das Mobile IPv6[FN: Mobile IPv6 wird
314 definiert in RFC 6275 – Mobility Support in IPv6. Online
315 abrufbar unter: http://tools.ietf.org/html/rfc6275 ] kann
316 ein Anwender permanent über „ein mobiles Endgerät mit seinem
317 Heimnetzwerk verbunden sein“ und „ohne Unterbrechung in ein
318 anderes Netz […] wechseln (Roaming)“.[FN: Protokoll des
319 öffentlichen Expertengesprächs zum Thema „IPv6 –
320 Sicherheitsaspekte“ der Projektgruppe Zugang, Struktur und
321 Sicherheit im Netz der Enquete-Kommission Internet und
322 digitale Gesellschaft des Deutschen Bundestages vom 21. Mai
323 2012, S. 15. Online abrufbar unter:
324 http://www.bundestag.de/internetenquete/dokumentation/Zugang
325 _Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-05-21_oeffen
326 tliches_Expertengespraech/PGZuStrSi_2012-05-21_Protokoll.pdf
327 . Siehe auch die Ausführugen zu Mobile IPv6 in: Hagen,
328 Silvia: IPv6 – Grundlagen, Funktionalität, Integration.
329 2009, S. 278ff.]
330
331 * Integration von IPsec: Der Sicherheitsstandard Internet
332 Protocol Security (IPsec)[FN: IPsec wird definiert in RFC
333 4301 – Security Architecture for the Internet Protocol.
334 Online abrufbar unter: http://tools.ietf.org/html/rfc4301]
335 dient dem „vertraulichen, integeren und authentifizierten
336 Transport von IP-Paketen“[FN: Eckert, Claudia:
337 IT-Sicherheit. 2012, S. 762.]. Die Nutzung von IPsec war
338 zwar bereits unter IPv4 möglich, musste jedoch manuell
339 implementiert werden. Unter IPv6 ist IPsec hingegen ein
340 integrierter Bestandteil.
341
342 Die Sicherheitsaspekte, die im Zusammenhang mit der
343 Vergrößerung des Adressraums, der Wiederherstellung des
344 Ende-zu-Ende-Prinzips und dem Wegfall von NAT, der
345 Autokonfiguration sowie dem unterbrechungsfreien Roaming in
346 ein anderes Netz stehen, werden in Kapitel I.2.2.2.2,
347 Abschnitt Herausforderungen, erläutert.

Der Text verglichen mit der Originalversion

1 01.02.02.02
2 Exkurs: Sicherheitsaspekte bei der Einführung des neuen
3 Internetprotokolls Version 6 (IPv6)
4
5 [FN: Die Mitglieder der Projektgruppe danken den
6 sachverständigen Anhörpersonen des Expertengesprächs zum
7 Thema „IPv6 – Sicherheitsaspekte“ für ihre zahlreichen
8 Hinweise und Anregungen. Es sei an auch auf die
9 Stellungnahmen der Experten verwiesen. Online abrufbar
10 unter:
11 http://www.bundestag.de/internetenquete/dokumentation/Zugang
12 _Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-05-21_oeffen
13 tliches_Expertengespraech/index.jsp]
14
15
16 Der vorliegende Exkurs zeigt nach einer kurzen technischen
17 Einführung die mit IPv6 verbundenen Chancen und
18 Herausforderungen auf, wobei der Aspekt der Sicherheit im
19 Vordergrund steht.
20
21 I.2.1.1.1 Einführung
22
23 I.2.1.1.1.1 Das Internetprotokoll Version 4 (IPv4)
24 Das Internetprotokoll (IP) ist verantwortlich für den
25 Transport von Datenpaketen zwischen den ans Internet
26 angeschlossenen Endgeräten – beispielsweise einem Computer
27 oder Smartphone. Damit die Datenpakete zum richtigen Ziel
28 geleitet werden (engl. routing), wird jeder
29 Netzwerkschnittstelle (engl. interface) eine eindeutige
30 Adresse zugewiesen: die IP-Adresse.
31 Das aktuell verwendete Internetprotokoll Version 4, kurz
32 IPv4, entstand bereits vor über 30 Jahren.[FN: IPv4 wurde
33 1981 definiert in RFC 791 – Internet Protocol. definiert.
34 Online abrufbar unter: http://tools.ietf.org/html/rfc791]
35 Die darauf basierenden IPv4-Adressen umfassen 32 Bit,
36 wodurch rein rechnerisch knapp 4,3 Milliarden Adressen (232)
37 zur Anbindung von Endgeräten ans Internet zur Verfügung
38 stehen – abgesehen von Adressbereichen, die für besondere
39 Zwecke reserviert[FN: Einen Überblick liefert RFC 5735 –
40 Special Use IPv4 Addresses. Online abrufbar unter:
41 http://tools.ietf.org/html/rfc5735 ] oder in der
42 Anfangszeit des Internets großzügig an Unternehmen oder
43 Regierungsbehörden vergeben wurden.[FN: Vgl. IANA: IANA IPv4
44 Address Space Registry. Online abrufbar unter:
45 http://www.iana.org/assignments/ipv4-address-space/ipv4-addr
46 ess-space.xml]
47
48 I.2.1.1.1.2 Vergabe der IP-Adressen
49 Die Internet Assigned Numbers Authority (IANA) – weltweit
50 zuständig für die Verwaltung der IP-Adressen – vergibt
51 IP-Adressen in großen, zusammenhängenden Blöcken an die fünf
52 regionalen Registrierungsorganisationen (Regional Internet
53 Registries, RIR)[FN: Die fünf RIR sind für die Region Afrika
54 AfriNIC, für die Region Asien/ Pazifik APNIC, für die Region
55 Europa, den Nahen Osten und Zentralasien RIPE NCC, für die
56 Region Lateinamerika und die Karibik LACNIC und für die
57 Region Nordamerika ARIN.]. Diese unterteilen die
58 Adressblöcke wiederum in kleinere Segmente, die sie ihren
59 Mitgliedern, den Local Internet Registries (LIR), zuweisen.
60 Die meisten LIR, welche letztendlich IP-Adressen an
61 Endkunden vergeben, sind Internet Service Provider (ISP),
62 Unternehmen und Behörden.[FN: Ein Überblick über alle LIR,
63 die in Deutschland tätig sind, kann online abgerufen werden
64 unter: https://www.ripe.net/membership/indices/DE.html ]
65
66 I.2.1.1.1.3 IPv4-Adressknappheit
67 Im Februar 2011 hat die IANA die letzten fünf
68 /8-Adressblöcke[FN: Die CIDR-Notation oder auch
69 Präfix-Notation basiert auf dem Verfahren des Classless
70 Inter-Domain Routing (CIDR). Demnach wird eine IP-Adresse in
71 ein Präfixteil und einen Hostteil aufgeteilt. Ein /8-Präfix
72 umfasst einen zusammenhängenden IPv4-Adressblock von über 16
73 Millionen IP-Adressen. CIDR ist in RFC 4632 – Classless
74 Inter-domain Routing (CIDR): The Internet Address Assignment
75 and Aggregation Plan definiert. Online abrufbar unter:
76 http://tools.ietf.org/html/rfc4632] an die RIR verteilt. Der
77 IPv4-Adressvorrat ist damit erschöpft.[FN: Vgl. RIPE NCC:
78 RIPE NCC Receives Final /8 of IPv4 Address Space from IANA.
79 3. Februar 2012. Online abrufbar unter:
80 http://www.ripe.net/internet-coordination/news/announcements
81 /ripe-ncc-receives-final-8-of-ipv4-address-space-from-iana]
82 Die für Europa zuständige regionale
83 Registrierungsorganisation RIPE hat im September 2012
84 begonnen, die letzten ihr zur Verfügung stehenden
85 IPv4-Adressen zu vergeben. Laut RIPE ist es „now imperative
86 that all stakeholders deploy IPv6 on their networks to
87 ensure the continuity of their online operations and the
88 future growth of the Internet“.[FN: Vgl. RIPE NCC: RIPE NCC
89 Begins to Allocate IPv4 Address Space From the Last /8. 14
90 September 2012. Online abrufbar unter:
91 http://www.ripe.net/internet-coordination/news/ripe-ncc-begi
92 ns-to-allocate-ipv4-address-space-from-the-last-8]
93 Schließlich steigt der Bedarf an IP-Adressen stetig an, da
94 Entwicklungen wie die mobile Internetnutzung, das Internet
95 der Dinge und das Internet der Energie für jedes Gerät, das
96 mit dem Internet verbunden wird, eine eigene IP-Adresse
97 beanspruchen.
98
99 I.2.1.1.1.4 Das Internetprotokoll Version 6 (IPv6)
100 Da bereits abzusehen war, dass der mit IPv4 zur Verfügung
101 stehende Adressraum in wenigen Jahren erschöpft sein würde,
102 hat die Internet Engineering Task Force (IETF) in den
103 1990er-Jahren mit der Entwicklung eines neuen Protokolls
104 begonnen: dem Internetprotokoll Version 6, kurz IPv6.[FN:
105 IPv6 wird definiert in RFC 2460 – Internet Protocol, Version
106 6 (IPv6) – Specification. Online abrufbar unter :
107 http://tools.ietf.org/html/rfc2460]
108 Mit der Umstellung auf IPv6 vergrößert sich der Adressraum
109 um ein Vielfaches. IPv6-Adressen bestehen aus 128 Bit,
110 wodurch künftig 340 Sextillionen Adressen (2128) zur
111 Verfügung stehen.
112
113 I.2.1.1.1.5 Aufbau von IPv6-Adressen
114 IPv6-Adressen setzen sich aus drei Bereichen zusammen: dem
115 Global-Routing-Präfix und dem Subnetz Identifier, welche
116 zusammen ein 64 Bit umfassendes Netzwerk-Präfix bilden,
117 sowie dem Interface Identifier.[FN: Unter IPv6 stehen je
118 nach Verwendungszweck drei Arten von IPv6-Adresstypen zur
119 Verfügung: Unicast, Anycast und Multicast. Unicast-Adressen
120 gliedern sich wiederum in mehrere Untertypen auf. Wird
121 innerhalb dieses Berichts von IPv6-Adressen gesprochen, so
122 sind Global-Unicast-Adressen gemeint. Zum Aufbau von
123 IPv6-Adressen vgl. RFC 4291 – IP Version 6 Addressing
124 Architecture. Online abrufbar unter:
125 http://tools.ietf.org/html/rfc4291]
126 Die regionale Registrierungsorganisation RIPE hat eine
127 Richtlinie[FN: Vgl. RIPE: IPv6 Address Allocation and
128 Assignment Policy. Online abrufbar unter:
129 http://www.ripe.net/ripe/docs/ripe-552] hinsichtlich der
130 Verteilung und Zuweisung von IPv6-Adressen erlassen. Danach
131 erhalten die LIR von der RIPE Global-Routing-Präfixe der
132 Größe /32, das heißt die ersten 32 Bit des 64 Bit
133 umfassenden Netzwerk-Präfix sind fest vorgegeben; die
134 restlichen 32 Bit stehen zur Bildung von Teilnetzen zur
135 Verfügung.[FN: In Einzelfällen können auch kürzere Präfixe
136 vergeben werden. Vgl. RIPE: IPv6 Address Allocation and
137 Assignment Policy, Absatz 4.3. Minimum allocation sowie 4.4.
138 Consideration of IPv4 infrastructure. Online abrufbar unter:
139 http://www.ripe.net/ripe/docs/ripe-552] Ein LIR –
140 beispielsweise ein Internet Service Provider – vergibt den
141 ihm zugewiesenen IPv6-Adressraum wiederum nach eigenen
142 Regeln[FN: In RFC 3177 – IAB/IESG Recommendations on IPv6
143 Address Allocations to Sites wurde die Vergabe von
144 /48-Präfixen empfohlen. Die IETF hat diese Empfehlung in RFC
145 6177 relativiert, da ein /48-Präfix möglicherweise nicht den
146 Anforderungen jedes Endkunden entspricht. Vgl. RFC 6177 –
147 IPv6 Address Assignment to End Sites. Online abrufbar unter:
148 http://tools.ietf.org/html/rfc6177] an seine Endkunden,
149 wobei Global-Routing-Präfixe der Größe /56 sowie /48
150 bevorzugt zugeteilt werden.[FN: Vgl. RIPE: Understanding IP
151 Adressing. Online abrufbar unter:
152 http://www.ripe.net/internet-coordination/press-centre/under
153 standing-ip-addressing]
154 Der zweite Teil einer IPv6-Adresse, der Subnetz Identifier,
155 kann vom Endkunden frei gewählt werden. Je nach Größe des
156 Global-Routing-Präfix, welches der Endkunde von seinem ISP
157 erhalten hat, können mehrere eigene Teilnetze gebildet
158 werden. Dies kann beispielsweise für Unternehmen relevant
159 sein, die für jeden Standort ein eigenes Netzwerk einrichten
160 wollen. Ausgehend von einem /56-Präfix stehen 8 Bit zur
161 Bildung eigener Subnetze zur Verfügung – dies entspricht 256
162 Subnetzen mit jeweils 264 IPv6-Adressen.
163 Die letzten 64 Bit einer IPv6-Adresse bilden den Interface
164 Identifier. Dieser dient dazu, ein Endgerät innerhalb eines
165 Netzwerks eindeutig zu identifizieren. Die Vergabe des
166 Interface Identifier erfolgt automatisch, wobei zu dessen
167 Bildung zwei Optionen[FN: Neben den im Text genannten
168 Optionen gibt es unter bestimmten Voraussetzungen weitere
169 Möglichkeite den Interface Identifier zu erzeugen. Siehe
170 dazu Anhang 1 des RFC 4291 – IP Version 6 Addressing
171 Architecture. Online abrufbar unter:
172 http://tools.ietf.org/html/rfc4291] zur Verfügung stehen:
173 Bildung auf Basis der weltweit einmaligen
174 Media-Access-Control(MAC)-Adresse des Endgerätes[FN: Die
175 Bildung des Interface Identifier erfolgt nach dem vom
176 Institute of Electrical and Electronic Engineers (IEEE)
177 definierten Modified-EUI-64-Format. Siehe dazu RFC 4291 – IP
178 Version 6 Addressing Architecture. Online abrufbar unter:
179 http://tools.ietf.org/html/rfc4291, sowie die EUI-64
180 Guidelines der IEEE. Online abrufbar unter:
181 http://standards.ieee.org/develop/regauth/tut/eui64.pdf]
182 oder Bildung auf Basis regelmäßig neu erzeugter
183 Zufallszahlen mittels Privacy Extensions[FN: Die Bildung des
184 Interface Identifier auf Basis der Privacy Extensions wird
185 in RFC 4941 definiert. Vgl. RFC 4941 – Privacy Extensions
186 for Stateless Address Autoconfiguration in IPv6. Online
187 abrufbar unter: http://tools.ietf.org/html/rfc4941
188 ].
189
190
191 I.2.1.1.1.6 Technische Neuerungen von IPv6 gegenüber IPv4
192 Neben dem stark vergrößerten Adressraum gehen mit IPv6
193 diverse technische Neuerungen einher.[FN: Im öffentlichen
194 Expertengespräch der Projektgruppe zum Thema „IPv6 –
195 Sicherheitsaspekte“ wurde darauf hingewiesen, dass „viele
196 der neuen Funktionen von IPv6 […] im Laufe der Zeit auch in
197 IPv4 als Workaround eingebaut worden [sind].“ Beispielhaft
198 wurde „die Internet Protocol Security (IPsec), welche
199 heutzutage zur Verschlüsselung von Kommunikation im Internet
200 und zwischen Standorten von Unternehmen verwendet werde”,
201 genannt. Protokoll des öffentlichen Expertengesprächs zum
202 Thema „IPv6 – Sicherheitsaspekte“ der Projektgruppe Zugang,
203 Struktur und Sicherheit im Netz der Enquete-Kommission
204 Internet und digitale Gesellschaft des Deutschen Bundestages
205 vom 21. Mai 2012, S. 10, 11 und 14. Online abrufbar unter:
206 http://www.bundestag.de/internetenquete/dokumentation/Zugang
207 _Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-05-21_oeffen
208 tliches_Expertengespraech/PGZuStrSi_2012-05-21_Protokoll.pdf
209 ] Dies sind u.a.:[FN: Zu den Vorteilen von IPv4 gegenüber
210 IPv6 siehe: Bundesministerium für Wirtschaft und Technologie
211 (Hrsg.): Strategiepapier zur Förderung der Einführung von
212 IPv6 – AG2 Sonderthemengruppe „Einführung von IPv6“.
213 Nationaler IT-Gipfel München 2011, S. 9. Online abrufbar
214 unter:
215 http://www.it-gipfel.de/IT-Gipfel/Redaktion/PDF/strategiepap
216 ier-ag-2,property=pdf,bereich=itgipfel,sprache=de,rwb=true.p
217 df]
218
219 * Wiederherstellung des Ende-zu-Ende-Prinzips: Da durch IPv6
220 jedem Gerät eine individuelle IP-Adresse zugewiesen werden
221 kann, ist die Verwendung des Network Address Translation
222 (NAT)-Verfahrens nicht mehr notwendig. Das NAT-Verfahren
223 widerspricht dem ursprünglichen Gedanken der direkten
224 Erreichbarkeit eines Rechners im Internet. Es wurde jedoch
225 entwickelt, um der Adressknappheit unter IPv4 zu begegnen.
226 Mittels NAT, welches üblicherweise auf einem Router
227 implementiert ist, werden die privaten IP-Adressen eines
228 Netzwerks, beispielsweise eines Unternehmens, durch eine
229 öffentliche Adresse ersetzt.[FN: Sofern die Übersetzung
230 einer privaten in eine öffentliche IP-Adresse bereits auf
231 der Ebene des Provider-Netzwerks stattfindet, spricht man
232 von Carrier Grade NAT. Siehe hierzu auch: Boeddinghaus,
233 Wilhelm/Meinel, Christoph/Sack, Harald: Einführung von IPv6
234 in Unternehmensnetzen. Ein Leitfaden. Technische Berichte
235 Nr. 52 des Hasso-Plattner-Instituts für
236 Softwaresystemtechnik an der Universität Potsdam. 2011, S.
237 11f. Online abrufbar unter:
238 http://www.hpi.uni-potsdam.de/fileadmin/hpi/source/Technisch
239 e_Berichte/HPI_52_ipv6_leitfaden.pdf] Die einzelnen Geräte
240 kommunizieren somit über dieselbe IP-Adresse ins Internet
241 und werden durch NAT hinter dem Router quasi „versteckt“.
242 Dadurch sind sie über das Internet nicht direkt ansprechbar.
243
244 Dies ändert sich mit IPv6: Durch den mit der Einführung von
245 IPv6 einhergehenden Wegfall von NAT ist eine direkte
246 Kommunikation zwischen mehreren Rechnern wieder möglich. Da
247 nun das Zwischenschalten eines fremden Servers zur
248 Herstellung der Verbindung nicht mehr erforderlich ist,
249 erhöht sich durch die Möglichkeit der
250 Ende-zu-Ende-Verschlüsselung auch die Sicherheit bei der
251 Kommunikation.[FN: Vgl. Boeddinghaus, Wilhelm/Meinel,
252 Christoph/Sack, Harald: Einführung von IPv6 in
253 Unternehmensnetzen. Ein Leitfaden. Technische Berichte Nr.
254 52 des Hasso-Plattner-Instituts für Softwaresystemtechnik an
255 der Universität Potsdam. 2011, S. 16f. Online abrufbar
256 unter:
257 http://www.hpi.uni-potsdam.de/fileadmin/hpi/source/Technisch
258 e_Berichte/HPI_52_ipv6_leitfaden.pdf. sowie
259 Bundesministerium für Wirtschaft und Technologie (Hrsg.):
260 Das Internetprotokoll der Version 6 (IPv6) – Chancen und
261 Herausforderungen für den Wirtschaftsstandort Deutschland –
262 Abschlussbericht. Juni 2012. S. 11f. Online abrufbar unter:
263 http://www.bmwi.de/BMWi/Redaktion/PDF/Publikationen/bmwi-int
264 ernetprotokoll-ipv6,property=pdf,bereich=bmwi2012,sprache=de
265 ,rwb=true.pdf] Die direkte Adressierung eines Geräts ist
266 zudem für Entwicklungen wie dem Internet der Dinge[FN: Siehe
267 zum Begriff Internet der Dinge: Boeddinghaus,
268 Wilhelm/Meinel, Christoph/Sack, Harald: Einführung von IPv6
269 in Unternehmensnetzen. Ein Leitfaden. Technische Berichte
270 Nr. 52 des Hasso-Plattner-Instituts für
271 Softwaresystemtechnik an der Universität Potsdam. 2011, S.
272 17f. Online abrufbar unter:
273 http://www.hpi.uni-potsdam.de/fileadmin/hpi/source/Technisch
274 e_Berichte/HPI_52_ipv6_leitfaden.pdf sowie Horvarth, Sabine:
275 Aktueller Begriff – Internet der Dinge. Deutscher Bundestag
276 – Wissenschaftlicher Dienst – Fachbereich WD 10 – Kultur,
277 Medien, Sport. 17.07.2012. Online abrufbar unter:
278 http://www.bundestag.de/dokumente/analysen/2012/Internet_der
279 _Dinge.pdf] von besonderer Bedeutung.
280
281 * Autokonfiguration: Durch die Autokonfiguration[FN: Die
282 zustandslose Adresskonfiguration unter IPv6 wird definiert
283 in RFC 4862 – IPv6 Stateless Address Autoconfiguration.
284 Online abrufbar unter: http://tools.ietf.org/html/rfc4862]
285 von Endgeräten und Netzwerkkomponenten wird die
286 Administration eines Netzwerks erleichtert, da sich ein
287 Gerät, welches neu in ein Netzwerk eingebunden wird, selbst
288 eine IP-Adresse zuweisen kann.[FN: Vgl. Hagen, Silvia: IPv6
289 – Grundlagen, Funktionalität, Integration. 2009, S. 124.]
290 Eine Adresszuweisung mittels Dynamic Host Configuration
291 Protocol(DHCP)-Server[FN: Zur IP-Adresszuweisung mittels
292 DHCP-Server siehe beispielsweise: Zisler, Harald.
293 Computer-Netzwerke – Grundlagen, Funktionsweise, Anwendung.
294 2012, S. 122.] oder eine manuelle Konfiguration sind somit
295 nicht erforderlich. Die Funktion der Autokonfiguration ist
296 beispielweise für Sensornetze[FN: Vgl. Boeddinghaus,
297 Wilhelm/Meinel, Christoph/Sack, Harald: Einführung von IPv6
298 in Unternehmensnetzen. Ein Leitfaden. Technische Berichte
299 Nr. 52 des Hasso-Plattner-Instituts für
300 Softwaresystemtechnik an der Universität Potsdam. 2011, S.
301 18f. Online abrufbar unter:
302 http://www.hpi.uni-potsdam.de/fileadmin/hpi/source/Technisch
303 e_Berichte/HPI_52_ipv6_leitfaden.pdf sowie Bundesministerium
304 für Wirtschaft und Technologie (Hrsg.): Das
305 Internetprotokoll der Version 6 (IPv6) – Chancen und
306 Herausforderungen für den Wirtschaftsstandort Deutschland –
307 Abschlussbericht. Juni 2012. S. 12. Online abrufbar unter:
308 http://www.bmwi.de/BMWi/Redaktion/PDF/Publikationen/bmwi-int
309 ernetprotokoll-ipv6,property=pdf,bereich=bmwi2012,sprache=de
310 ,rwb=true.pdf], aber auch für die Integration verschiedener
311 Geräte in ein Heimnetzwerk wichtig.
312
313 * Mobile IPv6: Durch das Mobile IPv6[FN: Mobile IPv6 wird
314 definiert in RFC 6275 – Mobility Support in IPv6. Online
315 abrufbar unter: http://tools.ietf.org/html/rfc6275 ] kann
316 ein Anwender permanent über „ein mobiles Endgerät mit seinem
317 Heimnetzwerk verbunden sein“ und „ohne Unterbrechung in ein
318 anderes Netz […] wechseln (Roaming)“.[FN: Protokoll des
319 öffentlichen Expertengesprächs zum Thema „IPv6 –
320 Sicherheitsaspekte“ der Projektgruppe Zugang, Struktur und
321 Sicherheit im Netz der Enquete-Kommission Internet und
322 digitale Gesellschaft des Deutschen Bundestages vom 21. Mai
323 2012, S. 15. Online abrufbar unter:
324 http://www.bundestag.de/internetenquete/dokumentation/Zugang
325 _Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-05-21_oeffen
326 tliches_Expertengespraech/PGZuStrSi_2012-05-21_Protokoll.pdf
327 . Siehe auch die Ausführugen zu Mobile IPv6 in: Hagen,
328 Silvia: IPv6 – Grundlagen, Funktionalität, Integration.
329 2009, S. 278ff.]
330
331 * Integration von IPsec: Der Sicherheitsstandard Internet
332 Protocol Security (IPsec)[FN: IPsec wird definiert in RFC
333 4301 – Security Architecture for the Internet Protocol.
334 Online abrufbar unter: http://tools.ietf.org/html/rfc4301]
335 dient dem „vertraulichen, integeren und authentifizierten
336 Transport von IP-Paketen“[FN: Eckert, Claudia:
337 IT-Sicherheit. 2012, S. 762.]. Die Nutzung von IPsec war
338 zwar bereits unter IPv4 möglich, musste jedoch manuell
339 implementiert werden. Unter IPv6 ist IPsec hingegen ein
340 integrierter Bestandteil.
341
342 Die Sicherheitsaspekte, die im Zusammenhang mit der
343 Vergrößerung des Adressraums, der Wiederherstellung des
344 Ende-zu-Ende-Prinzips und dem Wegfall von NAT, der
345 Autokonfiguration sowie dem unterbrechungsfreien Roaming in
346 ein anderes Netz stehen, werden in Kapitel I.2.2.2.2,
347 Abschnitt Herausforderungen, erläutert.

Vorschlag

  1. Bewerten Sie die Original- und die eingebrachten Versionen eines Papiers, indem Sie über die Pfeile Ihre Zustimmung (hoch) oder Ablehnung (runter) ausdrücken. Sie können dabei auch mehreren Versionen zustimmen oder diese ablehnen.

  2. Wählen Sie, ob Änderungen im Vergleich zur Originalversion hervorgehoben werden sollen.

  3. Sie können hier auch eine neue Version des Papiers einbringen.