Anwendungen, Backend-Tools, DNS ...

Fallstricke beim Einsatz von IPv6

Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Was sollten Unternehmen beachten, wenn sie ihre IPv6-Strategie entwickeln? Infoblox, Spezialist für Netzwerk-Automatisierung, hat für uns Fallstricke identifiziert und gibt anhand einer Checkliste Tipps, wie Unternehmen diese Fallen vermeiden können.
Die Umstellung von IPv6 hat ihre Tücken - wenn man nicht vorbereitet ist.
Die Umstellung von IPv6 hat ihre Tücken - wenn man nicht vorbereitet ist.
Foto: tbcgfoto, Fotolia.com

Das Thema IPv6 gewinnt weiter an Brisanz. Auch wenn viele Firmen ihre Netzinfrastruktur noch nicht auf den erweiterten Adressraum umgestellt haben, ist das Wissen darüber schon weit verbreitet: Hardware und Software müssen gründlich geprüft werden, Mitarbeiter müssen geschult werden und Richtlinien, die das Netzwerk betreffen, müssen neu aufgesetzt oder angepasst werden. Das ist laut Infoblox allerdings noch lange nicht alles:

1. IP-Adress-Management-Tools einsetzen

IPv6 wird großen Einfluss darauf haben, wie IP-Adressen zugeteilt und verwaltet werden - das ist sicher die wichtigste Änderung bei der Umstellung. Der Wechsel von 32-Bit IPv4- zu 128-Bit IPv6-Adressen macht für Unternehmen die Überlegung notwendig, wie sie von nun an IP-Adressen zuteilen, aber auch tracken. Bei IPv4-Adressen war das einfach und konnte manuell erledigt werden, etwa mithilfe von Tabellen. Bei IPv6 funktioniert das nicht mehr, so der Hinweis von Infoblox: Schon die pure Länge zwinge Unternehmen dazu, IP-Adress-Management (IPAM)-Tools einzusetzen, die automatisiert und mit IPv6 kompatibel sind.

2. DNS-Architektur überprüfen

Sobald IPv6 auch im internen Netzwerk verwendet wird, müssen Unternehmen prüfen, ob der Rest der IP-Management-Infrastruktur bereit ist für die Umstellung. Wird etwa DHCP (Dynamic Host Configuration Protocol) für die Adresszuteilung genutzt, ist es erforderlich, dass auch der DHCP-Server IPv6-kompatibel ist. Laut Infoblox ist DCHP aber nur ein Teil dessen, was ein IPv6-Endpunkt benötigt. Zudem müssen auch DNS Domain Support, DNS Server-Adressen, Adressen von Netzwerk-Zeitservern und viele andere Elemente kompatibel mit IPv6 sein. Dafür muss eine moderne DNS-Infrastruktur implementiert, sowie die Kompatibilität zwischen DNS und DHCP-Systemen getestet werden.

3. Richtlinien für Sicherheit und Wartung überdenken

Auch die Richtlinien für Sicherheit und Wartung müssen beim Wechsel auf IPv6 angepasst werden. Das Problem laut Infoblox: Während die Schwächen von IPv4 hinlänglich bekannt sind und daher bekämpft werden können, gibt es diese Erfahrungswerte bei IPv6 noch nicht. Deshalb müssen etwaige Bedrohungen, die das neue System mit sich bringen kann, konsequent analysiert werden. Unternehmen sollten also bei der Umstellung auf IPv6 auch daran denken ihre Sicherheitsvorkehrungen zu überarbeiten.

4. Inventar der Netzwerk-Infrastruktur überprüfen

Eine Umstellung auf IPv6 kann nur funktionieren, wenn ein Unternehmen genau über sein Netzwerk und dessen Komponenten Bescheid weiß. Deshalb müssen Netzwerk-Infrastruktur und Traffic-Routing eingehend untersucht werden. So sollte beispielsweise jedes Subnetz daraufhin überprüft werden, ob die Verbindung zum Backbone auch unter dem neuen Protokoll funktioniert.

5. Kompatibilität der Anwendungen überprüfen

Unternehmen sollten sich vor der Annahme hüten, dass Anwendungen automatisch auch auf einem IPv6-basierten Netzwerk laufen - auch sie müssen vor einer Umstellung getestet werden. Bei IPv6 werden nämlich auch neue Layer 4 TCP-Protokolle eingesetzt (TCP 6 und UDP 6), die durchaus Auswirkungen auf einige Anwendungen haben können.

6. Backend-Tools aktualisieren

Um ein IPv6-Netzwerk verwalten und Probleme erkennen sowie lösen zu können, müssen Unternehmen evaluieren, ob ihre existierenden Tools dafür geeignet sein. Gegebenenfalls müssen hier gänzlich neue Lösungen angeschafft werden. Das gilt sowohl für den Betrieb als auch für die Wartung. So ist laut Infoblox etwa schon die Länge der IPv6-Adressen problematisch für manche Datenbanken, die solche Adressen nicht speichern können. Auch Analyzer und andere Überwachungslösungen sind häufig nicht IPv6-kompatibel.

7. Netzwerk-Performance im Auge behalten

Die Veränderungen durch IPv6 können sich negativ auf die Leistung eines Netzwerks auswirken. So sind etwa Header 40 Byte und damit doppelt so groß wie bei IPv4. Daher wird es gerade bei Anwendungen, die kleine Paketgrößen brauchen, merkliche Leistungsauswirkungen geben. Obwohl die meisten Systemanbieter wohl eine Strategie zur IPv6-Implementierung haben, gilt diese nicht unbedingt für die Leistung von Systemen, auf denen das IPv6-Protokoll läuft. Hier ist die Umstellung der Firmware ein erster Schritt. Für eine umfassende interne Umstellung wird aber die Hardware der Netzwerk-Infrastruktur zu großen Teilen verbessert werden müssen, um leistungsfähig genug zu bleiben.

8. Warnung: Spam-Filter neu entwickeln!

Spam-Blocker von heute stützen sich meistens auf DNS Black Lists (so genannte DNSBLs). Die werden allerdings bei der Umstellung auf IPv6 wertlos, da Hosts unter IPv4 nur einige hundert Adressen haben, so dass individuelle Adressen einfach aufgelistet und blockiert werden können. Bei IPv6 können Hacker einem Server dagegen Tausende von Adressen zuweisen und für jede neue Spam-Nachricht eine neue Adresse wählen. Ganze IPv6-Bereiche in DNSBL aufzulisten - so wird es aktuell bei IPv4 gemacht - ist keine Lösung, da diese aufgrund ihrer Größe Caches und DNS-Server zusammenbrechen lassen würden. Zudem ziehen DNS Caches neue Antworten älteren gegenüber oft vor, so dass die Vielzahl von DNSBL-Daten alle anderen DNS-Informationen aus dem Cache drängen würde. Oft wird zudem für DNSBL der gleiche Cache genutzt wie für alle anderen DNS-Anfragen. Das belastet wiederum alle anderen DNS-Server, die sich die gelöschten Antworten zurückholen müssen.