24. Juni 2010
IPv6 – Einführung in Unternehmensnetzwerke
DEUTSCHER IPv6 RAT
Deutscher IPv6 Rat 1
24. Juni 2010
■Was ist IPv6?■Warum IPv6?■Einführung im Unternehmensnetzwerk■Was tun die anderen?■Datenschutz■Diskussion / Fragen
2 Deutscher IPv6 Rat
Agenda
24. Juni 2010
■Dipl. Inf (FH)Wilhelm Boeddinghaus■Leiter Netzwerk bei Strato■Strato ist eine Tocher der Deutsche
Telekom AG■Ca. 1,4 Mio Kunden■2 Rechenzentren■Ca. 30.000 Server
3 Deutscher IPv6 Rat
Wer spricht heute?
24. Juni 2010
■Erstes Produkt 2009□ Dedicated Server□ Mehrere tausend Kunden□ Strato hat mit IPv6 Geld verdient
■08. Juni 2011 World IPv6 Day□ Anschaltung von IPv6 am Morgen□ Abschalten am Abend vergessen
4 Deutscher IPv6 Rat
Strato und IPv6
24. Juni 20105 Deutscher IPv6 Rat
World IPv6 Launch
24. Juni 2010
■Facebook■Google■Yahoo■Microsoft Bing■Cisco■D-Link
■Viele weitere Provider
6 Deutscher IPv6 Rat
World IPv6 Launch
24. Juni 2010
Deutscher IPv6 Rat
■ 2007 am Hasso-Plattner-Institute in Potsdam als nationale Abteilung des International IPv6 Forums gegründet
■ Chairman Prof. Dr. Christoph Meinel, HPI■ 29 Mitglieder aus Industrie, Wirtschaft,
Politik und Forschung ■ Webseite: www.ipv6council.de
7 Deutscher IPv6 Rat
Deutscher IPv6 Rat am Gründungstag6. Dezember 2007
24. Juni 2010
Deutscher IPv6 Rat – Ziele
■ IPv6 „Think Tank“ at Work■ IPv6 Wissens- und Erfahrungsaustausch■ Unterstützung von neuen IPv6-basierten
Anwendungen und globalen Lösungen■ Unterstützung interoperabler
Implementationen des IPv6 Standards■ Barrieren bei der Umsetzung und dem
flächendeckenden Einsatz von IPv6 erkennen und abbauen
8 Deutscher IPv6 Rat
24. Juni 2010
■ afs Holding GmbH
■ BITKOM
■ Bundesministerium des Inneren (BMI)
■ Bundesministerium für Verteidigung (BMVg)
■ Bundesamt für Wehrtechnik und Beschaffung
■ Cisco Systems GmbH
■ Computer Science Corporation (CSC)
■ Deutsche Telekom
■ DFN Verein
■ eco, Verband der deutschen Internetwirtschaft
■ Ericsson GmbH
■ Felsenberg Consulting, Düsseldorf
■ Fortinet GmbH
■ Fraunhofer FOKUS, Competence Center NET
■ Guide Share Europe
■ Hasso-Plattner-Institut für Software-systemtechnik (HPI)
9 Deutscher IPv6 Rat
■ Hochschule für Angewandte Wissenschaften,Hamburg
■ IBM Deutschland
■ MD Europe Force 10
■ Nokia Siemens Network
■ RIPE Network Coordination Center
■ SAP Research
■ Space Net AG
■ Siemens IT-Dienstleistung und Beratung GmbH
■ SpeedPartner GmbH
■ Strato AG
■ Vodafone D2 GmbH
Deutscher IPv6 Rat –Aktive Mitglieder
24. Juni 2010
Politische Unterstützer
■BMI■BMWi■BMVg■Europäische Union■Deutscher IPv6 Rat■ IPv6 Forum
10 Deutscher IPv6 Rat
24. Juni 2010
Was ist IPv4?
■Heutiges Internet basiert auf IPv4■ca. 4.300.000.000 Adressen, nicht
ausreichend für ■ca. 7.000.000.000 Menschen■Eingeführt 1981■Es wurden anfangs viele Adressen
großzügig vergeben■Planung konnte das heutige Internet nicht
voraussehen
11 Deutscher IPv6 Rat
24. Juni 2010
Zur korrekten Adressierungmuss die Adresse eindeutig sein!
Udo
Beispielmann
Musterallee 1
12346 Berlin
Erika Musterfrau
Beispielstr. 1
12345 Berlin
Vergleicht man das Internet-Protokoll mit der Post, würde durch das Internet-Protokoll das Format der Briefumschläge definiert und festgelegt, wie Postleitzahlen und Adressen angegeben und bei der Zustellung benutzt werden.
12 Deutscher IPv6 Rat
24. Juni 2010
Das zentrale Problem von IPv4
IP 209.85.129.1
04
IP 209.85.129.1
04
IP 47.11.123.45
Nicht ausreichend viele IPv4 Adressen
Keine eindeutige Adressierbarkeit mit IPv4
13 Deutscher IPv6 Rat
IP 47.11.123.45
24. Juni 2010
Was ist IPv6?
■ca. 4.300.000.0004 Adressen
■Entwickelt ab ca. 1992■Adressraum reicht lange■Ersatz für IPv4■Nicht kompatibel mit IPv4
14 Deutscher IPv6 Rat
24. Juni 2010
32 Bit Adressen
IPv6
Mögliche Adressen:2 32 = 4.294.967.296
IPv4
128 Bit Adressen
Mögliche Adressen:2 128 = 340.282.366.920. 98.463.463.374.607.431.768.211.456
Adressen pro m2 Erdoberfläche:
0.0000083
Adressen pro m2 Erdoberfläche:
665.570.793.348.866.943.898.599
Somit werden die Engpässe des IPv4-Adressraums aufgelöst.
Das Ende der Adressenknappheit!
Deutscher IPv6 Rat 15
24. Juni 2010
Warum IPv6?
■Die letzten 5 IPv4 Netzblöcke wurden am 3. Februar 2011 auf die 5 Regionen verteilt (Nordamerika, Südamerika, Europa, Asien, Afrika)
■Der globale Pool der IANA ist leer■Der asiatische Pool ist seit dem 15. April
2011 leer■Europäischer Pool wird im Sommer
2012 leer sein
16 Deutscher IPv6 Rat
24. Juni 2010
„Running Out IP-Adresses is like running out oil!“– Vint Cerf (V. President Google) 2004
IPv4
IPv6
Internet Crash ?
Deutscher IPv6 Rat 17
24. Juni 2010
■Genug Adressen für immer?■ Jedes Unternehmen bekommt 65535 x 18.446.744.073.709.551.616 Adressen (/48 Netzwerk) Das gilt je Standort■Falls das nicht ausreicht, können mehr
Adresse beantragt werden
18 Deutscher IPv6 Rat
Warum IPv6?
24. Juni 2010
IPv6 aus Unternehmenssicht
Ist das Ende von IPv4 wichtig fürmein Unternehmen?
■ Ja, denn Ihre Kunden bekommen bald IPv6 Adressen
■ China und Indien ■ Deutschland (Funktelefone, IPads, Laptops, etc.)■ Aufräumen / Umverteilen / Verkaufen /
Zurückgeben funktioniert technisch, wirtschaftlich und organisatorisch nicht
19 Deutscher IPv6 Rat
24. Juni 2010
IPv6 aus Unternehmenssicht
Was passiert ohne IPv6?■ Jede Kommunikation verlangt Adressen gleichen
Typs auf beiden Seiten.■ Kunde hat nur IPv6■ Unternehmen hat nur IPv4
□ Postbeispiel am Anfang – keinPosteingang, wenn falscher Briefkasten
□ Kein Einkauf im Webshop□ Keine Bestellung per Email□ Keine Fernwartung von Maschinen
20 Deutscher IPv6 Rat
24. Juni 2010
Hier ist es noch lustig…
21 Deutscher IPv6 Rat
24. Juni 2010
… aber so kann esohne IPv6 aussehen!
Deutscher IPv6 Rat 22
24. Juni 2010
IPv6 aus Unternehmenssicht:Weitere Gründe
■NAT kann entfallen■Automatisierte Konfiguration und
vereinfachter Betrieb■Keine Kosten wegen doppelt genutzer
Adressen, z.B. 10.0.0.0/8■ Internet der Dinge■Abrechnung von Kunden und Diensten■Neue Anwendungsszenarien
23 Deutscher IPv6 Rat
24. Juni 2010
NAT kann entfallen
■ mittlerfreie Ende-zu-Ende-Kommunikation zwischen normalen Internet-Teilnehmern wieder möglich, z.B. Skype ohne zentralen Server
■ Mehr Sicherheit, da der Partner direkterreichbar ist
■ Kein zentraler Server kann die Kommunikation belauschen oder verändern
■ NAT als Fehlerquelle ausschliessen■ NAT bietet nur trügerische Sicherheit,
ist kein Security Feature !!!
24 Deutscher IPv6 Rat
24. Juni 2010
NAT kann entfallen
■ Mehrfaches NAT mache GeoIP unmöglich□ DSL Kunde sitzt in Augsburg, 1. NAT auf Heimrouter auf
öffentliche Adresse aus Augsburg□ 2. NAT beim Provider in München, die IP Adresse kommt
nun aus München□ 3. NAT beim Provider in Frankfurt, die IP Adresse kommt
nun aus Frankfurt
■Wie soll die lokale Augsburger Werbung nun greifen?
■Wer hat die Kontrolle über die „User Experience“ ihres Kunden?
25 Deutscher IPv6 Rat
24. Juni 2010
Carrier Grade NAT
■1000 Kunden teilen eine IPv4 Adresse
26 Deutscher IPv6 Rat
24. Juni 2010
Carrier Grade NAT
Zugriff auf Heimnetzwerk unmöglich Telefonie erschwert Weniger Service vom Provider
27 Deutscher IPv6 Rat
24. Juni 2010
Internet der Dinge
■ Interessant für Wissenschaft□ Auf Vulkanen□ Am Meeresboden□ Im Strassenverkehr
■Für Werbetreibende□ Direkte Kommunikation Funktelefon –
Strassenschilder
■ Im Strassenverkehr□ Auto zu Auto Kommunikation
28 Deutscher IPv6 Rat
24. Juni 2010
Schritte zur Einführung
■Geschäftsleitung befürwortet IPv6■Provider stellt IPv6 Netz■Hardware unterstützt IPv6■Software unterstützt IPv6■Ausbildung der Mitarbeiter■Testbetrieb starten
29 Deutscher IPv6 Rat
24. Juni 2010
Geschäftsleitung
■Ohne Unterstützung geht es nicht■Einführung kostet vor allem Zeit■Einkaufsrichtlinie erstellen■Budget für Training■Budget für Tests (Hardware und Software)
30 Deutscher IPv6 Rat
24. Juni 2010
Einkaufsrichtlinie
■RIPE Document 501 – deutsche Fassung□ http://www.heise.de/netze/artikel/Anforderunge
n-an-IPv6-ICT-Ausruestung-1238467.html
■USA: NIST Dokumente■Singapure IPv6 Profile
■Selber erstellen□ Vorlagen sind nicht individuell
31 Deutscher IPv6 Rat
24. Juni 2010
Einkaufsrichtlinie
■Alle Hardware und Software muss IPv6 beherrschen
■Anschaffung im normalen Zyklus■Erst testen, dann kaufen
■Lieferanten vertraglich binden
32 Deutscher IPv6 Rat
24. Juni 2010
Einkaufsrichtlinie
Was passiert, wenn Ihr Kunde eine IPv6 Einkaufsrichtlinie
hat?
33 Deutscher IPv6 Rat
24. Juni 2010
IPv6 und der ISP
■Mehr und mehr Provider bieten IPv6 an■Manche Provider wollen oder können es
leider noch nicht■ IPv6 ist oft noch im Testbetrieb ■Router können fast alle IPv6■Abrechnung kann kein IPv6?■Netzwerkmanagement kann kein IPv6?
34 Deutscher IPv6 Rat
24. Juni 2010
Bestehende IT erfassen
■Welche Hardware unterstützt IPv6?■Welche Software unterstützt IPv6?■Was muss neu angeschafft werden?■Beherrschen die Hersteller IPv6?□ Antwort: Vielleicht
■Was ist mit der Security?□ Security Policy des Unternehmens
35 Deutscher IPv6 Rat
24. Juni 2010
Partner
■Outsourcing Partner■ IT Partner■Software Partner■Entwicklungs Partner
■Wechsel des Partners ?
■Das kostet Zeit und Geld !!!
36 Deutscher IPv6 Rat
24. Juni 2010
Security Policy erweitern
■ IPv6 muss in der Policy berücksichtigt werden
■Einige Sicherheitsfunktionen arbeiten anders als bei IPv4
■Regeln müssen für beide Protokolle gelten■Verlangen Versicherungen oder Banken
Mitspracherecht bei der Security Policy?
37 Deutscher IPv6 Rat
24. Juni 2010
Mitarbeiter
■Training
■Schulung
■Zeit zum Üben und Lernen gewähren
■Die „Furcht vor Neuem“ darf die Einführung nicht behindern
38 Deutscher IPv6 Rat
24. Juni 2010
Start im Testlab
■Testlab ist Teil des Lernens■Keine Gefahr für produktives Netz■Hersteller können neue Produkte zeigen□ Siehe RIPE 501 als Hilfestellung
■Unternehmen kann die Hersteller testen, auch die Unterstützung und das Knowhow
■Alle Abteilungen können gemeinsam das notwendige Knowhow erarbeiten
39 Deutscher IPv6 Rat
24. Juni 2010
Anfangen / Anfassen
■Nur durch praktische Übung kann IPv6 erfahren werden
■Theoretisches Wissen aus Büchern ist gut, aber ...
■Routine im Umgang kann nur durch Umgang erlernt werden
40 Deutscher IPv6 Rat
24. Juni 2010
Software prüfen
■Eigene Software auf IPv4 Abhängigkeiten prüfen
■Eventuell sind viele tausend Zeilen Code zu untersuchen
■Die Lieferanten müssen ebenfalls ihre Software prüfen
■Redesign von Datenbanken kann erforderlich sein
41 Deutscher IPv6 Rat
24. Juni 2010
Ist IPv6 schon im Netzwerk?
■Windows 7 und Windows Server 2008 R2 haben IPv6 immer aktiviert
■MAC-OS und Linux■ IPv6 ist in vielen Netzen schon aktiv□ Ist das bekannt?□ Kann es die Firewall?□ Was ist mit Security?
■Windows nutzt IPv6 vorzugsweise■Windows nutzt Tunnel !!!
42 Deutscher IPv6 Rat
24. Juni 2010
Was tun die anderen?
■Deutschland□ /26 Netzwerk BMI□ Telekom Friendly User Test (DSL)□ Viele Provider können es□ Strato hat IPv6 von Telekom□ Workshop BMWi Ende Januar 2012
■ IPv6 Rat macht Werbung
43 Deutscher IPv6 Rat
24. Juni 2010
Was tun die anderen?
■Deutschland
■http://www.bundeskanzlerin.de■217.79.215.241
44 Deutscher IPv6 Rat
24. Juni 2010
Was tun die anderen?
■Europäische Union□ Wirbt für IPv6□ Pläne zu forsch□ Drängt die Mitgliedsstaaten
■http://europa.eu/index_de.htm■2a01:e0b:1:143:62eb:69ff:fe8f:16e6
45 Deutscher IPv6 Rat
24. Juni 2010
Was tun die anderen?
■China□ 278 Mio IPv4 Adressen□ 450 Mio Menschen Online
■ Investition in IPv6
46 Deutscher IPv6 Rat
24. Juni 2010
China
US$ 25.000.000.000
47 Deutscher IPv6 Rat
24. Juni 2010
Datenschutz / Anonymität
■Wichtige Diskussion, die zur Zeit viel Beachtung in der Presse findet
■Bin ich immer mit meiner IPv6 Adresse im Netz erkennbar?
■Verliere ich meine Anonymität wegen IPv6?
■Was kann ich dagegen tun?■Kann IPv6 überhaupt eingeführt werden?
48 Deutscher IPv6 Rat
24. Juni 2010
Kern der Diskussion
■Aufbau einer IPv6 Adresse□ 1234:5678:90ab:cdef:9999:8888:7777:6666
■Rot: Netzanteil■Grün: Hostanteil■ In den Hostanteil der Adresse lassen sich
Informationen kodieren■Hostanteil bleibt unverändert, selbst wenn
der Netzanteil sich ändert
49 Deutscher IPv6 Rat
24. Juni 2010
Kern der Diskussion
■Aufbau einer IPv6 Adresse□ 1234:5678:90ab:cdef:9999:8888:7777:6666
■ Jede Netzwerkkarte hat eine 48 bit Kennung, die weltweit einmalig ist und vom Hersteller vergeben wird.
■48 Bit MAC Adresse:□ 11:22:33:44:55:66
■=> 1122:33ff:fe44:5566□ 1234:5678:90ab:cdef:1122:33ff:fe44:5566
50 Deutscher IPv6 Rat
24. Juni 2010
Identifiziert mich die Adresse?
■Die eindeutige Adresse identifiziert das Netzwerkgerät, nicht den Benutzer
■Bei Virtualisierung verwenden viele Nutzer einen Server
■Der Benutzer eines Laptops ist bei IPv6 besser sichtbar als bei IPv4□ Laptops, Tablets und Telefone sind persönliche
Geräte, die nur von einem Menschen genutzt werden
□ => Rückschluss auf Benutzer leicht
51 Deutscher IPv6 Rat
24. Juni 2010
Bin ich bei IPv4 anonym?
■Benutzer wird identifiziert über□ Username und Password
□Twitter, Facebook, Google Mail, etc.
□ Cookies, Flash Cookies□ Standort und Reisepläne über Wetter□ Browserkennung
□Browser Hersteller und Version□Betriebssystem□Browser Addons□Bilschirmauflösung
□ IP Nummer des Gateways / Firewall
52 Deutscher IPv6 Rat
24. Juni 2010
Was ist bei IPv6 anders?
■Zusätzlich zu anderen Methoden kann die IPv6 Adresse als Merkmal hinzukommen
■Gegenmaßnahme□ IPv6 Privacy Extensions□ Hostanteil der Adresse wird per Zufall gebildet□ Wechsel der Adresse jede Stunde möglich
■Windows Vista und Windows 7 machen das automatisch
■Linux, Windows XP und MacOS X können es
53 Deutscher IPv6 Rat
24. Juni 2010
Statisch / Dynamisch
■Dynamische Adressen bringen etwas mehr Anonmymität
■Security im Unternehmen fordert statische Adressen□ Zugriff auf Datenbank ist erlaubt von Adresse
XYZ für Benutzer A mit Password B□ Heute sind die Adressen im Unternehmen
statisch vergeben, trozt Dynamic Host Configuration Protocol (DHCP)
54 Deutscher IPv6 Rat
24. Juni 2010
Statisch / Dynamisch
■ IP-basiertes Zugriffs-Modell muss langfristig ohnehin durch Schlüssel- / Zertifikatsbasierte Modelle abgelöst werden“ (z.B. Signaturkarte)
■Dann wäre die IP zur Identifikation des Mitarbeites nicht mehr nötig
■Der User muss erkannt werden, nicht der Computer
55 Deutscher IPv6 Rat
24. Juni 2010
Datenschutz
■ IPv6 ist kein Problem für den Datenschutz■Sicherheit im Unternehmen fordert
statische Adressen■ IPv6 kann viele Adressen gleichzeitig
nutzen□ Statische für intern□ Dynamische für extern
■Die Anonymität hängt nicht an der IP Adresse, weder bei IPv4 noch bei IPv6
56 Deutscher IPv6 Rat
24. Juni 2010
Fazit
■ IPv6 kommt ohne Zweifel■ Nahtlose Kommunikation in Zukunft geht nur
mit IPv6■ Geschäftsleitung muss die Umstellung
unterstützen■ Nur wenn Kunden IPv6 nachfragen, werden die
Hersteller und ISPs IPv6 anbieten■ Eventuell läuft IPv6 schon ohne Ihr Wissen
57 Deutscher IPv6 Rat
24. Juni 2010
Linkliste
■ Leitfaden IPv6□ http://
www.ipv6council.de/fileadmin/documents/HPI_52_ipv6_leitfaden.pdf
■Deploying IPv6 in the Internet Edge□ http://
www.cisco.com/en/US/docs/solutions/Enterprise/Borderless_Networks/Internet_Edge/InternetEdgeIPv6.pdf
■ IPv6 act now□ http://www.ipv6actnow.org/
58 Deutscher IPv6 Rat
24. Juni 2010
Linkliste
■ Cisco Systems□ http://www.cisco.com/go/ipv6
■Microsoft□ http://
technet.microsoft.com/de-de/library/cc738636%28WS.10%29.aspx
■Deutscher IPv6 Rat□ http://www.ipv6council.de/
■Swiss IPv6 Council□ http://www.swissipv6council.ch/de
59 Deutscher IPv6 Rat
24. Juni 2010
Linkliste
■ IPv6 Forum□ http://www.ipv6forum.com/
■Buch ISOC Argentinia□ http://
www.ipv6forum.com/dl/books/ipv6forall.pdf
■Buch IPv6 The Second Internet□ http://www.ipv6forum.com/dl/books/
the_second_internet.pdf
60 Deutscher IPv6 Rat