SWITCH Security-Blog

SWITCH-CERT IT-Security Blog

IPv6 für (Security-)Manager – Teil 3: Treiber für eine IPv6-Integration


Im vorigen Teil dieser Reihe haben wir uns das Big Picture der IPv6-Integration angeschaut. In diesem dritten Teil geht es nun darum, welche Treiber für die Integration von IPv6 potenziell bestehen. Diese Übersicht kann Ihnen als Basis dienen, um sich ein Bild zu machen, wie die individuelle Situation in Ihrer Organisation aussieht.

Adressknappheit bei IPv4

Für das Thema IPv6 gibt es ein wohlbekanntes Argument, das als erstes zu nennen ist: Der Mangel an IPv4-Adressen. Das folgende Diagramm zeigt, wann die 5 verschiedenen Adresspools der 5 Regional Internet Registries voraussichtlich erschöpft sind. Die waagerechte rote Linie zeigt dabei an, wann das letzte Paket in der Grösse von einem /8 (was 16.7 Millionen Adressen entspricht) angebrochen wird:

Wie man sieht, ist dies für das RIPE NCC – welches auch für die Adressvergabe in Europa zuständig ist – im vergangenen Jahr bereits geschehen. Und zwar am 14. September 2012. Und damit werden folgende Policies aktiv:
  • “A LIR (or ISP) may receive one /22 allocation (1,024 IPv4 addresses), even if they can justify a larger allocation.”
  • “Allocations will only be made if the LIR has already received an IPv6 allocation from an upstream LIR or the RIPE NCC.”
Man sieht, die wenigen verbleibenden IPv4-Adressen werden nur noch restriktiv vergeben. Unterdessen entsteht ein Markt: Microsoft kaufte 2011 bereits rund 666.000 IPv4-Adressen von Nortel für 7.5 Millionen US-Dollar.
Gleichzeitig sehen wir Trends wie BYOD und das “Internet der Dinge”, die den Bedarf an IP-Adressen deutlich erhöhen.

Erreichbarkeit (IPv6-only)

IPv4 und IPv6 sind untereinander nicht kompatibel. Dies bedeutet, dass IPv6-Sites IPv4-Services nicht ohne weiteres erreichen können – und umgekehrt natürlich auch IPv4-Sites IPv6-Services. Es gibt verschiedene Übergangsmechanismen (Dual Stack, Tunneling, Translation), die hier übergangsweise für Abhilfe sorgen. Aber man kann nicht davon ausgehen, dass in Regionen, in denen v4-Adressen rar sind, z.B. alles dual-stack deployt werden wird. Denn hierzu fehlen schlicht die Adressen. Wer Kommunikationspartner im Asiatisch-Pazifischen Raum hat, sollte hier daher eine eigene Einschätzung der zukünftigen Erreichbarkeit vornehmen.

Neue Anwendungen (End-to-end, IPv6 only, Mobile IPv6)

Auch wenn es derzeit kaum konkrete Beispiele gibt (Direct Access wird in dem Zusammenhang gerne genannt), ist damit zu rechnen, dass zukünftig vermehrt Applikationen entstehen, die bestimmte IPv6-Features (wie Mobile IPv6) nutzen, oder aber einfach nicht mehr das Legacy-Protokoll implementieren. Aus dieser Richtung könnten speziell die “Late-Adopter” vom Thema IPv6 eingeholt werden.

Veraltete Infrastruktur und Neuinvestitionen

Stehen Investitionen an, weil ein Teil der Infrastruktur vor dem Ende des Lifecycles steht bzw. einfach veraltet ist, sollte selbstverständlich darauf geachtet werden, dass Neuanschaffungen auch die Anforderungen der nächsten Jahre erfüllen können. Wie bereits im vergangenen Beitrag erwähnt, gehören Ihre spezifische Anforderungen zu IPv6 in die Einkaufsrichtlinien der verschiedenen Produkte. Das gilt nicht nur für die verschiedenen Geräteklassen, sondern auch für Softwareprodukte im Bereich Monitoring, Service-Management und ähnlichem.

Konsolidierungsbedarf

Für den Fall, dass das Netzwerk in einer Organisation über viele Jahre mehr oder weniger kreativ gewachsen ist und aus Gründen von Betriebskosten, Sicherheit oder Wartbarkeit ein Konsolidierungsbedarf besteht, bieten sich bei einer IPv6-Integration Synergien an. Aktivitäten wie Bestandsaufnahme und Re-Dokumentation nützen beiden Zielen gleichermassen.

IPv6 Service-Angebote / Technologie-Image

Natürlich gibt es auch Unternehmen, die mit einem möglichst frühzeitigen Angebot von IPv6 einfach Geld verdienen wollen. Bei ihnen ist IPv6 ein Teil des Service-Angebots. Hierzu gehören Internet- und Hosting-Provider. Aber auch im Service- und Consulting-Geschäft ist oft die praktische Erfahrung mit IPv6  in der eigenen Organisation die Voraussetzung, um anschliessend eine entsprechende Dienstleistung seriös anbieten zu können. Als Nebeneffekt können Unternehmen die Gelegenheit nutzen, ihr Technologie-Image aufzupolieren. Allerdings natürlich nur die, die früh dran sind.

Business Continuity!

Nicht zuletzt steht die Frage im Raum, ob sich ein Unternehmen darum kümmert, dass es in Zukunft sein Business zuverlässig weiterbetreiben kann. In diesem Zusammenhang wird man auch die technologischen Veränderungen des Internet beobachten und bewerten – und daraus rechtzeitig Massnahmen ableiten wollen. Diese wären bezogen auf IPv6 beispielsweise eine Highlevel-Integrationsstrategie und ein Meilensteinplan.

Haben Sie Anmerkungen zu diesem Artikel? Haben Sie in Ihrem Umfeld weitere Treiber identifiziert? Dann freuen wir uns wie immer über einen Kommentar!

Im kommenden Teil 4 dieser Serie schauen wir uns an, wie Sie IPv6 in der eigenen Organisation auf den Weg bringen können, ohne dass die IT-Security dabei vernachlässigt wird.

Comments are closed.