24. Juni 2010 IPv6 – Einführung in Unternehmensnetzwerke DEUTSCHER IPv6 RAT Deutscher IPv6 Rat 1

24. Juni 2010

IPv6 – Einführung in Unternehmensnetzwerke

DEUTSCHER IPv6 RAT

Deutscher IPv6 Rat 1

24. Juni 2010

■Was ist IPv6?■Warum IPv6?■Einführung im Unternehmensnetzwerk■Was tun die anderen?■Datenschutz■Diskussion / Fragen

2 Deutscher IPv6 Rat

Agenda

24. Juni 2010

■Dipl. Inf (FH)Wilhelm Boeddinghaus■Leiter Netzwerk bei Strato■Strato ist eine Tocher der Deutsche

Telekom AG■Ca. 1,4 Mio Kunden■2 Rechenzentren■Ca. 30.000 Server


Wer spricht heute?

24. Juni 2010

■Erstes Produkt 2009□ Dedicated Server□ Mehrere tausend Kunden□ Strato hat mit IPv6 Geld verdient

■08. Juni 2011 World IPv6 Day□ Anschaltung von IPv6 am Morgen□ Abschalten am Abend vergessen


Strato und IPv6

24. Juni 20105 Deutscher IPv6 Rat

World IPv6 Launch

24. Juni 2010

■Facebook■Google■Yahoo■Microsoft Bing■Cisco■D-Link

■Viele weitere Provider


World IPv6 Launch

24. Juni 2010

Deutscher IPv6 Rat

■ 2007 am Hasso-Plattner-Institute in Potsdam als nationale Abteilung des International IPv6 Forums gegründet

■ Chairman Prof. Dr. Christoph Meinel, HPI■ 29 Mitglieder aus Industrie, Wirtschaft,

Politik und Forschung ■ Webseite: www.ipv6council.de


Deutscher IPv6 Rat am Gründungstag6. Dezember 2007

http://www.ipv6council.de/

24. Juni 2010

Deutscher IPv6 Rat – Ziele

■ IPv6 „Think Tank“ at Work■ IPv6 Wissens- und Erfahrungsaustausch■ Unterstützung von neuen IPv6-basierten

Anwendungen und globalen Lösungen■ Unterstützung interoperabler

Implementationen des IPv6 Standards■ Barrieren bei der Umsetzung und dem

flächendeckenden Einsatz von IPv6 erkennen und abbauen


24. Juni 2010

■ afs Holding GmbH

■ BITKOM

■ Bundesministerium des Inneren (BMI)

■ Bundesministerium für Verteidigung (BMVg)

■ Bundesamt für Wehrtechnik und Beschaffung

■ Cisco Systems GmbH

■ Computer Science Corporation (CSC)

■ Deutsche Telekom

■ DFN Verein

■ eco, Verband der deutschen Internetwirtschaft

■ Ericsson GmbH

■ Felsenberg Consulting, Düsseldorf

■ Fortinet GmbH

■ Fraunhofer FOKUS, Competence Center NET

■ Guide Share Europe

■ Hasso-Plattner-Institut für Software-systemtechnik (HPI)


■ Hochschule für Angewandte Wissenschaften,Hamburg

■ IBM Deutschland

■ MD Europe Force 10

■ Nokia Siemens Network

■ RIPE Network Coordination Center

■ SAP Research

■ Space Net AG

■ Siemens IT-Dienstleistung und Beratung GmbH

■ SpeedPartner GmbH

■ Strato AG

■ Vodafone D2 GmbH

Deutscher IPv6 Rat –Aktive Mitglieder

24. Juni 2010

Politische Unterstützer

■BMI■BMWi■BMVg■Europäische Union■Deutscher IPv6 Rat■ IPv6 Forum


24. Juni 2010

Was ist IPv4?

■Heutiges Internet basiert auf IPv4■ca. 4.300.000.000 Adressen, nicht

ausreichend für ■ca. 7.000.000.000 Menschen■Eingeführt 1981■Es wurden anfangs viele Adressen

großzügig vergeben■Planung konnte das heutige Internet nicht

voraussehen


24. Juni 2010

Zur korrekten Adressierungmuss die Adresse eindeutig sein!

Udo

Beispielmann

Musterallee 1

12346 Berlin

Erika Musterfrau

Beispielstr. 1

12345 Berlin

Vergleicht man das Internet-Protokoll mit der Post, würde durch das Internet-Protokoll das Format der Briefumschläge definiert und festgelegt, wie Postleitzahlen und Adressen angegeben und bei der Zustellung benutzt werden.


24. Juni 2010

Das zentrale Problem von IPv4

IP 209.85.129.1

04

IP 209.85.129.1

04

IP 47.11.123.45

Nicht ausreichend viele IPv4 Adressen

Keine eindeutige Adressierbarkeit mit IPv4


IP 47.11.123.45

24. Juni 2010

Was ist IPv6?

■ca. 4.300.000.0004 Adressen

■Entwickelt ab ca. 1992■Adressraum reicht lange■Ersatz für IPv4■Nicht kompatibel mit IPv4


24. Juni 2010

32 Bit Adressen

IPv6

Mögliche Adressen:2 32 = 4.294.967.296

IPv4

128 Bit Adressen

Mögliche Adressen:2 128 = 340.282.366.920. 98.463.463.374.607.431.768.211.456

Adressen pro m2 Erdoberfläche:

0.0000083

Adressen pro m2 Erdoberfläche:

665.570.793.348.866.943.898.599

Somit werden die Engpässe des IPv4-Adressraums aufgelöst.

Das Ende der Adressenknappheit!


24. Juni 2010

Warum IPv6?

■Die letzten 5 IPv4 Netzblöcke wurden am 3. Februar 2011 auf die 5 Regionen verteilt (Nordamerika, Südamerika, Europa, Asien, Afrika)

■Der globale Pool der IANA ist leer■Der asiatische Pool ist seit dem 15. April

2011 leer■Europäischer Pool wird im Sommer

2012 leer sein


24. Juni 2010

„Running Out IP-Adresses is like running out oil!“– Vint Cerf (V. President Google) 2004

IPv4

IPv6

Internet Crash ?


24. Juni 2010

■Genug Adressen für immer?■ Jedes Unternehmen bekommt 65535 x 18.446.744.073.709.551.616 Adressen (/48 Netzwerk) Das gilt je Standort■Falls das nicht ausreicht, können mehr

Adresse beantragt werden


Warum IPv6?

24. Juni 2010

IPv6 aus Unternehmenssicht

Ist das Ende von IPv4 wichtig fürmein Unternehmen?

■ Ja, denn Ihre Kunden bekommen bald IPv6 Adressen

■ China und Indien ■ Deutschland (Funktelefone, IPads, Laptops, etc.)■ Aufräumen / Umverteilen / Verkaufen /

Zurückgeben funktioniert technisch, wirtschaftlich und organisatorisch nicht


24. Juni 2010

IPv6 aus Unternehmenssicht

Was passiert ohne IPv6?■ Jede Kommunikation verlangt Adressen gleichen

Typs auf beiden Seiten.■ Kunde hat nur IPv6■ Unternehmen hat nur IPv4

□ Postbeispiel am Anfang – keinPosteingang, wenn falscher Briefkasten

□ Kein Einkauf im Webshop□ Keine Bestellung per Email□ Keine Fernwartung von Maschinen


24. Juni 2010

Hier ist es noch lustig…


24. Juni 2010

… aber so kann esohne IPv6 aussehen!


24. Juni 2010

IPv6 aus Unternehmenssicht:Weitere Gründe

■NAT kann entfallen■Automatisierte Konfiguration und

vereinfachter Betrieb■Keine Kosten wegen doppelt genutzer

Adressen, z.B. 10.0.0.0/8■ Internet der Dinge■Abrechnung von Kunden und Diensten■Neue Anwendungsszenarien


24. Juni 2010

NAT kann entfallen

■ mittlerfreie Ende-zu-Ende-Kommunikation zwischen normalen Internet-Teilnehmern wieder möglich, z.B. Skype ohne zentralen Server

■ Mehr Sicherheit, da der Partner direkterreichbar ist

■ Kein zentraler Server kann die Kommunikation belauschen oder verändern

■ NAT als Fehlerquelle ausschliessen■ NAT bietet nur trügerische Sicherheit,

ist kein Security Feature !!!


24. Juni 2010

NAT kann entfallen

■ Mehrfaches NAT mache GeoIP unmöglich□ DSL Kunde sitzt in Augsburg, 1. NAT auf Heimrouter auf

öffentliche Adresse aus Augsburg□ 2. NAT beim Provider in München, die IP Adresse kommt

nun aus München□ 3. NAT beim Provider in Frankfurt, die IP Adresse kommt

nun aus Frankfurt

■Wie soll die lokale Augsburger Werbung nun greifen?

■Wer hat die Kontrolle über die „User Experience“ ihres Kunden?


24. Juni 2010

Carrier Grade NAT

■1000 Kunden teilen eine IPv4 Adresse


24. Juni 2010

Carrier Grade NAT

Zugriff auf Heimnetzwerk unmöglich Telefonie erschwert Weniger Service vom Provider


24. Juni 2010

Internet der Dinge

■ Interessant für Wissenschaft□ Auf Vulkanen□ Am Meeresboden□ Im Strassenverkehr

■Für Werbetreibende□ Direkte Kommunikation Funktelefon –

Strassenschilder

■ Im Strassenverkehr□ Auto zu Auto Kommunikation


24. Juni 2010

Schritte zur Einführung

■Geschäftsleitung befürwortet IPv6■Provider stellt IPv6 Netz■Hardware unterstützt IPv6■Software unterstützt IPv6■Ausbildung der Mitarbeiter■Testbetrieb starten


24. Juni 2010

Geschäftsleitung

■Ohne Unterstützung geht es nicht■Einführung kostet vor allem Zeit■Einkaufsrichtlinie erstellen■Budget für Training■Budget für Tests (Hardware und Software)


24. Juni 2010

Einkaufsrichtlinie

■RIPE Document 501 – deutsche Fassung□ http://www.heise.de/netze/artikel/Anforderunge

n-an-IPv6-ICT-Ausruestung-1238467.html

■USA: NIST Dokumente■Singapure IPv6 Profile

■Selber erstellen□ Vorlagen sind nicht individuell


http://www.heise.de/netze/artikel/Anforderungen-an-IPv6-ICT-Ausruestung-1238467.html

http://www.heise.de/netze/artikel/Anforderungen-an-IPv6-ICT-Ausruestung-1238467.html

24. Juni 2010

Einkaufsrichtlinie

■Alle Hardware und Software muss IPv6 beherrschen

■Anschaffung im normalen Zyklus■Erst testen, dann kaufen

■Lieferanten vertraglich binden


24. Juni 2010

Einkaufsrichtlinie

Was passiert, wenn Ihr Kunde eine IPv6 Einkaufsrichtlinie

hat?


24. Juni 2010

IPv6 und der ISP

■Mehr und mehr Provider bieten IPv6 an■Manche Provider wollen oder können es

leider noch nicht■ IPv6 ist oft noch im Testbetrieb ■Router können fast alle IPv6■Abrechnung kann kein IPv6?■Netzwerkmanagement kann kein IPv6?


24. Juni 2010

Bestehende IT erfassen

■Welche Hardware unterstützt IPv6?■Welche Software unterstützt IPv6?■Was muss neu angeschafft werden?■Beherrschen die Hersteller IPv6?□ Antwort: Vielleicht

■Was ist mit der Security?□ Security Policy des Unternehmens


24. Juni 2010

Partner

■Outsourcing Partner■ IT Partner■Software Partner■Entwicklungs Partner

■Wechsel des Partners ?

■Das kostet Zeit und Geld !!!


24. Juni 2010

Security Policy erweitern

■ IPv6 muss in der Policy berücksichtigt werden

■Einige Sicherheitsfunktionen arbeiten anders als bei IPv4

■Regeln müssen für beide Protokolle gelten■Verlangen Versicherungen oder Banken

Mitspracherecht bei der Security Policy?


24. Juni 2010

Mitarbeiter

■Training

■Schulung

■Zeit zum Üben und Lernen gewähren

■Die „Furcht vor Neuem“ darf die Einführung nicht behindern


24. Juni 2010

Start im Testlab

■Testlab ist Teil des Lernens■Keine Gefahr für produktives Netz■Hersteller können neue Produkte zeigen□ Siehe RIPE 501 als Hilfestellung

■Unternehmen kann die Hersteller testen, auch die Unterstützung und das Knowhow

■Alle Abteilungen können gemeinsam das notwendige Knowhow erarbeiten


24. Juni 2010

Anfangen / Anfassen

■Nur durch praktische Übung kann IPv6 erfahren werden

■Theoretisches Wissen aus Büchern ist gut, aber ...

■Routine im Umgang kann nur durch Umgang erlernt werden


24. Juni 2010

Software prüfen

■Eigene Software auf IPv4 Abhängigkeiten prüfen

■Eventuell sind viele tausend Zeilen Code zu untersuchen

■Die Lieferanten müssen ebenfalls ihre Software prüfen

■Redesign von Datenbanken kann erforderlich sein


24. Juni 2010

Ist IPv6 schon im Netzwerk?

■Windows 7 und Windows Server 2008 R2 haben IPv6 immer aktiviert

■MAC-OS und Linux■ IPv6 ist in vielen Netzen schon aktiv□ Ist das bekannt?□ Kann es die Firewall?□ Was ist mit Security?

■Windows nutzt IPv6 vorzugsweise■Windows nutzt Tunnel !!!


24. Juni 2010

Was tun die anderen?

■Deutschland□ /26 Netzwerk BMI□ Telekom Friendly User Test (DSL)□ Viele Provider können es□ Strato hat IPv6 von Telekom□ Workshop BMWi Ende Januar 2012

■ IPv6 Rat macht Werbung


24. Juni 2010


■Deutschland

■http://www.bundeskanzlerin.de■217.79.215.241


http://www.bundeskanzlerin.de/

http://www.bundeskanzlerin.de/

24. Juni 2010


■Europäische Union□ Wirbt für IPv6□ Pläne zu forsch□ Drängt die Mitgliedsstaaten

■http://europa.eu/index_de.htm■2a01:e0b:1:143:62eb:69ff:fe8f:16e6


http://europa.eu/index_de.htm

http://europa.eu/index_de.htm

24. Juni 2010


■China□ 278 Mio IPv4 Adressen□ 450 Mio Menschen Online

■ Investition in IPv6


24. Juni 2010

China

US$ 25.000.000.000


24. Juni 2010

Datenschutz / Anonymität

■Wichtige Diskussion, die zur Zeit viel Beachtung in der Presse findet

■Bin ich immer mit meiner IPv6 Adresse im Netz erkennbar?

■Verliere ich meine Anonymität wegen IPv6?

■Was kann ich dagegen tun?■Kann IPv6 überhaupt eingeführt werden?


24. Juni 2010

Kern der Diskussion

■Aufbau einer IPv6 Adresse□ 1234:5678:90ab:cdef:9999:8888:7777:6666

■Rot: Netzanteil■Grün: Hostanteil■ In den Hostanteil der Adresse lassen sich

Informationen kodieren■Hostanteil bleibt unverändert, selbst wenn

der Netzanteil sich ändert


24. Juni 2010

Kern der Diskussion

■Aufbau einer IPv6 Adresse□ 1234:5678:90ab:cdef:9999:8888:7777:6666

■ Jede Netzwerkkarte hat eine 48 bit Kennung, die weltweit einmalig ist und vom Hersteller vergeben wird.

■48 Bit MAC Adresse:□ 11:22:33:44:55:66

■=> 1122:33ff:fe44:5566□ 1234:5678:90ab:cdef:1122:33ff:fe44:5566


24. Juni 2010

Identifiziert mich die Adresse?

■Die eindeutige Adresse identifiziert das Netzwerkgerät, nicht den Benutzer

■Bei Virtualisierung verwenden viele Nutzer einen Server

■Der Benutzer eines Laptops ist bei IPv6 besser sichtbar als bei IPv4□ Laptops, Tablets und Telefone sind persönliche

Geräte, die nur von einem Menschen genutzt werden

□ => Rückschluss auf Benutzer leicht


24. Juni 2010

Bin ich bei IPv4 anonym?

■Benutzer wird identifiziert über□ Username und Password

□Twitter, Facebook, Google Mail, etc.

□ Cookies, Flash Cookies□ Standort und Reisepläne über Wetter□ Browserkennung

□Browser Hersteller und Version□Betriebssystem□Browser Addons□Bilschirmauflösung

□ IP Nummer des Gateways / Firewall


24. Juni 2010

Was ist bei IPv6 anders?

■Zusätzlich zu anderen Methoden kann die IPv6 Adresse als Merkmal hinzukommen

■Gegenmaßnahme□ IPv6 Privacy Extensions□ Hostanteil der Adresse wird per Zufall gebildet□ Wechsel der Adresse jede Stunde möglich

■Windows Vista und Windows 7 machen das automatisch

■Linux, Windows XP und MacOS X können es


24. Juni 2010

Statisch / Dynamisch

■Dynamische Adressen bringen etwas mehr Anonmymität

■Security im Unternehmen fordert statische Adressen□ Zugriff auf Datenbank ist erlaubt von Adresse

XYZ für Benutzer A mit Password B□ Heute sind die Adressen im Unternehmen

statisch vergeben, trozt Dynamic Host Configuration Protocol (DHCP)


24. Juni 2010

Statisch / Dynamisch

■ IP-basiertes Zugriffs-Modell muss langfristig ohnehin durch Schlüssel- / Zertifikatsbasierte Modelle abgelöst werden“ (z.B. Signaturkarte)

■Dann wäre die IP zur Identifikation des Mitarbeites nicht mehr nötig

■Der User muss erkannt werden, nicht der Computer


24. Juni 2010

Datenschutz

■ IPv6 ist kein Problem für den Datenschutz■Sicherheit im Unternehmen fordert

statische Adressen■ IPv6 kann viele Adressen gleichzeitig

nutzen□ Statische für intern□ Dynamische für extern

■Die Anonymität hängt nicht an der IP Adresse, weder bei IPv4 noch bei IPv6


24. Juni 2010

Fazit

■ IPv6 kommt ohne Zweifel■ Nahtlose Kommunikation in Zukunft geht nur

mit IPv6■ Geschäftsleitung muss die Umstellung

unterstützen■ Nur wenn Kunden IPv6 nachfragen, werden die

Hersteller und ISPs IPv6 anbieten■ Eventuell läuft IPv6 schon ohne Ihr Wissen


24. Juni 2010

Linkliste

■ Leitfaden IPv6□ http://

www.ipv6council.de/fileadmin/documents/HPI_52_ipv6_leitfaden.pdf

■Deploying IPv6 in the Internet Edge□ http://

www.cisco.com/en/US/docs/solutions/Enterprise/Borderless_Networks/Internet_Edge/InternetEdgeIPv6.pdf

■ IPv6 act now□ http://www.ipv6actnow.org/


http://www.ipv6council.de/fileadmin/documents/HPI_52_ipv6_leitfaden.pdf



http://www.cisco.com/en/US/docs/solutions/Enterprise/Borderless_Networks/Internet_Edge/InternetEdgeIPv6.pdf




24. Juni 2010

Linkliste

■ Cisco Systems□ http://www.cisco.com/go/ipv6

■Microsoft□ http://

technet.microsoft.com/de-de/library/cc738636%28WS.10%29.aspx

■Deutscher IPv6 Rat□ http://www.ipv6council.de/

■Swiss IPv6 Council□ http://www.swissipv6council.ch/de


http://www.cisco.com/go/ipv6

http://technet.microsoft.com/de-de/library/cc738636%28WS.10%29.aspx





24. Juni 2010

Linkliste

■ IPv6 Forum□ http://www.ipv6forum.com/

■Buch ISOC Argentinia□ http://

www.ipv6forum.com/dl/books/ipv6forall.pdf

■Buch IPv6 The Second Internet□ http://www.ipv6forum.com/dl/books/

the_second_internet.pdf


http://www.ipv6forum.com/

http://www.ipv6forum.com/

http://www.ipv6forum.com/dl/books/ipv6forall.pdf

http://www.ipv6forum.com/dl/books/ipv6forall.pdf

Documents

24. Juni 2010 IPv6 – Einführung in Unternehmensnetzwerke DEUTSCHER IPv6 RAT Deutscher IPv6 Rat 1