Infoblox gibt Tipps zum IPv6-Umstieg

Sieben Fallstricke beim Einsatz von IPv6

14. Oktober 2013, 9:16 Uhr | LANline/jos

Was sollten Unternehmen beachten, wenn sie eine  IPv6-Strategie entwickeln? Viele Erkenntnisse dazu sind schon weit verbreitet: Hardware und Software sind gründlich zu prüfen, Mitarbeiter müssen geschult und Richtlinien, die das Netzwerk betreffen, müssen neu aufgesetzt oder angepasst werden. Das ist allerdings noch lange nicht alles: Infoblox, ein Spezialist für Netzwerk-Automatisierung, hat sieben Fallstricke identifiziert und gibt Unternehmen eine Checkliste an die Hand, wie sie den Fallen ausweichen können.

1) Überprüfen Sie, wie Sie IP-Adressen konfigurieren und nachverfolgen

IPv6 wird großen Einfluss darauf haben, wie IP-Adressen zugeteilt und verwaltet werden – das ist sicher die wichtigste Änderung bei der Umstellung. Der Wechsel von 32-Bit-IPv4- zu 128-Bit-IPv6-Adressen macht für Unternehmen die Überlegung notwendig, wie sie von nun an IP-Adressen zuteilen, aber auch tracken. Bei IPv4-Adressen war dies einfach und ließ sich manuell erledigen, etwa mithilfe von Tabellen. Bei IPv6 funktioniert dies nicht mehr: Schon die pure Länge zwingt Unternehmen dazu, IP-Adress-Management(IPAM)-Tools einzusetzen, die automatisiert und mit IPv6 kompatibel sind.

  1. 2) Überprüfen Sie Ihre DNS-Architektur

Sobald IPv6 auch im internen Netzwerk verwendet wird, müssen Unternehmen prüfen, ob der Rest der IP-Management-Infrastruktur für die Umstellung bereit ist. Wird etwa DHCP für die Adresszuteilung genutzt, muss auch der DHCP-Server IPv6-kompatibel sein. DCHP ist aber nur ein Teil dessen, was ein IPv6-Endpunkt benötigt. Zudem müssen auch DNS Domain Support, DNS-Server-Adressen, Adressen von Netzwerkzeit-Servern und viele andere Elemente kompatibel mit IPv6 sein. Dazu müssen eine moderne DNS-Infrastruktur implementiert sowie die Kompatibilität zwischen DNS und DHCP-Systemen getestet werden.

  1. 3) Überdenken Sie die Richtlinien für Sicherheit und Wartung

Wird IPv6 implementiert, dann ist es auch nötig, Richtlinien für Sicherheit und Wartung anzupassen. Während die Schwächen von IPv4 hinlänglich bekannt sind und sich daher bekämpfen lassen, gibt es diese Erfahrungswerte bei IPv6 noch nicht. Deshalb sind etwaige Bedrohungen, die das neue System mit sich bringen kann, konsequent zu analysieren. Unternehmen sollten also bei der Umstellung auf IPv6 auch daran denken, ihre Sicherheitsvorkehrungen zu überarbeiten.

  1. 4) Kontrollieren Sie das Inventar Ihrer Netzwerk-Infrastruktur

Eine Umstellung auf IPv6 kann nur funktionieren, wenn ein Unternehmen genau über sein Netzwerk und dessen Komponenten Bescheid weiß. Deshalb sind Netzwerk-Infrastruktur und Traffic-Routing eingehend zu untersuchen. So sollte beispielsweise jedes Subnetz daraufhin überprüft werden, ob die Verbindung zum Backbone auch unter dem neuen Protokoll funktioniert.

  1. 5) Sind auch Ihre Anwendungen kompatibel?

Unternehmen sollten sich vor der Annahme hüten, dass Anwendungen automatisch auch auf einem IPv6-basierenden Netzwerk laufen – auch sie sind vor einer Umstellung zu testen. Bei IPv6 kommen auch neue Layer-4-TCP-Protokolle zum Einsatz (TCP 6 und UDP 6), die durchaus Auswirkungen auf einige Anwendungen haben können.

  1. 6) Bringen Sie Ihre Backend-Tools auf den aktuellsten Stand

Um ein IPv6-Netzwerk verwalten und Probleme erkennen sowie lösen zu können müssen Unternehmen evaluieren, ob ihre existierenden Tools dafür geeignet sind. Gegebenenfalls sind gänzlich neue Lösungen anzuschaffen. Dies gilt sowohl für den Betrieb als auch für die Wartung. So ist etwa schon die Länge der IPv6-Adressen problematisch für manche Datenbanken, die solche Adressen nicht speichern können. Auch Analyzer und andere Überwachungslösungen sind häufig nicht IPv6-kompatibel.

  1. 7) Behalten Sie die Netzwerk-Performance im Auge

Die Veränderungen durch IPv6 können sich negativ auf die Leistung eines Netzwerks auswirken. So sind etwa Header 40 Byte und damit doppelt so groß wie bei IPv4. Daher wird es gerade bei Anwendungen, die kleine Paketgrößen brauchen, merkliche Leistungsauswirkungen geben. Obwohl die meisten Systemanbieter wohl eine Strategie zur IPv6-Implementierung haben, gilt diese nicht unbedingt für die Leistung von Systemen, auf denen das IPv6-Protokoll läuft. Dort ist die Umstellung der Firmware ein erster Schritt. Für eine umfassende interne Umstellung wird aber die Hardware der Netzwerk-Infrastruktur zu großen Teilen verbessert werden müssen, um leistungsfähig genug zu bleiben.

Eine Falle, mit der niemand rechnet – eine zusätzliche Warnung:

  1. 8) Spam-Filter sind oft neu zu entwickeln

Spam-Blocker von heute stützen sich meistens auf DNS Black Lists (so genannte DNSBLs). Diese sind allerdings bei der Umstellung auf IPv6 wertlos, da Hosts unter IPv4 nur einige hundert Adressen haben, sodass sich individuelle Adressen einfach auflisten und blockieren lassen. Bei IPv6 können Hacker einem Server dagegen Tausende von Adressen zuweisen und für jede neue Spam-Nachricht eine neue Adresse wählen. Ganze IPv6-Bereiche in DNSBL aufzulisten – so wird es aktuell bei IPv4 gemacht – ist keine Lösung, da diese aufgrund ihrer Größe Caches und DNS-Server zusammenbrechen lassen würden. Zudem ziehen DNS Caches neue Antworten älteren gegenüber oft vor, sodass die Vielzahl von DNSBL-Daten alle anderen DNS-Informationen aus dem Cache drängen würde. Oft kommt zudem für DNSBL der gleiche Cache zum Einsatz wie für alle anderen DNS-Anfragen. Dies belastet wiederum alle anderen DNS-Server, die sich die gelöschten Antworten zurückholen müssen.

Mehr zum Thema

Firewalls effizient managen

Einfache Einhaltung globaler regulatorischer Standards

Performante Cybersicherheit für Rechenzentren

Zentrales Management für mehrere tausend Sicherheitssysteme

Stonesoft verdoppelt DPI-Performance

NG Firewall für mittlere Unternehmen


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu autronic electronic-service GmbH LCD Handesl/LCD Trading Div.

Weitere Artikel zu Inocent Kessler GmbH

Matchmaker+