Adressenknappheit - Lösung oder Krückstock?Obwohl die Erfinder des 1981 standardisierten Internet Protokoll mit einer 32-Bit Adressierung und damit 4'294'967'296 möglichen Adressen sehr viel Weitblick bewiesen haben, ist deren Verknappung bedingt durch den früheren verschwenderischen Umgang und das starke Wachstum des Internet schon seit Jahren absehbar.
Schon heute leiden wir unter den Folgen diverser Sparmaßnahmen, mit denen die Internet Provider versucht haben, diese Verknappung hinauszuzögern.
Als eine der ersten Maßnahmen sollte die große Zahl von IP-Adressen, die Geräten zugeordnet sind, die nicht permanent eingeschalten oder mit dem Internet verbunden sind, wieder verfügbar gemacht werden. Dadurch geniessen die Nutzer dieser Adressen ein hohes Maß an Anonymität und während Spammer und Script-Kiddies davon profitieren, die von ihnen gebrandmarkte IP-Adresse leicht wieder loszuwerden, sind viele Administratoren dazu übergegangen, anstelle einer einzelnen mißbräuchlich verwendeten IP-Adresse gleich das ganze Netzwerk zu sperren und damit auch rechtmäßige Benutzer auszuschliessen.
Ursprünglich war vorgesehen, die IP-Adressen in Blöcken zu 16'777'214, 65'536 oder 255 Adressen zu vergeben, wodurch ein grosser Teil des Adressraumes aber ungenutzt geblieben wäre. Seit einiger Zeit werden die verbleibenden Adressen daher entsprechend dem jeweiligen Bedarf in allen technisch möglichen Blockgrössen vergeben.
Dadurch hätten die Core-Router jedoch eine wesentlich größere Anzahl von Routen verwalten müssen, was man aus Gründen der Performance zu vermeiden versucht, indem die Adressen bevorzugt in sogenannten Provider Aggregatable (PA) Blocks an die Provider und nicht mehr an die Nutzer vergeben werden. Durch dieses hierarchische Routing werden die Probleme auf die Kunden abgewälzt, die schon frühzeitig mehrere logische Netzwerke routen oder ihre IP Adressen ändern müssen, weil der ihnen zugewiesene Adressblock zu klein geworden ist. Im Gegensatz zu den früher üblichen Provider Independent (PI) Allocations ist es damit auch nicht mehr möglich, redundant über mehrere Provider angebunden zu sein oder die IP-Adressen bei einem Providerwechsel mitzunehmen.
Um die oben genannten Probleme zu umgehen und eine grosse Zahl von IP-Adressen, die über mehrere Anbindungen redundant versorgt und bei einem Providerwechsel nicht geändert werden müssen zur Verfügung zu haben, bedienen sich immer mehr Nutzer einer Technologie die Network Address Translation (NAT) oder Masquerading genannt wird. Dabei werden IP-Adressen aus einem der für private Netzwerke reservierten Bereiche verwendet, die im Internet nicht gültig sind und mit anderen Systemen daher nur über einen 'intelligenten' Gateway kommunizieren können.
| Bereich | |
|---|---|
| 10.0.0.0 | 10.255.255.255 |
| 172.16.0.0 | 172.31.255.255 |
| 192.168.0.0 | 192.168.255.255 |
Das Problem dieser Lösung ist, daß die so angebundenen Computer im Internet unter einer gemeinsame IP-Adresse auftreten und damit nicht individuell adressiert oder identifiziert werden können. Damit ist von vorneherein kein Serverbetrieb möglich und während die gebräuchlichen TCP-basierenden Protokolle im allgemeinen funktionieren, müssen verbindungslose UDP-basierende Protokolle wie DNS oder NTP sowie Protokolle wie FTP, bei denen der Server eine Verbindung zum Client aufbaut, explizit unterstützt werden. Auch Beschränkungen der Bandbreite, der gleichzeitigen Verbindungen oder der zulässigen Abfragen gelten dabei nicht wie beabsichtigt für einen einzelnen, sondern für alle Benutzer zusammengenommen.
Durch Verwendung des eigentlich optionalen 'Host'-Headers im HTTP-Protokoll ist es grundsätzlich möglich, mit einer IP-Adresse mehrere Webseiten zu hosten. Dies funktioniert jedoch nur mit aktuellen Browser-Implementierungen, die diesen Header auch mitsenden und auch nur für unverschlüsselte Zugriffe, da bei SSL der Hostname bekannt sein muss, bevor HTTP Protokollinformationen übertragen werden.
Die einzig wahre Lösung für all diese Probleme ist die Einführung des Internet Protokolls der nächsten Generation, das die Adressierung auf 128 Bit erweitert und damit genügend Adressen auch für zukünftige Anwendungen wie VoIP oder mobile Applications bereitstellt.
Natürlich ist diese Umstellung mit Kosten verbunden, die durch den niedrigeren Wartungsaufwand aber schnell kompensiert werden. Die Gesamtkosten des Umstieg werden also vor allem davon abhängen, wie lange der Umstieg hinausgezögert wird.
IPv6 bietet im wesentlichen dieselbe Funktionalität wie IPv4 wobei es durch die Integration von IPSec Authentication und Encryption mindestens ebenso sicher ist. Leider gibt es aber einige Administratoren, die glauben, ihr Netzwerk durch die Verwendung von NAT abgesichert zu haben. Dieses wurde jedoch nicht als Security Mechanismus designed und filtert nur als Nebeneffekt alle Pakete, die nicht einer Verbindung zugeordnet werden können. Derselbe Effekt kann unter IPv6 durch Verwendung einer stateful Firewall erzielt werden, wobei es jederzeit möglich ist, definierte ports von aussen erreichbar zu machen und sichergestellt sein sollte, dass die jeweiligen Geräte mit dem Internet verbunden sind auch auch dementsprechend gewartet werden müssen.
Obwohl die meisten Provider in ihren Backbones bereits IPv6 einsetzen, gibt es leider erst einige wenige, die auch ihre Kunden mit der entsprechenden Connectivity versorgen. Einzelne schwarze Schafe glauben sogar noch immer, ohne IPv6 auszukommen.
Ein Pionier und Vorbild in Österreich ist die Firma ATnet, die sich bereits seit 1999 mit IPv6 beschäftigt und heute nicht nur ihren Standleitungskunden native Connectivity anbietet, sondern allen Interessierten einen kostenlosen Tunnel zur Verfügung stellt.
