Heute [6. Juni 2012] ist der World IPv6 Launch Day! Knapp 3000 Webseiten und Netzbetreiber schalten IPv6 frei und betreiben es gemeinsam mit IPv4 im dual-stack. Nachdem es letztes Jahr einen IPv6-Testtag gab, soll dieses Jahr IPv6 dauerhaft freigeschalten werden. Ein Grund IPv6 mal etwas genauer unter die Lupe zu nehmen und zu schauen, welche Auswirkungen es eigentlich auf uns hat.
IPv4, NAT, IPv6, Mac-Adresse – wieso, weshalb, warum?
Die 4,3 Milliarden IPv4-Adressen sind schon seit einiger Zeit fast aufgebraucht. Dies konnte noch eine geringe Zeit durch NAT, dem Network Address Translation, hinausgezögert werden. Hierzu wurden ein bestimmter IP-Adressraum als privat deklariert, der nicht im Internet verwendet wird. Diese Adressen können in vielen Netzwerken gleichzeitig verwendet werden. Bei der Kommunikation nach draußen ins Internet werden dann die netzwerkinternen, privaten IP-Adressen durch eine öffentliche IP-Adresse ersetzt, die sich alle gemeinsam Teilen. Dieser Austausch ist die Aufgabe des NATs.
Bei IPv6 wird ein NAT nicht mehr unbedingt benötigt, da mit den ungefähr 340 Sixtillionen Adressen jedes Gerät mit einer eigenen IP-Adresse ins Internet kann.
Eine IPv4-Adresse: 130.94.122.195
Eine IPv6-Adresse: 2001:0db8:85a3:08d3:1319:8a2e:0370:7344
Die IPv6-Adresse ist dabei in zwei Teile gegliedert: Der erste Teil, der Host-Teil, in der Beispiel-IPv6-Adresse nicht unterstrichen, wird Präfix genannt. Der Präfix wird vom Internet Service Provider (ISP) dem Internetanschluss zugewiesen.
Der zweite Teil, der Client-Teil, in der Beispiel-IPv6-Adresse unterstrichen, wird ‚Interface Identifier‘ genannt und wird von dem jeweiligen Gerät selbst berechnet – meist aus der sogenannten MAC-Adresse. Diese wiederrum ist eine jedem Netzwerkadapter fest zugewiesene, eindeutige Adresse und wird deshalb auch Hardware-Adresse genannt. Durch die Berechnung aus dieser eindeutigen Hardware-Adresse entsteht eine eindeutige IP-Adresse. Das Gerät ist auch an anderen Anschlüssen immer wieder erkennbar, da sich von Anschluss zu Anschluss nur das Präfix ändert – der Client-Teil bleibt aber immer gleich und ist weltweit einzigartig.
Die Vorteile von IPv6
Der offensichtlichste Vorteil ist, das es wieder mehr als ausreichend IP-Adressen gibt. Das erleichtert v.a. das Routing im Internet deutlich.
Außerdem kann jedes Gerät durch eine eigene IP-Adresse vollwertig am Internet teilnehmen IP basierte Dienste sind einfacher und unterbrechungsfrei nutzbar (z.B. IPTV oder VoIP). Server und Kommunikationsdienste gerade im Hinblick auf die zunehmende Vernetzung von Haushaltsgeräten aber auch sonstigen Alltagsgegenständen werden durch eigene IP-Adressen überhaupt erst in der Masse möglich.
Die Privacy-Probleme von IPv6
Das größte Problem ist die Berechnung des Client-Teils der IP-Adresse (im Beispiel unterstrichen) aus der MAC-Adresse. Dadurch entsteht eine eindeutige Adresse, die auch bei einem Anschlusswechsel erhalten bleibt. Das Gerät und somit der Anwender können durch die immer gleiche Adresse im Internet sofort erkannt werden – damit wäre Usertracking bereits auf IP-Adressebene möglich.
Um diese Problematik zu umgehen wurden die Privacy Extensions entwickelt. Sind diese aktiviert wird ein zufällig berechneter Client-Teil verwendet und in bestimmten (und meist auch bestimmbaren) intervallen durch neue, zufällige Client-Teile ersetzt.
Bei Microsoft Windows sind die Privacy Extensions ab Windows XP (Service Pack 2) standardmäßig aktiviert. In den meisten Linux-Distributionen sind diese nicht standardmäßig aktiviert. Eine Anleitung wie man diese aktiviert findet sich hier. Auch im Apple Betriebssystem Mac OS X sind die Privacy Extensions nicht standardmäßig aktiviert – eine Anleitung zum aktivieren findet sich hier.
Schlechter sieht es bei den Mobilgeräten aus: Android unterstützt die Privacy Extensions, sie lassen sich aber nicht ohne weiteres freischalten. Das Apple Mobilsystem iOS (iPad, iPhone) aktiviert die Privacy Extensions erst ab Version 4.3.
Neben den Client-Teil ist aber auch der Host-Teil datenschutztechnisch problematisch. Die aus der Not der Adressknappheit heraus entstandene dynamische Zuweisung der IPv4 Adressen schaffte im Internet eine gewisse Anonymität, da der immer wieder wechselnden IP-Adresse Nutzer nur bedingt zugeordnet werden konnten.
Wird der Präfix nun statisch zugewiesen, wäre es ähnlich wie bei einer statischen IPv4 Adresse möglich den einzelnen Anschluss immer wieder zu erkennen und zu lokalisieren. Zudem wäre es möglich die verschiedenen Nutzer hinter einem statischen Präfix nach und nach zu identifizieren und die Nutzer und den Ort zu korrelieren. Außerdem wäre es möglich den einzelnen Nutzer über verschiedene statische Präfixe und damit verschiedene Orte hinweg zu verfolgen. Dies ist auch bei eingeschalteten Privacy Extensions, beispielsweise über Cookies oder Anmeldedienste, möglich. Allerdings ist auch bisher schon eine grobe Geolokalisation der dynamischen IPv4/IPv6-Adressen und damit der Geräte möglich. Allerdings sind dies nur grobe Einschätzungen mit statischen IP-Adressen ließe sich die Genauigkeit auf Dauer deutlich steigern.
Weitere Probleme von IPv6
Durch IPv6 ist jedes Gerät ein vollwertiger Teil des Internets mit eigener IP-Adresse. Geräte werden direkt adressierbar und sind nicht mehr vom Internet abgetrennt in einem privaten Netzwerk hinter einem NAT. Dadurch ergeben sich neue Möglichkeiten, aber auch neue Gefahren. Jedes Gerät muss nun in der Lage sein sich gegen Angriffe von außen selbst zu schützen, da es direkt Ansprech- und dadurch Angreifbar ist.
Aktueller Stand und Fazit
Der aktuelle Stand ist, dass auch trotz World IPv6 Launch Day, kaum ein ISP IPv6 für Heimanwender anbietet. Es laufen zwar erste Tests seitens der ISPs, allerdings ist noch völlig unklar wann IPv6 für den Privatanwender verfügbar sein wird. Genauso unklar ist, ob IPv6 Adressen dynamisch oder statisch zugewiesen werden.
Für eine datenschutzkonforme Ausgestaltung von IPv6 müssen die Privacy Extensions standardmäßig aktiviert sein. Die Wahlfreiheit der Nutzer schließt ein, dass die Privacy Extensions leicht ein- und ausgeschaltet werden können. Von den ISPs müssen die Internetanschlüsse standardmäßig mit dynamischen Präfixen angeboten werden. Den Kunden sollten aber auch Internetanschlüsse mit statischen Präfixen ohne Aufpreis angeboten werden. Bedenkenswert wäre auch die Idee der Zuweisung eines dynamischen und eines statischen Präfixes, welche der Kunde dann für verschiedene Anforderungen nutzen könnte.