Cisco fühlt sich mit IPv6 sicher

EnterpriseSicherheit

“Richtig gut nur mit Hardware”

IPv6, die sechste Version des Internetprotokolls soll mit unvorstellbar viel Adressraum nun die Angsthasen unter den Kritikern beschwichtigen. Dies allerdings nur mit entsprechender Technik, die jetzt nach dem Branchenführer Cisco alle Netzwerker anbieten wollen. Klaus Lenssen, Business Development Manager bei Cisco, lässt sich von der IPv6-Hysterie nicht anstecken.

“Wir hatten die ersten, jetzt kommerziell verfügbaren Netzwerkkomponenten seit gut einem Jahr implementiert, vorher haben wir, wie bei uns üblich die Techniken in ausgewählten Bildungseinrichtungen zu Testzwecken laufen lassen und die Fehler behoben. Das Thema ist also für uns nicht neu”, sagte er im Gespräch mit silicon.de.

Im Gegenteil, er sieht deutlich technische Hürden erwachsen und erklärt: “Bei IPv6 ist die Länge des Headers im Gegensatz zu der Vorgängerversion v4 variabel; daraus resultiert einerseits ein flexibleres Format, aber die Varianz in der Header-Größe ist komplizierter in Hardware abzubilden.”

Die in IPv4 Firewalls verwendeten Stateful-Inspection Verfahren müssen an die flexible Header-Struktur von IPv6 angepasst werden. “Hierfür eine leistungsfähige Software Implementierung zu entwickeln, ist eine Herausforderung, die wir jedoch mit der gerade vorgestellten IOS IPv6-Firewall gelöst haben.” Die Cisco IPv6 IOS Firewall ist dabei Teil des Cisco IOS Betriebssystems und läuft auf allen Router Plattformen. Sie unterstützt IPv6 Verkehr mit TCP, UDP und ICMP.

So sei die unterschiedliche Header-Länge relativ problemlos mit Software zu erfassen. Die flexiblen Header würden die Entwicklungszeit für die Designer sehr verlängern und seien außerdem schwer zu identifizieren. Das ziehe einen zeitaufwändigen Prozess nach sich. "Der Implementierungsaufwand bei Firewalls wächst und dadurch wird der Verkehr logischerweise gebremst. Dem kann man mit einer effektiver gebauten Hardwareumgebung begegnen, sonst sind die technischen Vorteile schnell wieder verloren. Nur so kann man die Bandbreite auch gewährleisten", erklärt der Cisco-Mann.

Besonders schwierig, so beschreibt er, hätten es die Carrier in ihren Netzen: "Vieles geht dort nur mit Hardware." Das erforderten die notwendige Leistungsfähigkeit der Netzkomponenten und der erforderliche Datendurchsatz, sowohl beim Volumen, als auch bei der Geschwindigkeit. "Größere Bandbreiten brauchen einfach Hardware-Unterstützung. Deshalb verfügen die meisten unserer Router bereits über eine Hardware-Beschleunigung für IPv6."

Auf der technischen Seite gefällt dem Cisco-Manager an den neuen IPv6-fähigen Firewalls, die auf einer Messe letzte Woche vorgestellt worden waren, aber besonders eines: "Die unsichtbaren Teilnehmer einer Kommunikation fallen weg." Was das heißt: "Bislang hat NAT, also Network Adress Translation, bei Einsatz einer Firewall alle Adressen in einem definierten Raum unsichtbar gemacht – beispielsweise bekam ein Unternehmen durch eine solche NAT-Firewall nur noch eine Adresse zugeteilt. Direkte, gesicherte Ende-zu-Ende Verbindungen sind so nur schwer zu realisieren."

Im erweiterten IPv6 Adressraum ist jedoch kein NAT nötig, es sei genug Platz für alle nur denkbaren Geräte, beispielsweise PDAs oder andere nicht-PC-basierte Geräte und ihre IP-Adressen. Lenssen: "Damit sind neue Anwendungen möglich, NAT entfällt, die Verbindungen laufen End-to-End und lassen sich besser absichern."