_CORE
Leistungen
KI & Agentensysteme Unternehmensinformationssysteme Cloud & Platform Engineering Datenplattform & Integration Sicherheit & Compliance QA, Testing & Observability IoT, Automatisierung & Robotik Mobile & Digitale Produkte
Branchen
Banken & Finanzen Versicherungen Öffentliche Verwaltung Verteidigung & Sicherheit Gesundheitswesen Energie & Versorgung Telko & Medien Industrie & Fertigung Logistik & E-Commerce Retail & Treueprogramme
Referenzen Technologien
Lab
Blog Know-how Tools
Über uns Zusammenarbeit Karriere
CS EN DE
Lassen Sie uns sprechen

IPv6-Umstellung in der Unternehmensinfrastruktur

22. 08. 2012 4 Min. Lesezeit CORE SYSTEMSai
IPv6-Umstellung in der Unternehmensinfrastruktur

RIPE NCC gab im September 2012 bekannt, dass der letzte Block von IPv4-Adressen in Europa zugeteilt wurde. Der World IPv6 Launch im Juni 2012 markierte die permanente Aktivierung von IPv6 bei großen Providern. Für die Unternehmens-IT ist die Frage nicht mehr ob, sondern wie schnell der Umstieg auf IPv6 erfolgt.

Warum IPv6 jedes Unternehmen betrifft

IPv4 verfügt über circa 4,3 Milliarden Adressen. Mit der Anzahl verbundener Geräte — Server, Computer, Telefone, Tablets, Drucker, Sensoren — reicht das nicht mehr aus. NAT hat die Lebensdauer von IPv4 verlängert, bringt aber eigene Probleme mit sich: Konfigurationskomplexität, Schwierigkeiten bei Peer-to-Peer-Kommunikation, Komplikationen bei VPN und Videokonferenzen.

IPv6 bietet 340 Undezillionen Adressen — praktisch unbegrenzten Adressraum. Jedes Gerät kann eine globale Adresse haben. Das vereinfacht das Routing, eliminiert die Notwendigkeit von NAT und ermöglicht Ende-zu-Ende-Konnektivität.

Für tschechische Unternehmen ist wichtig, dass CZ.NIC und tschechische ISPs IPv6 aktiv unterstützen. Seznam.cz, Google.cz und andere wichtige Dienste sind bereits über IPv6 erreichbar. Diesen Trend zu ignorieren bedeutet, Verfügbarkeitsprobleme in der Zukunft zu riskieren.

Dual-Stack als empfohlene Strategie

Wir empfehlen nicht, auf reines IPv6 umzustellen — die meisten internen Anwendungen und Dienste unterstützen IPv6 noch nicht nativ. Stattdessen empfehlen wir einen Dual-Stack-Ansatz: Jedes Gerät und jeder Server hat sowohl eine IPv4- als auch eine IPv6-Adresse.

Dual-Stack erfordert:

  • Router und Switches mit IPv6-Unterstützung — die meisten Enterprise-Geräte von Cisco, Juniper und HP aus den letzten 3–4 Jahren beherrschen IPv6. Ältere Geräte benötigen möglicherweise ein Firmware-Upgrade.
  • DHCP und DNS — Windows Server 2008 R2 und neuer unterstützen DHCPv6. DNS muss AAAA-Einträge bedienen können. BIND 9 und Windows DNS können das.
  • Firewall-Regeln für IPv6 — dies ist ein kritischer Punkt. Viele Unternehmen haben ausgefeilte IPv4-Regeln, während IPv6-Datenverkehr unkontrolliert passiert.
  • Monitoring — Tools wie Nagios, Zabbix und PRTG müssen beide Protokolle überwachen.

Adressplan für das Unternehmensnetzwerk

Mit IPv6 erhalten Sie von Ihrem Provider typischerweise ein /48-Präfix, was 65.536 Subnetze ergibt, jedes mit 2^64 Adressen. Wir empfehlen einen strukturierten Adressplan:

2001:db8:abcd:0001::/64 — Management-VLAN
2001:db8:abcd:0010::/64 — Produktionsserver
2001:db8:abcd:0020::/64 — Dev/Test-Server
2001:db8:abcd:0100::/64 — Benutzer-Arbeitsplätze
2001:db8:abcd:0200::/64 — WLAN / BYOD
2001:db8:abcd:0300::/64 — Gastnetzwerk
2001:db8:abcd:0f00::/64 — DMZ

Verwenden Sie eine logische Subnetz-Nummerierung, die Ihrer bestehenden VLAN-Struktur entspricht. Das erleichtert Verwaltung und Fehlersuche.

IPv6-Sicherheitsaspekte

IPv6 bringt spezifische Sicherheitsrisiken mit sich, die uns bei Kunden begegnet sind:

Unkontrollierter IPv6-Datenverkehr. Windows Vista und neuer haben IPv6 standardmäßig aktiviert. Wenn Ihr Netzwerk keine IPv6-Infrastruktur hat, erstellen Systeme Link-Local-Adressen und können möglicherweise außerhalb der Reichweite Ihrer Firewall kommunizieren. Entweder IPv6 aktiv verwalten oder auf Arbeitsstationen deaktivieren.

Rogue Router Advertisement. In IPv6 können sich Geräte automatisch über Router-Advertisement-Nachrichten konfigurieren. Ein Angreifer kann ein gefälschtes RA senden und den Datenverkehr umleiten. Die Lösung ist RA Guard auf den Switches.

Größere Paket-Header. Der IPv6-Header ist 40 Bytes groß im Vergleich zu 20 Bytes bei IPv4. Einige ältere Firewalls und IDS/IPS-Systeme können IPv6-Pakete nicht korrekt analysieren — testen Sie vor dem Einsatz.

Tunneling. Mechanismen wie 6to4, Teredo und ISATAP können Firewall-Regeln umgehen. Wir empfehlen, diese Protokolle im Unternehmensnetzwerk zu blockieren und nur nativen Dual-Stack zu verwenden.

Anwendungen und Middleware

Die meisten modernen Applikationsserver unterstützen bereits IPv6. Apache Tomcat 7, JBoss AS 7, WebLogic 12c — alle funktionieren problemlos im Dual-Stack-Betrieb. Achten Sie auf:

  • Fest einprogrammierte IP-Adressen — Anwendungen mit IPv4-Adressen in ihrer Konfiguration oder im Code statt DNS-Namen funktionieren nicht über IPv6
  • Socket-Programmierung — älterer Java-Code, der java.net.Socket mit expliziten IPv4-Adressen verwendet, muss aktualisiert werden
  • Logs und Auditing — IPv6-Adressen sind länger. Prüfen Sie, ob Ihre Log-Parser und Ihr SIEM das IPv6-Format verarbeiten können
  • Datenbanken — Oracle 11g, PostgreSQL 9.x und MySQL 5.6 unterstützen IPv6-Verbindungen

Testumgebung

Vor dem Produktiveinsatz empfehlen wir die Einrichtung eines IPv6-Testsegments. Das Vorgehen:

  1. Ein VLAN für IPv6-Tests designieren
  2. Router mit RA für automatische Konfiguration einrichten
  3. Testserver mit Dual-Stack verbinden
  4. Schlüsselanwendungen testen — E-Mail, Web, Datenbank, VPN
  5. Firewall-Regeln überprüfen — werden IPv6-Pakete korrekt gefiltert?
  6. Monitoring prüfen — sehen Sie IPv6-Datenverkehr in Ihren Graphen?

Der gesamte Test dauert 2–3 Wochen. Das Ergebnis ist ein klares Bild der Bereitschaft Ihrer Infrastruktur.

Zeitplan für die Umstellung

Wir empfehlen einen phasenweisen Ansatz:

  • Phase 1 (1–2 Monate): Infrastruktur-Audit. Welche Geräte unterstützen IPv6? Welche Anwendungen haben fest einprogrammierte IPv4-Adressen?
  • Phase 2 (2–3 Monate): Testumgebung. Dual-Stack auf ausgewählten Segmenten.
  • Phase 3 (3–6 Monate): Produktiveinsatz. Dual-Stack auf allen Segmenten, IPv6 auf externen Diensten.
  • Phase 4 (fortlaufend): Optimierung. Schrittweise Beseitigung von IPv4-Abhängigkeiten.

Zusammenfassung

IPv6 ist nicht die Zukunft — es ist die Gegenwart. Der World IPv6 Launch im Juni 2012 hat das bestätigt. Tschechische Unternehmen haben den Vorteil einer qualitativ hochwertigen Infrastruktur und aktiver Unterstützung durch CZ.NIC. Dual-Stack ist der sichere Weg, der eine schrittweise Umstellung ohne Ausfallrisiko ermöglicht. Beginnen Sie mit einem Audit und einer Testumgebung — die ersten Schritte sind einfacher als sie scheinen.

ipv6networkinginfrastructuresecurity
Teilen:

CORE SYSTEMS

Wir bauen Kernsysteme und KI-Agenten, die den Betrieb am Laufen halten. 15 Jahre Erfahrung mit Enterprise-IT.

Brauchen Sie Hilfe bei der Implementierung?

Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.

Kontaktieren Sie uns

Verwandte Artikel

BYOD und die Sicherheit des Unternehmensnetzwerks

Bring Your Own Device verändert die Spielregeln. Wie sichert man ein Unternehmensnetzwerk, wenn Mitarbeiter ihre...

Apache HTTP Server als Reverse Proxy

Apache HTTP als Reverse Proxy für Tomcat/GlassFish. SSL-Terminierung, Security-Header, statische Dateien.

Wie man sein Heimnetzwerk absichert

Ein praktischer Leitfaden zur Absicherung Ihres Heimnetzwerks — Router, DNS, VPN, Segmentierung.