Am 08.02.19 um 20:45 schrieb Stephan von Krawczynski:
> On Fri, 8 Feb 2019 17:37:42 +0100
> Marcus Graf <m.graf(a)shoplogistics.de> wrote:
>
>> Am 08.02.19 um 16:12 schrieb Stephan von Krawczynski:
>>> On Fri, 8 Feb 2019 14:20:08 +0100
>>> Martin Schröder <martin(a)oneiros.de> wrote:
>>>
>>> Das Argument hast Du natuerlich weggekuerzt, ist ja auch schlecht
>>> wenn man
>>> kein Gegenargument hat. IPV6 ist endlich und deshalb keine Loesung fuer
>>> ausgehende IP-Adressen.
>> Moin, moin,
>>
>> ja, auch IPv6 ist endlich...
>>
>> ... aber wenn man sich mal die Zahlen genauer anschaut, sollte klar
>> werden, dass das Problem ausgehender IP-Adressen damit *nicht* nur
>> "ein paar Jahre" in die Zukunft verschoben wurde.
>>
>> IPv4 hat 2^32 Adressen (ok, wegen Multicast, localnet usw. nicht alle
>> nutzbar)
>>
>> (Diese Sonderbereiche lasse ich bei IPv6 auch außen vor. Damit ist
>> die folgende Rechnung nicht ganz exakt, aber es geht ja auch nur um
>> die Größenordnungen.)
>>
>> Bei IPv6 vergibt man statt einer einzelnen Adresse ein oder mehrere
>> /64 Subnets an den User. Jeder Enduser (Firma oder Privatperson) hat
>> damit mindestens 2^64 Adressen - das gesamt bisherige Internet im
>> Quadrat - für seine lokale Adressierung zur Verfügung. Ich kann mir
>> nicht vorstellen, dass das jemand in seinem lokalen Netz jemals
>> wirklich ausnutzen kann. Auch wenn sich das IoT ganz massiv ausdehnt,
>> wird in absehbarer Zeit niemand im Wohnzimmer ein Netz von der Größe
>> des heutigen Internet haben - und selbst dann wäre das in lokale Netz
>> nur zu einem verschwindend kleinen Bruchteil genutzt.
>>
>> Damit hat sich auch der Bedarf für NAT beim Enduser eigentlich
>> erledigt. (Ok, es gibt andere Argumente für NAT, aber Adressknappheit
>> fällt als Argument zukünftig aus.)
>>
>> Wenn man an Privatuser /64er Netze vergibt, hat man 2^64 Netze - d.h.
>> die Anzahl der möglichen Anschlüsse ist 2^32 (~ 4 Milliarden) mal so
>> hoch wie bisher bei IPv4.
>>
>> An Firmen werden heute oft /56er Netze vergeben - auch damit ist die
>> Anzahl der möglichen Anschlüsse noch 2^24 (~ 16 Millionen) mal so
>> hoch wie bisher bei IPv4.
>>
>> Mal angenommen, die Bevölkerung würde von derzeit knapp 8 Milliarden
>> um den Faktor 1000 auf 8 Billionen zunehmen (vielleicht nicht nur
>> hier auf der Erde) und wir geben jedem /56er Subnetze, dann komme ich
>> überschlagsmäßig immer noch auf rund 9000 mögliche Anschlüsse (mit
>> jeweils 256 /64er Subnetzen) pro User.
>>
>> (Natürlich hinkt diese Rechnung wie jede Überschlagsrechnung. Aber
>> die reine Größenordnung der Zahlen sollte klar machen, dass hier auch
>> bei heftigen Reibungsverlusten (selbst in der unrealistischen
>> Größenordnung von Faktor 100) noch sehr viel Luft drin ist.)
>>
>> IPv6 sollte also sogar die Ausdehnung der Menschheit über das gesamte
>> Sonnensystem locker verkraften.
>>
>> Gruß
>> Marcus
> Ich seh schon, Du bist ein Anhaenger der "wahren IPv6-Lehre". :-)
> In der wurde tatsaechlich propagiert dass jeder Benutzer einen ganzen
> Haufen
> geroutete IPs bekommt und deshalb kein NAT mehr braucht.
> Also diese "Lehre" hielt sich ungefaehr bis zu dem Tag an dem der erste
> Security-Mensch mit diesen v6-Glaeubigen gesprochen hat. Danach war
> dann jedem
> schnell klar, dass _heute_ der Hauptsinn von NAT nicht darin besteht den
> Adressraum zu vergroessern, sondern darin den Adressraum zu "ver-inseln".
> Nur innerhalb so eines Inselkonzeptes gibt es die passive Sicherheit dass
> Routing _hinein_ garantiert nicht geht.
Du hast mit Deinen Ausführungen bezüglich Firewall und Routing durchaus
recht. Dass es auch gute Argumente für NAT gibt, habe ich - siehe oben -
sogar ausdrücklich erwähnt, das war aber nicht das Thema. Bei meinem
Text ging es rein um die Abschätzung, wie lange der - zugegebenermaßen -
endliche Adressraum von IPv6 reichen wird.
> Bleibt noch die Frage der schieren Groesse des Adressraums. v4 wurde
> "geleert"
> durch Leute die /8 Netze haben und mit diesen voellig unverantwortlich
> umgehen. Im Moment verteilen wir also einen echt groesseren Adressraum
> an noch
> mehr unverantwortlich Handelnde. Das bringt so nichts.
Ja, die damalige Adressvergabe von /8 war aus heutiger Sicht extrem
großzügig. Da man damals von einer sehr viel geringeren zukünftigen
Größe des Netzes ausgegangen ist, ist diese alte Vergabepraxis aber noch
irgendwie nachvollziehbar. Viele dieser Bereiche hat man sich in den
letzten Jahren ja auch wieder zurückgeholt.
Es gibt zwar immer noch große ungenutzte Adressbereiche, aber auch die
vollständige Nutzung von IPv4 würde unser Problem nicht lösen. Vier
Milliarden IPv4-Adressen gegenüber knapp acht Milliarden Menschen - da
ist klar, dass IPv4 nicht mehr reichen kann.
> Ich gehoere zu den
> Menschen die seit dem ersten Tag mit Internet zu tun haben - den
> ersten Tagen
> des Internet. Damals konnte man ueberall hoeren dass der Adressraum
> nie enden
> wuerde, weil er so "gross" ist. Heute wird genau dasselbe erzaehlt -
> wieder
> ohne jede mathematische Grundlage.
Da dürften wir ungefähr im gleichen Alter sein ;-)
Man muss sich vergegenwärtigen, dass man bei der Entwicklung von IPv4
von einer begrenzten Anzahl Computer in Großfirmen, Universitäten usw.
ausgegangen ist. An die heutigen Verhältnisse mit mehreren
Internet-Anschlüssen pro Person (DSL-/Kabelanschluss daheim, mobile
Daten auf dem Handy, vielleicht auch noch ein Laptop mit SIM-Karte (ok,
ist wieder seltener geworden, man nutzt eher den Zugang über das Handy
mit), dazu Auto mit SIM-Karte usw.) hat man damals nicht gedacht.
Ich sehe aber meine Abschätzung durchaus als (zugegeben sehr einfache)
"mathematische Grundlage". Selbst bei einer Vergabe von /56 für jeden
Anschluss haben wir noch eine Menge Luft: Über neun Millionen /56er
Netze für jeden Menschen auf der Erde - da fällt mir im Moment keine
noch so verschwenderische Nutzung ein, mit der man das schnell
aufbrauchen könnte. Und wir reden hier ja nur von den einem
Internet-Anschluss zugeordneten Subnetzen. Wenn man dann noch bedenkt,
dass dann hinter einem solchen Anschluss eine gigantische Zahl Endgeräte
hängen könnte, so wird ein Einsatzszenario, das diesen Adressraum
sprengt, schon recht interessant.
Mal ganz abgesehen davon, dass alle diese Geräte ja auch Strom brauchen
würden. Selbst bei einem minimalen Stromverbrauch von irgendwelchen
IoT-Sensoren kommt man bei einer nennenswerten Belegung des IPv6
Adressraums auf Größenordnungen, die klar zeigen, dass wir diesen
Adressraum nicht voll machen können, weil wir die Energie für die ganzen
Geräte überhaupt nicht hätten. (Und in absehbarer Zukunft auch nicht
haben werden.)
Aber Deine Argumentation zielt ja eigentlich auch in eine andere Richtung:
Ja, natürlich: Mit einer zu freizügigen Vergabe von großen Netzbereichen
könnte auch der Adressraum von IPv6 schnell vergeben sein.
Ich denke aber, dass man aus der IPv4-Vergangenheit gelernt hat, und die
alten Fehler vermeiden wird. Im Moment habe ich auch nicht den Eindruck,
dass die Vergabepraxis übertrieben großzügig ist. Und auch hier muss man
sich nochmal klar machen, mit welchen Zahlengrößen wir hier operieren:
Selbst bei einer durchgängigen Vergabe von /48er Netzen wären das immer
noch über 35.000 Netze für jeden von 8 Milliarden Menschen.
> Endliche Resourcen sind endlich. Wann werden Menschen diese Binsenweisheit
> akzeptieren?
Natürlich ist auch IPv6 endlich. Bei der momentanen Lage reden wir da
aber wohl nicht von "ein paar Jahren" oder Jahrzehnten - das wird
"etwas" länger dauern.
> Es waere ein Leichtes gewesen es besser zu machen, aber man
> wollte nicht, weil der Standard von Industriehoerigen und
> Ueberwachungsfanatikern konstruiert wurde. Deshalb musste es
> gleichermassen
> billig sein (IPs mit festen Laengen sind in Chiplogik einfach und
> billig) und
> bar jeder Sicherheitsueberlegung. Und genau so ist es jetzt: billig und
> unsicher.
Billig: Ja.
Natürlich sind feste Adresslängen in Hardware einfacher zu behandeln und
daher billiger. Dazu kommt als zweites Argument die
Arbeitsgeschwindigkeit, die in den Core-Routern eine nicht unwichtige
Rolle spielt. Natürlich könnte man sich eine hierarchisch aufgebaute
Adressierung variabler Länge vorstellen - ähnlich wie das Domainsystem
aber für Routingbereiche - aber man hat die Lösung mit fester
Adresslänge vorgezogen. Den Nachteil der Endlichkeit hat man dabei in
Kauf genommen - was ich durchaus nachvollziehen kann. Selbst, wenn meine
oben durchgeführten Abschätzungen um eine oder zwei Größenordnungen
daneben lägen, haben wir mit IPv6 so viel Zeit, dass bis dahin die
Technik ganz anders aussehen wird, als wir es uns heute vorstellen können.
Daher stört mich die Entscheidung für eine längenbegrenzte und damit
endliche Adressierung überhaupt nicht.
Aber "unsicher"? Das musst Du mir erklären.
Für mich setzt Sicherheit (in den Spielarten Datenintegrität,
Vertraulichkeit usw.) auf höheren Netzebenen an. Inwiefern hat die Wahl
einer Adressierungsmethode wie IPv6 einen negativen Einfluss auf die
Sicherheit? Was würdest Du dir als bessere Alternative vorstellen?
Gruß
Marcus
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe(a)opensuse.org
Um den Listen Administrator zu erreichen, schicken
Sie eine Mail an: opensuse-de+owner(a)opensuse.org
