The Cable Guy - Oktober 2005
Änderungen bezüglich IPv6 unter Windows Vista und Windows Server "Longhorn"
Von The Cable Guy
Alle auf Deutsch verfügbaren Cable Guy-Kolumnen finden Sie unter http://www.microsoft.com/germany/technet/community/columns/cableguy/cgarch.mspx
Microsoft Windows Vista und Windows Server "Longhorn" (zurzeit im Betatest) nutzen beide den Next Generation TCP/IP-Stack. Hierbei handelt es sich um einen neu entworfenen TCP/IP-Protokollstack, in den sowohl IPv4 (Internet Protocol version 4) als auch IPv6 (Internet Protocol version 6) integriert sind. Weitere Informationen zum neuen Protokollstack finden Sie im Artikel Next Generation TCP/IP-Stack unter Windows Vista und Windows Server Longhorn
Im vorliegenden Artikel werden die neuen Features von IPv6 und Teredo im Next Generation TCP/IP-Stack beschrieben.
Auf dieser Seite
 | IPv6 |
| Dual-IP-Layer-Architektur |
| Standardmäßig installiert und aktiviert |
| Teredo |
| Sicherheit mit IPv6 und Teredo |
| Zusätzliche Informationen |
IPv6
IPv6 soll langfristig die im Moment verwendete IPv4-Protokollsuite ersetzen, die bereits in den späten 70er-Jahren entwickelt wurde. IPv6 bietet gegenüber IPv4 die folgenden Vorteile:
| • | Größerer Adressraum - Der 128-Bit Adressraum von IPv6 bietet genügend Platz, um jedes Gerät im bestehenden und zukünftigen Internet mit einer eigenen, global gültigen Adresse auszustatten. |
| • | Effizienteres Routing - Durch den überarbeiten IPv6-Header und das neue Adressierungsschema, das eine hierarchische Routing-Infrastruktur unterstützt, können IPv6-Router den entsprechenden Netzwerkverkehr schneller weiterleiten. |
| • | Einfache Konfiguration - IPv6-Hosts können sich entweder über DHCP-Server (Dynamic Host Configuration Protocol) oder mithilfe eines lokalen Routers selbst konfigurieren. |
| • | Verbesserte Sicherheit - Die IPv6-Standards beheben einige der Sicherheitsprobleme von IPv4. Sie bieten einen besseren Schutz vor Adress- und Portscans. Sie schreiben vor, dass IPv6-Implementierungen IPsec (Internet Protocol security) unterstützen müssen und der Netzwerkverkehr so geschützt werden kann. |
Mit Windows Vista und Windows Server "Longhorn" ergeben sich außerdem die folgenden Änderungen bezüglich IPv6:
| • | Dual-IP-Layer-Architektur |
| • | Standardmäßig installiert und aktiviert |
Dual-IP-Layer-Architektur
Bei der IPv6-Implementation von Windows XP und Windows Server 2003 handelt es sich um eine Dual-Stack-Architektur - sie verwendet zwei verschiedene Protokollkomponenten für IPv4 und IPv6. Beide Komponenten nutzen eine eigene Transportschicht mit jeweils einer eigenen TCP- (Transmission Control Protocol) und UDP-Schicht (User Datagram Protocol).
Beim Next Generation TCP/IP-Stack handelt es sich hingegen um eine einzelne Protokollkomponente, die eine Dual-IP-Layer-Architektur unterstützt. In dieser Architektur nutzen IPv4 und IPv6 eine gemeinsame Transportschicht.
Standardmäßig installiert und aktiviert
IPv6 ist unter Windows Vista und Windows Server "Longhorn" standardmäßig installiert und aktiviert. Viele der Betriebssystemkomponenten von Windows Vista und Windows Server "Longhorn" unterstützen nun IPv6.
Die TCP/IP-Komponente von Windows Vista und Windows Server "Longhorn" umfasst sowohl IPv4 als auch IPv6. Wie unter Windows XP und Windows Server 2003 konfigurieren Sie die IPv4-Einstellungen über die TCP/IP-Eigenschaften und die IPv6-Einstellungen über die Kommandozeile mit netsh interface ipv6.
Um IPv6 im Next Generation TCP/IP-Stack für eine Schnittstelle zu deaktivieren, können Sie den folgenden Befehl verwenden:
| • | netsh netio add bindingfilter framing ipv6 fl68 block persistent |
Um IPv6 wieder zu aktivieren, verwenden Sie den folgenden Befehl:
| • | netsh netio delete bindingfilter framing ipv6 fl68 persistent |
Anmerkung: Damit die beiden Befehle wirksam werden, muss der Computer neu gestartet werden.
Wenn IPv4 und IPv6 aktiviert sind, bevorzugt der Next Generation TCP/IP-Stack IPv6. Wenn eine DNS-Abfrage beispielsweise IPv6- und IPv4-Adresse zurückgibt, dann versucht der Stack zuerst, über IPv6 zu kommunizieren (entsprechend den in RFC 3484 definierten Regeln).
Die Bevorzugung von IPv6 gegenüber IPv4 bietet IPv6-fähigen Anwendungen eine bessere Netzwerkkonnektivität. IPv6-Verbindungen sind nämlich zum Beispiel in der Lage, IPv6-Technologien wie Teredo zu nutzen (Teredo ermöglicht es Peer- oder Serveranwendungen, hinter NAT ausgeführt zu werden - und zwar ohne dass eine Neukonfiguration des NATs oder eine Veränderung der Anwendung notwendig wird).
Die standardmäßige Aktivierung von IPv6 und die Bevorzugung von IPv6 haben keine negativen Auswirkungen auf die IPv4-Konnektivität. In Netzwerken, in denen keine IPv6-DNS-Einträge zur Verfügung stehen, wird beispielsweise nicht über IPv6-Adressen kommuniziert (es sei denn, der Benutzer gibt explizit eine IPv6-Zieladresse an).
Um die Vorteile einer IPv6-Konnektivität zu nutzen, müssen Netzwerkanwendungen aktualisiert werden. Weite Informationen zu diesem Thema finden Sie im Artikel IPv6 Guide for Windows Sockets Applications (englischsprachig).
Anmerkung: Aufgrund falsch konfigurierter DNS-Server im Internet kann es möglich sein, dass Computer, die IPv4 und IPv6 nutzen, nicht in der Lage sind, Namen von Internet-Ressourcen aufzulösen oder Verbindungen mit diesen aufzubauen. Dieses sehr selten auftretende Problem kommt dann zustande, wenn ein fehlerhaft konfigurierter DNS-Server eine bestimmte IPv6-Anfrage erhält (für einen AAAA-Eintrag). Wenn der DNS-Server IPv6 nicht unterstützt, dann schlägt diese Anfrage fehl. Der anfragende Knoten sendet dann eine Anfrage für IPv4-Adressen (A-Einträge). Der fehlerhaft konfigurierte DNS-Server verwirft diese weitere Anfrage jedoch, und somit schlägt die Namensauflösung fehl. Wenn Sie sich mit diesem Problem konfrontiert sehen, bitten Sie Ihren ISP um eine Neukonfiguration Ihrer DNS-Server. Diese müssen nach einer fehlgeschlagenen Anfrage für einen AAAA-Eintrag folgende Anfragen für A-Einträge akzeptieren. Alternativ haben Sie natürlich auch die Möglichkeit, IPv6 auf dem anfragenden Computer zu deaktivieren. Die Ursache des Problems liegt wie gesagt auf dem DNS-Server, und es wirkt sich auf alle Computer aus, die IPv4 und IPv6 nutzen.
Teredo
Teredo ist eine IPv6-Technologie, die durch ein oder mehrere NATs voneinander getrennte IPv6/IPv4-Knoten eine End-To-End-Kommunikation mit globalen IPv6-Adressen ermöglicht. NATs werden im Allgemeineinen verwendet, um IPv4-Adressen zu sparen. Sie übersetzen Adressen und Portnummern für Hosts in privaten Netzwerken. Diese Hosts verwenden die entsprechenden privaten IPv4-Adressen.
NATs sorgen zwar dafür, dass der öffentliche Adressraum länger ausreicht, gleichzeitig untergraben sie jedoch die ursprünglichen Prinzipien, nach denen das Internet entworfen wurde - jeder Knoten sollte mithilfe einer global eindeutigen Adresse kommunizieren. Da die Computer hinter einem NAT nach außen hin alle durch eine oder mehrere öffentliche Adressen repräsentiert werden, können Server oder Peers in privaten Netzwerken nicht mit Servern oder Peers in anderen privaten Netzwerken kommunizieren - jedenfalls nicht ohne eine Anpassung des NATs oder eine Veränderung der Anwendungsprotokolle.
IPv6-Netzwerkverkehr auf Basis von Teredo kann ein NAT jedoch ohne eine solche Neukonfiguration des NATs oder eine Änderung der Anwendungsprotokolle passieren. Teredo-IPv6-Adressen sind globale Adressen. Sie sind im gesamten Internet eindeutig. Teredo stellt also die globale Adressierung und die End-To-End-Konnektivität für IPv6-Netzwerkverkehr in einer Umgebung wieder her, die für IPv4-Netzwerkverkehr keine globale Adressierung und End-To-End-Konnektivität unterstützt.
Teredo wurde zum ersten Mal mit dem erweiterten Netzwerkpaket für Windows XP mit Service Pack 1 veröffentlicht und ist in Windows XP Service Pack 2 und Windows Server 2003 Service Pack 1 enthalten. Es wird außerdem unter Windows Vista (standardmäßig aktiviert) und Windows Server "Longhorn" (standardmäßig deaktiviert) zur Verfügung stehen. IPv6-fähige Anwendung müssen nicht mehr zusätzlich geändert werden. Teredo ist nur einer der Wege, über die der Next Generation TCP/IP-Stack IPv6-Netzwerkverkehr senden und empfangen kann.
Im Gegensatz zu Windows XP und Windows Server 2003 unterstützen Windows Vista und Windows Server "Longhorn" die folgenden Szenarien:
| • | Teredo ist auf Domänencomputern aktiviert. Teredo hat sich unter Windows XP und Windows Server 2003 automatisch selbst deaktiviert, sobald ein Computer Mitglied einer Domäne wurde. Bei einem Domänenmitglied ist es wahrscheinlicher, dass eine native IPv6-Konnektivität oder ISATAP (Intra-Site Automatic Tunnel Addressing Protocol - eine weitere IPv6-Technologie) zur Verfügung steht. Trotzdem kann es sein, dass ein entsprechender Computer von einer IPv6-Konnektivität auf Basis von Teredo profitiert. |
| • | Teredo funktioniert nun auch dann, wenn sich ein Teredo-Client hinter einem oder mehreren symmetrischen NATs befindet. Ein symmetrisches NAT ordnet die gleichen internen Adressen und Ports mehreren externen Adressen und Ports zu (abhängig von der externen Zieladresse). Unter Windows XP und Windows Server 2003 deaktiviert Teredo sich selbst, wenn es erkennt, dass es sich hinter einem symmetrischen NAT befindet. |
Anmerkung: Bei Teredo-Netzwerkverkehr handelt es sich um IPv6-Pakete, die in IPv4-UDP-Nachrichten gekapselt wurden. Ein Teredo-Client kann keine Initialisierung durchführen oder kommunizieren, wenn ausgehender UDP-Netzwerkverkehr durch eine Firewall verworfen wird.
Sicherheit mit IPv6 und Teredo
Die standardmäßige Aktivierung von IPv6 und Teredo sorgt nicht dafür, dass Ihr Computer verwundbarer für Angriffe wird. Die folgenden Komponenten sorgen dafür, dass der Computer auch weiterhin geschützt ist:
| • | Die Windows Firewall ist unter Windows Vista und Windows Server "Longhorn" standardmäßig für IPv4- und IPv6-Netzwerkverkehr aktiviert. Somit wird jeglicher unerwünscht eingehender Netzwerkverkehr unterdrückt. |
| • | Die Windows Firewall ermöglicht Ausnahmen für erwünschten, unverlangt eingehenden Netzwerkverkehr über bestimmte TCP- oder UDP-Ports oder für bestimmte Programme. Die mit der Windows Firewall möglichen Ausnahmen sind sehr viel genauer als die mit normalen NATs möglichen Ausnahmen. |
| • | Die Windows Filtering Platform ist eine neue Architektur unter Windows Vista und Windows Server "Longhorn", mit der Software von Drittanbieter einen Zugriff auf die TCP/IP-Paketverarbeitung hat. Eingehende und ausgehende Pakete können so überprüft oder geändert werden, bevor sie weiter verarbeitet werden. So können ISVs beispielsweise Firewalls, Antiviren-Software, Diagnosesoftware oder andere Anwendungen und Dienste implementieren. Die Windows Filtering Platform wurde für IPv4 und IPv6 entworfen. |
Bei Computern unter Windows Vista sind IPv6, Teredo und Windows Firewall standardmäßig aktiviert. Sie schützen so vor unverlangtem oder unerwünschtem eingehenden IPv6-Netzwerkverkehr.
Weitere Informationen zur Sicherheit von IPv6 und Teredo finden Sie im Artikel Using IPv6 and Teredo (englischsprachig).
Zusätzliche Informationen
Weitere Informationen zu den in diesem Artikel besprochenen Themen finden Sie unter den folgenden Quellen:
| • | Next Generation TCP/IP-Stack unter Windows Vista und Windows Server Longhorn |
| • | Microsoft Internet Protocol Version 6 Website (englischsprachig) |
| • | |
| • | IPv6 Transition Technologies - Whitepaper (englischsprachig) |
| • |