IPv6 Einführung & Zielsetzung Artikel

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

IPv6 – Organisatorische Umsetzung

IPv6 ist nicht nur ein neues Netzwerkprotokoll, sondern ein Organisationsprojekt. Wer IPv6 lediglich technisch einführt, riskiert unkontrollierte Nebenwirkungen im Betrieb, in der Sicherheit und in der Dokumentation. Erst klare Zuständigkeiten, Regeln und Prozesse schaffen die Grundlage für eine stabile und auditfähige IPv6-Infrastruktur.

Bedeutung der organisatorischen Umsetzung

Bei IPv6 geht es nicht darum, einzelne Router zu konfigurieren, sondern darum, wie die gesamte Organisation den Betrieb, die Sicherheit und die Verantwortung steuert. IPv6 wirkt in viele Bereiche gleichzeitig hinein:

  • Netzplanung und Architektur
  • Sicherheitsrichtlinien und Governance
  • Change- und Konfigurationsmanagement
  • Dokumentation und Nachvollziehbarkeit
  • Schulung und Kompetenzaufbau

Fehlt diese organisatorische Steuerung, entsteht ein unkontrollierter Dual-Stack-Betrieb, der weder nachvollziehbar noch prüfbar ist. Die Folge sind Schattenstrukturen, Sicherheitslücken und unkalkulierbare Betriebsrisiken.

Governance und Zuständigkeiten

IPv6 muss als fester Bestandteil der IT-Governance verstanden werden. Governance beschreibt die Gesamtheit der Regeln, Verfahren und Verantwortlichkeiten, mit denen eine Organisation IT betreibt und steuert.

In der Praxis bedeutet das:

  • Verantwortung: Eine zentrale IPv6-Verantwortung (z. B. Netzwerkarchitekt oder IPv6-Koordinator) muss benannt sein.
  • Entscheidungswege: Wer genehmigt neue Präfixe, Zonen oder Routingänderungen?
  • Kontrolle: Wie werden IPv6-Regeln überprüft, freigegeben und auditiert?
  • Dokumentation: Welche Systeme sind führend (IPAM, CMDB, Doku-Portal)?

IPv6 ist damit kein Projekt der Technik, sondern Teil der Führungsstruktur einer Organisation.

Integration in ITSM-Prozesse

Ein geregelter IPv6-Betrieb erfordert die Anpassung bestehender Prozesse aus dem IT-Service-Management (z. B. nach ITIL oder BSI 200-2):

  • Change-Management:
 IPv6-bezogene Änderungen (z. B. neue Präfixe, Routen, DHCPv6-Konfigurationen) müssen durch ein standardisiertes Änderungsverfahren gehen.  
 Jede Änderung ist dokumentiert, rückverfolgbar und freigegeben.
  • Configuration-Management (CMDB):
 IPv6-Objekte (Adressen, Schnittstellen, VLANs, DNS-Records, Firewalls) werden als Konfigurationselemente gepflegt.  
 Nur so ist später nachvollziehbar, wer wann welche Adresse oder Schnittstelle genutzt hat.
  • Incident-Management:
 IPv6-Störungen müssen in Tickets und Logs korrekt erfasst werden. Tools und Mitarbeiter müssen IPv6-fähig sein (z. B. tcpdump, netcat, SIEM).
  • Problem-Management:
 Wiederkehrende IPv6-Probleme werden analysiert, dokumentiert und durch Prozessanpassungen dauerhaft beseitigt.

Dokumentation und Nachvollziehbarkeit

IPv6 erfordert eine präzise und kontinuierliche Dokumentation. Adressbereiche, Präfixe und Subnetze sind größer und komplexer als bei IPv4, daher ist eine manuelle Verwaltung kaum praktikabel.

Dokumentationspflichtige Informationen:

  • Verwendete Präfixe (ULA, GUA)
  • Zuordnung zu VLANs, Routern, Firewalls und Hosts
  • DHCPv6-Scopes, RA-Quellen, DNS-Einträge
  • Verantwortliche Personen oder Teams
  • Änderungsdatum und Freigabehistorie

Führende Systeme sind meist:

  • IPAM (IP Address Management): Verwaltung von IPv4/IPv6-Räumen, DNS/DHCP-Integration.
  • CMDB (Configuration Management Database): Beziehungen zwischen Geräten, Diensten und Adressen.

Nur vollständige Dokumentation erlaubt eine revisionssichere Betriebsführung.

Sicherheit und Compliance

IPv6 verändert die Sicherheitsarchitektur fundamental:

  • Jeder Host kann eine global erreichbare Adresse besitzen.
  • Firewalls, IDS/IPS und NAC-Systeme müssen IPv6-fähig sein.
  • ICMPv6 darf nicht vollständig blockiert werden, sondern selektiv nach Typ und Code gefiltert.
  • Übergangstechniken (z. B. Teredo, ISATAP, 6to4) können Sicherheitskontrollen umgehen.
  • RA- und DHCPv6-Quellen müssen autorisiert und dokumentiert sein.

Die organisatorische Konsequenz: IPv6 erfordert verbindliche Sicherheitsrichtlinien, Prüfprozesse und Schulungen. Ein Sicherheitskonzept ohne IPv6-Betrachtung gilt als unvollständig.

Schulung und Awareness

IPv6 darf nicht nur von Spezialisten verstanden werden. Jede operative Rolle braucht ein Mindestmaß an IPv6-Kompetenz:

  • Helpdesk: Grundverständnis von Adressen, Erreichbarkeit und Tools (ping6, traceroute6, nslookup).
  • Betrieb: Umgang mit RA/DHCPv6, Firewall-Logs, DNS64/NAT64.
  • Security: Erkennen und bewerten von IPv6-bezogenen Angriffen.
  • Management: Verständnis der organisatorischen Bedeutung, Kosten und Risiken.

IPv6-Awareness ist Teil des Informationssicherheitsmanagements (ISMS).

Risiken fehlender Organisation

Fehlt die organisatorische Einbettung, entstehen folgende Probleme:

  • Keine Zuständigkeit – niemand fühlt sich verantwortlich.
  • Fehlende Nachvollziehbarkeit – Änderungen sind nicht dokumentiert.
  • Sicherheitslücken – durch unkontrollierte RAs oder Tunnel.
  • Doppelkonfigurationen – IPv4-Policies und IPv6-Regeln laufen auseinander.
  • Audit-Findings – fehlende IPv6-Abdeckung in Sicherheitsnachweisen.
  • Nachbesserungskosten – Korrektur von Wildwuchs ist teurer als strukturierte Einführung.

Ein IPv6-Netz ohne organisatorische Kontrolle ist nicht weniger gefährlich als ein ungesichertes WLAN.

Glossar: Zentrale Begriffe

Governance:

Rahmen aus Richtlinien, Prozessen und Verantwortlichkeiten zur Steuerung der IT.

ITSM (IT Service Management):

Gesamtheit standardisierter Verfahren für Betrieb und Support von IT-Diensten (z. B. nach ITIL oder BSI 200-2).

Change-Management:

Geregelter Ablauf zur Durchführung und Dokumentation technischer Änderungen.

CMDB (Configuration Management Database):

Zentrales Register aller Konfigurationselemente mit ihren Beziehungen und Eigentümern.

IPAM (IP Address Management):

System zur Verwaltung von IPv4/IPv6-Adressen, DNS- und DHCP-Integration.

Dual Stack:

Gleichzeitiger Betrieb von IPv4 und IPv6 auf Hosts und Netzen.

RA (Router Advertisement):

ICMPv6-Nachricht, die Präfixe, Flags und Routerinformationen an Clients verteilt.

SLAAC (Stateless Address Autoconfiguration):

Mechanismus, bei dem Clients ihre IPv6-Adresse selbstständig aus RA-Informationen bilden.

DHCPv6:

Zustandsbehaftete Adressvergabe mit zentraler Kontrolle.

RA-Guard:

Sicherheitsmechanismus, der unerlaubte Router Advertisements auf Layer 2 blockiert.

GUA (Global Unicast Address):

Global geroutete IPv6-Adresse, vergleichbar mit einer öffentlichen IPv4-Adresse.

ULA (Unique Local Address):

Nicht öffentlich geroutete interne IPv6-Adresse, ähnlich privaten IPv4-Räumen.

NAT64 / DNS64:

Technik zur Kommunikation zwischen IPv6-Only- und IPv4-Diensten.

Transition Mechanisms:

Verfahren, um IPv4- und IPv6-Netze temporär zu verbinden (z. B. 6to4, ISATAP, Teredo).

Fazit

IPv6 ist eine organisatorische Entscheidung mit technischen Folgen, nicht umgekehrt. Die Einführung muss geplant, dokumentiert und verantwortet werden – mit klaren Rollen, Prozessen und Sicherheitsrichtlinien.

Wer IPv6 als Governance-Thema begreift, erhält:

  • kontrollierte Einführung statt Schattenbetrieb
  • nachvollziehbare Sicherheit und Compliance
  • langfristig geringere Kosten und höhere Stabilität

Die erste IPv6-Maßnahme ist kein Routerbefehl, sondern die Festlegung von Zuständigkeiten.

Abgerufen von „http://wiki.ixheim.de/index.php?title=IPv6_Einführung_%26_Zielsetzung_Artikel&oldid=65012