DasHeimnetzwerk.de - informativ und umfassend

Der Dual-Stack Lite (DS-Lite)

Eines der grundlegenden Protokolle für die Datenkommunikation im Internet ist das Internet Protokoll. Dieses Protokoll ist unter anderem dafür zuständig das die Datenpakete Ende zu Ende vermittelt werden können. Wie bei der klassischen Briefpost, braucht es hierfür eine Zieladresse und für eine potentielle Antwort eine Quelladresse. Doch dem Internet Protokoll Version 4 (IPv4), welches im Prinzip seit Beginn des Internets genutzt wird, gehen die möglichen öffentlichen Adressen aus. Die Nachfolge Version 6(IPv6) ist schon seit langem definiert, doch die Einführung verzögerte sich da man durch technische Tricks (NAT) mit den vorhandenen öffentlichen IPv4 Adressen auskam. Inzwischen ist es soweit, Anbieter von Internetzugängen gehen so langsam nach und nach dazu über ihrem Internet-Router eine öffentliche IPv6 Adresse zuzuteilen. Um Rückwärtskompatibel mit IPv4 zu sein wird dabei oft der sogenannte „Dual Stack Lite“ (Abkürzung: DS-Lite) Mechanismus verwendet.

Notiz: In Deutschland verwenden oft Kabelnetzbetreiber den DS-Lite Mechanismus.

Dual Stack bedeutet das eine Netzwerkschnittstelle eines Gerätes parallel über eine IPv4 und eine IPv6 Adresse verfügt. Das Gerät kann damit sowohl über die eine als auch die andere IP Protokoll Version erreicht werden. Um nun IPv4 Adressen zu sparen, wird bei DS-Lite keine öffentliche IPv4 Adresse vergeben sondern eine private. Diese „private“ IP Adresse ist nur in einem eng begrenzten Bereich Ihres Internetanbieters bekannt. Für die Kommunikation mit IPv4 basierten Diensten und Anwendungen im Internet wird aber eine öffentliche IPv4 Adresse gebraucht. Um dies zu bewerkstelligen werden alle IPv4 Datenpakete in IPv6 Datenpakete verpackt und per IPv6 zu einem Adressübersetzer (CGNAT) getunnelt (sogenannter 4in6 Tunnel). Dieser Adressübersetzer (Network Address Translation, NAT) übersetzt die private IPv4 Adresse in eine öffentliche IPv4 Adresse.

Notiz: Für private IPv4 Adressen sind die Bereiche 10.x.x.x /24, 172.16.x.x /12, 192.168.x.x /12 definiert. Verwendet Ihre Internet-Router Internetseitig eine Adresse aus diesem Bereich, dann ist es sehr wahrscheinlich das Ihr Internetanschluss per DS-Lite angebunden ist. Verwechseln Sie dabei nicht die Adressen in Ihrem Heimnetzwerk mit der Internetseitigen Adresse. Im eigenen Heimnetzwerk ist es üblich die Geräte mit IPv4 Adressen aus einem privaten Bereich zu adressieren.

Damit ein Internetanbieter nun die knappe Ressource IPv4 Adressen spart, wird eine öffentliche Adresse von einer Vielzahl von Endteilnehmers verwendet. Damit die vielen Datenströme korrekt den einzelnen Teilnehmern zugeordnet werden können, bedient sich der Adressübersetzer weiterer Protokolldaten.

Bild: Struktureller Aufbau von DS-Lite
Bild: Struktureller Aufbau von DS-Lite

Potentielle durch Dual-Stack Lite (DS-Lite) verursachte Probleme

Üblicherweise bemerkt ein Endkunde nichts von der Internetanbieterseitigen Adressübersetzung. Das ist auch der Grund das DS-Lite verwendet wird, da es im großen und ganzen für den Endkunden funktioniert. Aber halt auch nur im großen und ganzen, hin und wieder kommt es zu Problemen. Im weiteren finden Sie Informationen bezüglich drei verschiedener Problemfälle.

Kein Zugriff vom Internet auf Ihr Heimnetzwerk

Im Regelfall bemerkt der Endkunde nichts von einer Adressübersetzung, wenn er selbst aktiv von seinem Heimnetzwerk aus auf das Internet zugreift. Sobald aber aktiv vom Internet auf das Heimnetzwerk mittels IPv4 zugegriffen werden soll, dann kommt es zu Problemen. Beispiele wo es zu solch einem Problem kommen kann sind:

Grundursache des Problems ist, dass der Adressübersetzer keine Regel kennt wohin diese unbekannten Datenpakete zu vermitteln sind. Für eine Adressübersetzung in Ihrem eigenen Internet-Router könnten Sie jetzt manuell Regeln erstellen (Port-Forwarding) und konfigurieren. Über den Adressübersetzer Ihres Internetanbieters haben Sie aber keine Kontrolle.

Es gibt folgende Lösungsansätze falls die Eigenschaften von DS-Lite für Sie problematisch sind:

Notiz: Durch die hohe Verbreitung von IPv4, wird die Notwendigkeit IPv6 und IPv4 gleichzeitig zu nutzen, uns noch eine Weile begleiten. Allerdings offerieren nach und nach immer mehr Geräte, Anwendungen und Dienste auch die Nutzung von IPv6 und damit die Möglichkeit Ende zu Ende über IPv6 zu kommunizieren. Damit werden die Eingangs geschilderten Probleme vermieden. Ein Datum wann IPv6 eine so hohe Verbreitung hat das man praktisch auf Mechanismen wie DS-Lite verzichten kann, ist nicht vorhersagbar.

Blacklisting von IPv4 Adressen

Seit dem das Internet sich den Massen öffnete gibt es auch „Spam“. Unter „Spam“ (dtsch.: Müll) versteht man unerwünschte Nachrichten, oft mit dubiosem Inhalt und in Massen versendet. Ein Mechanismus zum Schutz vor Spam ist die Identifizierung der Quelle. Ist die zur Quelle zugehörige IP-Adresse bekannt, dann kann diese IP-Adresse auf eine Blacklist (dtsch: schwarze Liste) gesetzt werden. Empfänger ignorieren nun die von einer solchen IP-Adresse abgesandten Daten oder senden bei Empfang eine Fehlermeldung zurück.

Der Zusammenhang mit DS-Lite entsteht jetzt dadurch das viele Teilnehmer eine öffentliche IPv4 Adresse verwenden. Landet solch eine IPv4 Adresse in einer Blacklist, dann können das auch alle anderen Teilnehmer der gleichen IP Adresse zu spüren bekommen.

Die Lösung ist die Verwendung einer andere öffentlichen IPv4 Adresse. Die Zuweisung einer öffentlichen IPv4 Adresse wird dynamisch durchgeführt. Das bedeutet, dass sich die verwendete öffentliche IPv4 Adresse über die Zeit ändert. Somit können Sie jetzt einfach warten bis das geschieht. Wann dieses Ereignis eintritt ist aber für Sie nicht vorhersagbar, mit ein wenig Pech kann es Tage dauern. Möchten Sie nicht solange warten, dann ist die einfachste Lösung ein Anruf bei Ihrem Internetanbieter. Dieser sollte in der Lage sein die existierende Verknüpfung zu einer IPv4 Adresse zu lösen, damit Sie eine andere IPv4 Adresse zugewiesen bekommen.

Notiz: Neben Spam sind auch andere Verhaltensweisen denkbar, welche dazu führen können, das der ein oder andere Dienstanbieter im Internet eine bestimmte IP-Adresse auf eine Blacklist setzt. Spam ist aber das prominenteste Beispiel.

Urheberrechtsverletzungen über das Internet und Abmahnungen

Auch der Themenkomplex „Urheberrechtsverletzungen und Abmahnungen“ kann zu einem Problem für Nutzer von DS-Lite führen. Das Problem entsteht dann wenn eine bestimmte öffentliche IPv4 Adresse z.B. bei dem unerlaubten Verbreiten eines Films im Internet ermittelt wird. Wenn diese öffentliche IPv4 Adresse, durch DS-Lite, von einer Vielzahl von Teilnehmern genutzt wird, dann stellt sich die Frage wie jetzt eineindeutig den Täter ermitteln? Trotz dieser Problematik scheint es aber zu Fällen zu kommen, wo Internetanschlussinhaber abgemahnt werden, mit einem Verweis auf eine öffentliche IPv4 Adresse, dem verwendeten Protokoll (z.B. TCP oder UDP) und einem verwendeten Quellportwert.

Notiz: Ich möchte an dieser Stelle darauf hinweisen, dass ich selbst keine tiefen Kenntnisse der rechtlichen Sachverhalte bei Abmahnungen habe. In diesem Abschnitt wird auf eine Reihe von technischen Begebenheiten hingewiesen, welche in diesem Zusammenhang aber von Interesse sein könnten.

Es ist logisch das rein mit der Information einer einzelnen öffentlichen IPv4 Adresse eine eineindeutige Zuweisung dieser IP Adresse zu einem Internetanschlusses, welcher per DS-Lite angebunden ist, nicht möglich ist. Selbst die Angabe eines Zeitstempels, des verwendeten Transportprotokolls und eines Quellports hilft nicht weiter. Es ist die Natur von DS-Lite, dass zu einem gegebenen Zeitpunkt (Zeitstempel) sich mehrere Teilnehmer eine IPv4 Adresse teilen. Die Transportprotokolle sind standardisiert und werden ebenfalls von vielen Teilnehmern verwendet. Der Quellportwert wird, wie die IPv4 Adresse, nach außen durch einen anderen Quellportwert ersetzt.

Für eine eineindeutige Zuordnung eines Datenstroms zu einem Teilnehmer wäre folgendes denkbar:

Es ist aber auch sehr gut möglich, dass die abmahnende Partei sich schlicht der Sachverhalte rund um DS-Lite nicht bewusst ist. Konkrete, sachlich zielführende Fragen zu den offenen technischen Punkten in einem individuellen Fall können somit zur Aufklärung und Einstellung eines Abmahnvorganges beitragen.

Notiz: Wie bei Spam sind andere Vergehen denkbar, wo der Verursacher per IPv4 Adresse Identifiziert wird. Nachvollziehbarerweise ergeben sich aus der Verwendung von DS-Lite die gleichen Probleme der Eineindeutigkeit.

Beispiel für einen Datenaustausch mittels DS-Lite und IPv4

Für die bessere Verständlichkeit hier ein Beispiel für einen fiktiven Datenaustausch, welcher per DS-Lite und IPv4 durchgeführt wurde. Die Zahl hinter dem Doppelpunkt ist ein Portwert.

Beispiel:

Ein Internetanschluss wird über DS-Lite angebunden und bekommt die IPv4 Adresse 192.168.1.2 zugewiesen.

  1. Ein IPv4 Datenpaket wird mit folgenden Daten absandt, private Quelladresse 192.168.1.2 : 80 . Die konkrete Zieladresse im Internet ist für das Beispiel irrelevant.
  2. Das Datenpaket wird mittels IPv6 durch das Netz des Internetanbieters geleitet, bis zu dem IPv4 Adressübersetzer.
  3. Der IPv4 Adressübersetzer ersetzt die private Quelladresse 192.168.1.2 : 80 durch die öffentliche Quelladresse 88.102.37.3 : 49152 .
  4. Der IPv4 Adressübersetzer nimmt einen Eintrag für diesen Vorgang in seiner Adressübersetzungstabelle vor.
  5. Das Datenpaket wird vom Ziel empfangen, bearbeitet und das Ziel sendet eine Antwort. Als Zieladresse für die Antwort wird jetzt genau die öffentliche Quelladresse 88.102.37.3 : 49152 verwendet mit welcher das Datenpaket vom Adressübersetzer in das Internet übermittelt wurde.
  6. Der IPv4 Adressübersetzer empfängt das Datenpaket und sieht in seiner Adressübersetzungstabelle nach welcher Teilnehmer zu dieser Antwort gehört. In diesem Beispiel wäre das der Teilnehmer hinter der Adresse 192.168.1.2 : 80.
  7. Der IPv4 Adressübersetzer ersetzt die öffentliche Zieladresse 88.102.37.3 : 49152 durch die private Zieladresse 192.168.1.2 : 80 und sendet das Datenpaket, mittels IPv6, an den zugehörigen Internetanschluss.
  8. Der Eintrag in der Adressübersetzungstabelle wird nicht mehr benötigt und kann durch einen neuen Eintrag überschrieben werden.

Weitergehende Literatur

Das maßgebliche Standardisierungsgremium für die Datenkommunikation im Internet ist die IETF. Alle von der IETF geschriebenen Standards, die sogenannten RFC’s, sind öffentlich einsehbar. DS-Lite wird im Standard „RFC 6333“ behandelt. Dieser enthält eine Passage (Abschnitt 11), dass durch das Wiederverwenden einer IPv4 Adresse durch viele Teilnehmer die eineindeutige Identifizierbarkeit eines einzelnen Teilnehmers anhand einer IPv4 Adresse nicht mehr gegeben ist. Es wird im Standard empfohlen weitergehende Informationen aufzuzeichnen, welche eine eineindeutige Zuordenbarkeit gewährleisten.

Ob solch eine weitergehende Aufzeichnung umgesetzt wurde hängt vom Hersteller entsprechender Geräte und den Betreibern dieser Geräte ab. Genaue Auskünfte müsste der Internetanbieter geben können, welcher die Geräte betreibt auf denen DS-Lite läuft.

Ferner hier ein Link zu einem englischsprachigen Artikel in welchem die Problematik der Identifizierbarkeit aus Sicht einer Sicherheitsbehörde angesprochen wird (Quelle: https://www.theregister.co.uk/2017/10/18/europol_cgnat/ ).