Schon wieder IPv6…

Vermutlich denken Sie jetzt – mit eingeschränkter Begeisterung, dass hier schon wieder jemand einen Artikel über die theoretischen Vorteile von IPv6 schreibt und damit das lesende Volk verunsichern will. Naja, im Prinzip richtig. Tatsächlich möchte ich hier ein Ergebnis zusammenfassen, dass wir in unserer eigenen iteracon-Infrastruktur erlebt haben. Wir sahen uns tatsächlich gezwungen, IPv6 selektiv einzuführen. Vielleicht ist ja dieser Bericht für den einen oder anderen Leser eine Unterstützung bei eigenen Überlegungen.

Wie also kam es dazu, dass wir (unfreiwillig) gezwungen wurden, IPv6 einzusetzen?

Ausgangspunkt ist die Verwendung von Skype for Business (S4B). Wir setzen als Microsoft Gold Partner natürlich S4B ein und ermöglichen unseren Mitarbeitern damit auch eine komfortable Erreichbarkeit an Heimarbeitsplätzen. Microsoft empfiehlt, in diesen Szenarien den S4B Verkehr nicht zusätzlich per VPN zu verschlüsseln, da hierdurch zusätzliches Delay und Jitter entsteht und die Sprachqualität entsprechend abnehmen kann. Siehe z.B. folgenden etwas älteren Artikel hierzu: https://blogs.technet.microsoft.com/nexthop/2011/11/14/enabling-lync-media-to-bypass-a-vpn-tunnel/. S4B verschlüsselt die übertragenen Daten bereits von Hause aus und unterstützt sichere Verfahren für die Authentisierung. Es besteht also keine unmittelbare Notwendigkeit S4B via VPN zu implementieren.

Wenn man dieser Microsoft-Empfehlung folgt, werden beim entfernten Teilnehmer (z.B. Heimarbeitsplatz) einige TCP-/UDP-Ports für die Verbindung benötigt und zwar auch in Richtung des Teilnehmers. Diese Ports werden teilweise dynamisch ausgehandelt und sind nicht im Vorfeld bekannt. Das STUN-Protokoll unterstützt hierbei den Verbindungsaufbau durch Firewalls und über NAT Devices. Sofern man über einen Anschluss mit (z.B. einer festen) IPv4-Adresse verfügt, der bezüglich der nutzbaren Ports nicht eingeschränkt ist, ist alles gut. Allerdings ist dies kaum der Standard; viele Heimarbeitsplätze verwenden dynamisch vom Provider vergebene IPv4-Adressen und bei diesen setzen immer mehr Provider Carrier Grade NAT Verfahren ein (CGN), um die Menge der zur Verfügung stehenden öffentlichen IPv4-Adressen optimal nutzen zu können. Es geschieht gelegentlich eine recht hohe Überbuchung der öffentlichen IPv4-Adressen der Provider. Es ist absehbar, dass mit solchen CGN-Verfahren S4B in Probleme laufen kann, wenn die öffentlichen IPv4-Adressen stark in Nutzung sind und damit die freien TCP/UDP Ports knapp werden.

So geschehen: Wir hatten bei einigen Mitarbeitern das Problem, dass sie nicht immer von zu Hause telefonieren oder Konferenzen nutzen konnten. Die Fehlersuche gestaltete sich schwierig, da keine offensichtlichen Fehler in der Infrastruktur gefunden werden konnten. Die Probleme traten zudem nicht konstant auf, sondern eher sporadisch. Nach einigen Analyse haben wir dann das Carrier-Grade-NAT in Verdacht gehabt und unterstellt, dass notwendige Ports beim entfernten Teilnehmer nicht immer frei waren / genutzt werden konnten.

Unsere Infrastruktur verwendet einen S4B Edge-Server in einer DMZ für die Kommunikation mit Teilnehmern außerhalb des Firmennetzes. Dieser Edge-Server authentisiert die Teilnehmer und bündelt die Kommunikation in Richtung S4B Front-End-Server im LAN. Um Probleme mit NAT auszuloten, haben wir folgende Änderungen durchgeführt:

  • Der Edge-Server hat eine zusätzliche IPv6-Adresse bekommen (Dual-Stack).
  • Wir haben auf der Firewall IPv6 in Richtung des Internets für den Edge-Server freigeschaltet.
  • Wir haben auf der Firewall auch eingehende S4B-Kommunikation über IPv6 zugelassen.
  • Schließlich haben wir im öffentlichen DNS einen zusätzliche aaaa-Record mit gleichem Namen wie beim vorhandenen a-Record gesetzt und diesen auf die IPv6-Adressee des Edge-Servers auflösen lassen.

 

Das Ergebnis: mit diesen Änderungen funktioniert die Telefonie nun auch bei allen Teilnehmern wieder zuverlässig. Insbesondere profitieren die Teilnehmer, deren Internet-Zugänge bereits IPv6 sprechen (also die meisten). Eine Analyse mit Wireshark zeigt: Hat ein S4B-Client eine IPv4- und IPv6-Konfiguration, versucht er, den Verbindungsaufbau über aaaa/IPv6 zu initiieren. Gelingt dies, ist IPv6 hier sogar der präferierte Weg! Eine Überbuchung von IPv6-Adressen bzgl. NAT ist bisher nicht in Sicht. IPv6 ist also in diesem Szenario die Lösung des Problems!

Das Szenario scheint mir deshalb akzeptabel, weil es mit relativ geringen Änderungen in der Infrastruktur umsetzbar ist. Wir setzen IPv6 nur bis in die DMZ ein, danach geht es per IPv4 weiter. Gegen eine weiter reichende Einführung von IPv6 (IPv6 bis zum Front-End-Server in unser lokales Netzwerk) hätte ich deutliche Vorbehalte, weil dies alle vorhandenen Kommunikationsregeln (Firewall, DNS, Routing) in Frage gestellt hätte und sich der übliche Aufwand für Fehlersuchen im Netz damit relativ schnell verdoppeln würde.

Unser Fazit: Es ist absehbar, dass uns an einigen Stellen IPv6 unerwartet begegnen wird und dass wir uns dann zwangsweise damit anfreunden müssen. Es scheint aus heutiger Sicht ratsam, diese Szenarien vorzubereiten und IPv6 bis an die Grenze des Unternehmensnetzes (Firewall, DMZ) schon einmal zu durchdenken und nutzbar zu machen.

Es grüßt, Harald Krause

 

Steht die Fax-Technologie vor dem Aus?

Als sich das Telefonnetz gegen Ende des 19. Jahrhunderts in Deutschland ausbreitete, war  dies zunächst eine „analoge“ Revolution. Analoge Gesprächskanäle wurden über dedizierte Drähte (später auch frequenz-modulierte Multiplexerleitungen) geschaltet. Die Qualität der Gesprächskanäle war oft gering. Sie litten an Übersprechen, Echo und externen Störspannungen; oft wurde der Kanal mit zunehmender Länge immer schlechter. Einen wesentlichen Durchbruch stellte die Digitalisierung der Telekommunikation dar, die in Deutschland etwa ab den 1980er Jahren mit dem Aufbau des ISDN-Netzes vollzogen wurde. Gesprächskanäle konnten nun dank der Digitaltechnik quasi „störungsfrei“ geschaltet werden, so dass selbst bei Gesprächen über große Entfernungen eine hohe Verbindungsqualität erreicht wurde. Wie zuvor das analoge Telekommunikationsnetz wurde auch das ISDN-Netz unter dem Monopol der Deutschen Bundespost aufgebaut und betrieben.

Seit Ende der 1990er Jahre vollzieht sich nun ein nächster Evolutionsschritt: digitale Telekommunikation wird zunehmend über paketbasierte Netze (IP-Netze / Internet / VoIP) abgewickelt. Diese Entwicklung ist wirtschaftlich konsequent, da Datenverbindungen allgegenwärtig sind und die geringen Bandbreiten der Telekommunikation ohne weiteres mit übertragen können. Gleichzeitig geht das ursprüngliche Provider-Monopol der Deutschen Bundespost / Telekom in einen offenen Markt mit einer Vielzahl an Dienstanbietern über.

Werbetext Deutsche Telekom (Quelle geschaeftskunden.telekom.de)

Faxübertragung über das Telefonnetz: ein alter Hut.
Techniken, die Schriftstücke über das Telekommunikationsnetz übertragen, wurden zeitlich fast parallel mit der eigentlichen Fernsprechtechnik entwickelt, die Marktreife dauerte jedoch hier deutlich länger. Etwa Mitte der 1960er Jahre setzte Xerox den ersten De-Facto-Standard in Sachen Fax. Waren erste Fax-Geräte noch langsam (Gruppe 1), kam die nächste Generation (Gruppe 2) trotz analoger Übertragungstechnik auf bessere Übertragungsergebnisse (höhere Auflösung) und schnellere Übertragungsraten. Der wahrscheinlich am weitesten verbreitete Fax-Standard wird als Fax Gruppe 3 bezeichnet. Gruppe 3 Geräte setzen eine digitale Kompression und Fehlerkorrektur ein, übertragen dann aber die Daten über analoge Schnittstellen und Netze. Erst Fax-Geräte der Gruppe 4 verwendet durchgängig Digitaltechnik, also auch z.B. digitale ISDN S0-Schnittstellen. Geräte der Gruppe 4 sind trotz der besten Übertragungsqualität und schnellsten Geschwindigkeit eher selten vorzufinden.
 

„Fott damit“. Ausrangiertes Faxgerät, gesehen an einer Straßenecke in Bad Schandau, Sachsen

Der Übergang vom analogen zum  digitalen (ISDN-)Netz bedeutete für Fax-Geräte ein „goldenes Zeitalter“: Selbst  wenn analoge Schnittstellen am Endgerät weiterverwendet wurden (Gruppe 3 Fax), bedeutete die gute Kanalqualität im monopolistischen, digitalen Telekom-Netz, dass Fehlerkorrektur­mechanismen wenig gefordert wurden und hohe Übertragungsraten möglich waren. Gruppe 3 Geräte, die für die Kompensierung von Echos, Rauschen oder anderen externen Störgeräuschen des Analognetzes optimiert waren, übertrugen die Daten im ISDN-Netz der Telekom mit sehr hoher Zuverlässigkeit. Es scheint im Nachhinein, dass die Entwicklung der Faxtechnik in den 1990er Jahren „einschlief“, einfach weil die Technik auf ihrem Zenit angelangt war.  

Probleme mit Fax beim Übergang zu Voice-over-IP

Dann jedoch folgt die Ernüchterung: Der Übergang zu Voice-over-IP stellt für Fax-Geräte ganz neue Herausforderungen dar. VoIP ist zunächst auch eine digitale Übertragungstechnik und hat als solche weder mit Leitungsechos, Übersprechen oder externem Rauschen zu kämpfen. Es treten jedoch neue Probleme wie Delay und Jitter oder burstartige Verluste (Paketverluste) auf. Auch ist eine Vielzahl an Codecs
entstanden, die zugunsten einer Minimierung der Übertragungsbandbreiten entsprechende Signalverzerrungen mit sich bringen. In Konsequenz arbeiten Fax-Geräte mit analogen Schnittstellen und veralteten Fehlerkorrekturmechanismen in
VoIP-Umgebungen nicht mehr zuverlässig. Dokumente benötigen mehrere Anläufe für den Fax-Versand, längere Dokumente gehen teilweise gar nicht mehr ohne Fehler
über die Leitung.

Das ITU hat für dieses Problemfeld die Empfehlung T.38 erarbeitet, gemäß der Faxe – also digitale Bilddaten – nicht mehr in Signaltöne gewandelt, digitalisiert und schließlich paketiert übertragen werden. Stattdessen soll eine TCP/IP-Verbindung die vollständig digitale Übertragung ohne Echtzeitcharakter ermöglichen; TCP stellt dabei die hochwertige digitale Fehlerkorrektur sicher.

Soweit so gut, wäre da nicht die Öffnung des Telekommunikations-Provider-Monopols: T.38 wird von SIP-Providern in Deutschland in der Regel nur „intern“ also zwischen Anschlüssen eines Providers angeboten. Provider-übergreifende Verbindungen wandeln beim Übergang dann ggf. doch die Daten wieder in den „analogen“ T.30-Standard um. Die Deutsche Telekom bietet T.38 an IP-Anschlüssen zurzeit gar nicht an. T.38 ist also keinesweigs ein flächendeckender Standard.

Wieso eigentlich Fax-Übertragung?

Noch einmal einen Schritt zurück:
warum liegt uns das Faxen eigentlich so am Herzen? Brauchen wir unsere Fax-Geräte
eigentlich noch? Faxe hatten in ihren Glanzzeiten einige recht positive
Eigenschaften: Es wurde kollektiv darauf vertraut, dass Abhören oder Manipulationen
am Inhalt aufgrund der Echtzeitübertragung und monopolistischen Netzführung nahezu ausgeschlossen waren. Bei ausgeschalteter Rufnummern­unterdrückung konnte die Autentizität der Teilnehmer nachvollzogen werden. Die Empfangsquittung der Zielnummer wurde wie der Rückschein eines Einschreibens betrachtet: Sie schien
zu beweisen, dass das Fax inhaltlich korrekt an den gewünschten Empfänger übertragen wurde und nun am Empfangsgerät als Ausdruck vorliegt. In vielen
Geschäftsbeziehungen – teilweise aber auch im Umfeld von Behörden – wurden
daher Faxe als juristisch bindende Schriftstücke akzeptiert.

Heute müssen wir erkennen, dass diese positiven Eigenschaften des Faxens spätestens mit dem Übergang zu VoIP unwiderbringlich verloren sind. VoIP macht auch Faxe genauso abhörbar und manipulierbar wie alle alle anderen unverschlüsselten Übertragungen in öffentlichen Netzen. T.38 lässt die Verschlüsselung lediglich optional zu. Die Rufnummern haben durch die Öffnung der Netze an „beliebige“ Provider und den Einzug von SIP ihren hohen Vertrauensgehalt verloren. Und eine Empfangsquittung von einem Endgerät mit Zwischenspeicher ist eben nicht mehr als Indiz. Wer kann sicherstellen, dass wirklich ein Ausdruck erfolgt ist? Selbst also wenn T.38 flächendeckend verfügbar wäre: ein juristisch bindender Charakter von Faxen wird auf Dauer nicht (mehr) aufrecht zu halten sein.

Die Zukunft ist digital signiert

Die Deutsche Bundesregierung hat schon in den 1990er Jahren erkannt, dass der klassische Post-Brief als Geschäftsgrundlage für die Wirtschaft (aber auch Behörden) zu langsam ist. Sie erarbeitete daher das Gesetz über Rahmenbedingungen für elektronische Signaturen (SigG, 1997). Dieses Gesetz definiert Verfahren, die ermöglichen, juristisch zweifelsfreie und damit verbindliche Kommunikation über öffentliche Datennetze (z.B. das Internet) abzuwickeln. Den technischen Kern stellen
digitale Zertifikate (X.509) und nicht etwa Faxübertragungen dar. Bekannte
Spielarten sind z.B. signierte & verschlüsselte E-Mails (SMIME) oder signierte
& verschlüsselte Übertragungen von Steuerdaten an die Finanzbehörden (z.B.
Elster).

Da die öffentliche Akzeptanz des SigG auch über 10 Jahre nach der Gesetzgebung immer noch sehr gering war, wurde um 2010 das De-Mail-Gesetz nachgeschoben. Dieses Gesetz soll eine konkrete Anwendungsform des SigG – den De-Mail-Dienst – erzwingen. Im De-Mail-Dienst sind alle vom Fax erwarteten Merkmale (Authentizität, Integrität, Vertraulichkeit, Quittungsbetrieb) integriert. Heute, ca. 5 Jahre nach Inkrafttreten des De-Mail-Gesetzes, ist auch für diesen Dienst noch keine wesentliche Marktdurchdringung zu erkennen. Dies mag an den hohen organisatorischen Bedingungen für die Zertifikatsbeantragung/-Ausstellung und die unübersichtliche Lage an zertifizierenden Stellen liegen. Es mag aber auch sein, dass dem Medium Fax immer noch eine führende Position unterstellt wird, so dass die Wirtschaft noch keinen Handlungsdruck sieht, ein neues Übertragungsverfahren zu adaptieren.

Bild: Leistungsmerkmale von De-Mail (Quelle: www.cio.bund.de)

Fazit zur Problematik mit Fax-over-IP

Aus Sicht des Autors wird der Abbau des digitalen Telefonnetzes (ISDN) und der Übergang zu IP-basierten Telefonanschlüssen die Zuverlässigkeit der Übermittlung von Faxdokumenten in Zukunft deutlich einschränken. Technische Lösungen für dieses Problem sind innerhalb der Fax-Technologie selbst nicht in Sicht, zumindest nicht, solange T.38 nicht Ende-zu-Ende verfügbar ist. Es scheint heute keine Patentrezept für die juristisch belastbare Übertragung von Fax-over-IP zu geben, zumindest nicht wenn weiterhin Gruppe 3 Fax-Geräte ohne Signaturoptionen und Verschlüsselung eingesetzt werden. Es scheint daher nicht unwahrscheinlich, dass die Fax-Technologie mit dem IP-Umbau des Telefonnetzes ihren Rückzug aus dem Weltgeschehen antreten wird.

Dies bedeutet für viele Privatpersonen und Firmen, dass für die verbindliche Kommunikation, insbesondere für eilige, vertrauliche Nachrichten oder für Nachrichten, die mit Garantie (Empfangsquittung) und unverändert zugestellt werden sollen, andere Übermittlungsformen als das Fax gesucht werden müssen.

Zu beobachten ist, dass für viele Anwender E-Mails die Funktion von Faxen übernommen haben. Einer E-Mail wird instinktiv unterstellt, dass sie zuverlässig und verbindlich Informationen austauscht. Bedenkt man jedoch die Defizite von unverschlüsselten & unsignierten E-Mails hinsichtlich Authentizität, Vertraulichkeit und Integrität, kann eine solche E-Mail-Übertragung keinen juristisch verbindlichen
Charakter haben. Verbindlich wird die E-Mail erst durch z.B. SMIME-Techniken
(Verschlüsselung und Signatur) und einen Quittungsbetrieb – aber wer setzt
diese Optionen schon ein (ausgenommen ggf. automatisierte Verfahren im
EDI-Umfeld)?

Innerhalb von Deutschland könnte De-Mail ggf. zukünftig eine Alternative darstellen. Technisch sind die Voraussetzungen dafür gegeben, es müssten aber erheblich mehr Teilnehmer dieses Verfahren annehmen. In globalisierten Märkten müssen zudem wohl auch internationale Lösungen gesucht werden. Es bleibt abzuwarten, welche Verfahren sich in Zukunft durchsetzen. Über das Ende des Faxes nachdenken sollte man aber schon heute.

Beste Grüße, Harald Krause