De implementatie van IPv6 is onvermijdelijk. Dat zegt voorzitter Erik Huizer van IPv6 Taskforce Nederland, naar aanleiding een IPv6-beveiligingsprobleem, dat netwerkspecialist Mente Heemstra van Rijksuniversiteit Groningen aankaartte.
'Heemstra wijst op een probleem dat zich kan voordoen als iemand op een subnet een valse IPv6-router introduceert en zo mogelijk IPv6-verkeer afluistert', legt Huizer uit. 'Het is goed dat Mente wijst op dit mogelijke veiligheidsrisico. De IPv6 Taskforce is erbij gebaat dat operationele problemen met de invoering van IPv6 boven water komen en zo spoedig mogelijk worden opgelost.'
Volgens Huizer 'deelt de IANA volgend jaar de laatste IPv4-adressen uit. Ergens in 2012 zijn dan alle IPv4-adressen op en kunnen we niet anders dan IPv6 gebruiken.' IANA (Internet Assigned Numbers Authority) is de organisatie die het beheer voert over informatie over top-level internetdomeinnamen.
Operationele problemen
Volgens de voorzitter van de IPv6 Taskforce is 'implementatie van IPv6 onvermijdelijk. Geeft dat operationele problemen? Jazeker, IPv6 is nog niet zo volwassen als IPv4. De Taskforce wil die problemen graag duidelijk hebben. We zijn echter niet een organisatie die concrete oplossingen ontwikkelt. Die verantwoordelijkheid ligt bij de leveranciers en adviseurs, waarvan ook vele in de Taskforce participeren. Zij kunnen hierop worden aangesproken of ingehuurd.'
Ook op MacOS X en Linux
Behalve in Windows Vista en 7 staat IPv6 ook standaard aan op MacOS X- en Linuxsystemen. Het IPv6 beveiligingsprobleem dat netwerkspecialist Mente Heemstra van Rijksuniversiteit Groningen aankaartte, is dus niet beperkt tot Windows-systemen. Bovendien is het besturingssysteem zelf helemaal niet de oorzaak van het probleem.
'De onvermijdelijke langeretermijnoplossing is dat leveranciers van netwerkapparatuur hiervoor oplossingen moeten implementeren', zo zegt Huizer. 'Daarmee is op de korte termijn echter niemand gediend.'
Workarounds mogelijk
Gelukkig zijn er volgens de voorzitter 'een paar work-arounds mogelijk. Diverse daarvan worden binnen de maillijst van de Taskforce (waarop iedereen van harte welkom is, ook Mente) en op de reactiepagina van op Computable besproken. Het monitoren van illegaal IPv6-verkeer is daar een voorbeeld van. Soms ligt de oplossing in een combinatie van IPv6- en IPv4-toepassingen. Er zijn ook internetstandaarden die dit soort misbruik onmogelijk maken (SEND, secure neighbor discovery) maar die zijn helaas (nog) niet in algemeen gebruik.'
Volgens Huizer wordt daarnaast 'binnen de Internet Engineering Task Force (IETF) gewerkt aan aanbevelingen om dit probleem te minimaliseren.' Geïnteresseerden vinden op deze site adviezen.
Ik word hier zo moe van. Elke maand is er wel iemand die moord en brand schreeuwt dat we massaal over moeten op IPv6. Maar niemand vertelt erbij dat er nog geen provider in Nederland is die IPv6 aanbied.. Op XS4ALL na … Experimenteel … Zonder ondersteuning …
En dat er bijna geen hardware is die IPv6 ondersteunt …
En daarbij vraag ik mij ernstig af of ik als eindgebruiker er uberhaupt iets van merk van IPv4 of IPv6 op internet … Tunnel tussen IPv4 en IPv6 … Klaar! En we kunnen nog jaren vooruit met de eindgebruikers op IPv4.
Niemand schreeuwt dat je over moet …
Wel, dat je bij je access-provider het aan moet kaarten, of dat je ZELF via een tunnelbroker (bv tunnelbroker.net) toegang regelt tot IPv6. Wat je gaat merken als je het niet doet? Weinig! In het begin zul je wellicht 1% van websites/mail addressen niet kunnen benaderen. En dat percentage wordt steeds groter, omdat anderen dan nog uitsluitend via IPv6 benaderbaar zijn.
Maar niemand schreeuwt dat je over _moet_ …..
Inderdaad: moeten is een groot woord. Je moet helemaal niets, maar het zou wel verstandig zijn om nu al te kijken wat er gebeurt als je IPv6 zou willen gaan gebruiken. Inschakelen zonder kennis van zaken is een groot risico. En het feit dat het protocol al aanwezig is heeft als resultaat dat, zelfs als je protocol niet gebruikt, je jezelf er toch bewust van moet zijn dat je het protocol wel moet controleren.
Van een “overgang” zal overigens de eerstkomende jaren geen sprake zijn. Er zal een (waarschijnlijk lange) periode zijn waarin beide protocollen actief zijn.
Mente.
Iedereen die is de branche zit weet dat we over moeten op IPv6, die discussie is al gevoerd. Maar als ik dan weer dit bericht lees: https://www.computable.nl/artikel/ict_topics/security/3414722/1276896/ipv6-is-niet-veiliger-dan-ipv4.html#3418006 komt er weer meer twijfel. Ik denk dat compatibiliteit, hardware e.d. een ding is maar de veiligheid is toch wel erg belangrijk. Dit samen met de vele hardware en vele (security) software die nog niet klaar is maakt overstappen volgens mij onmogelijk op dit moment.