Tijdens de overschakeling op IPv6 is het belangrijk om het netwerkverkeer streng te controleren. Daarnaast is een goed werkend release- en changemanagementproces onontbeerlijk. Dat zeggen de netwerk-experts van Computable.
Volgens netwerkspecialist Bart van den Berg moeten netwerkbeheerders voorbereid zijn op beveiligingsproblemen in verband met de overstap op IPv6: ‘ Ict-fabrikanten zoals Cisco en Microsoft zijn voortdurend bezig hun produkten door te ontwikkelen en introduceren stapsgewijs nieuwe technologieën en concepten in hun eindprodukten. Dat is hun goed recht. Sterker nog, dat wordt van hen verwacht.’
Het is echter ‘inherent aan het release-model van dat je tussenversies krijgt, zowel aan de serverzijde als aan de netwerkzijde. Het is daarom te verwachten dat er op enig moment een ongelukkige combinatie van een server- en een netwerkbesturingssysteem ontstaat.’ Daardoor kunnen zich volgens van den Berg risico’s voordoen, waarvan het afluisteren van IPv6-verkeer met valse IPv6-routers een voorbeeld is.
Grondig testen
Om die reden adviseert de netwerkspecialist om elke release, update, upgrade, introductie van nieuwe platformen vooraf te laten gaan aan ‘grondig onderzoek, uitgebreide testen in een testomgeving en een nauwe afstemming en samenwerking tussen systeemspecialisten en netwerkspecialisten.’
Ook een ‘goed werkend release- en changemanagementproces’ is belangrijker dan voorheen, aldus van den Berg. ‘Bij het testen van een nieuwe release van een besturingssysteem door systeembeheerders moeten de netwerkmensen worden bijgeschakeld om ondertussen te kunnen sniffen en zo de ‘ exotische protocollen’ en onverwachte verkeersstromen te kunnen ontdekken.’
Strenge netwerkcontrole
Van den Berg: ‘Netwerkspecialisten moeten hun rug recht blijven houden en alleen dat verkeer doorlaten dat met naam en toenaam bekend is.’
Dat vindt ook IPv6-specialist Sander Steffann: ‘Technisch gezien is er geen groter probleem dan met IPv4. Maar als netwerkapparatuur geen mogelijkheden biedt om deze risico’s (zoals het afluisteren van IPv6-verkeer met valse IPv6-routers, red.) te beperken, is de beste oplossing om het netwerk te monitoren op kwaadwillenden. Daarmee wordt niet voorkomen dat iemand iets doet wat ongewenst is, maar doordat er meteen ingegrepen kan worden wordt de mogelijke impact enorm beperkt.’