De beveiliging van netwerken onder het internetprotocol versie 6 (IPv6) is in principe gelijk aan die van de huidige netwerken die werken onder IPv4. Toch zijn er een paar zaken die je beslist niet over het hoofd mag zien, zeggen de Computable-experts die deelnamen aan de rondetafelsessie over IPv6. Die organiseerde Computable op de vakbeurs Infosec in de Jaarbeurs Utrecht.
Volgens Computable-expert Joost Tholhuijsen is IPv6 van zichzelf niet veiliger of onveiliger dan IPv4. Er zijn echter twee zaken die door een verkeerde perceptie tot onzorgvuldigheid en dus onverschilligheid kunnen leiden. Allereerst is door het onvoorstelbaar grote aantal adressen het scannen op zwakheden moeilijker. Maar door sluwer selecteren zijn vijandige zoekacties nog wel mogelijk.'
'Ten tweede', vervolgt Tholhuijsen, 'bestaat het idee dat door standaard aanwezigheid van het veiligheidsmechanisme IPsec, dit ook standaard ‘aan' zou staan. Dit is echter niet het geval, dus alle aandacht voor veiligheid die bij IPv4 geldt, is ook nodig bij IPv6.
Maar ook louter de voorbereiding die software- en hardwareleverancier treffen voor het nieuwe protocol brengen gebruikers die niet overstappen op IPv6 in gevaar. Zo staat in Windows 7 standaard het IPv6-protocol als voorkeur ingesteld. Kwaadwillenden kunnen daarvan gebruik maken, stelt Computable-expert Edwin Vos.
Intrusion detection
Basale beveiligingsapparatuur is tegenwoordig ook voor IPv6 verkrijgbaar. Wel leidt dit tot dubbele kosten, doordat zowel een IPv4- als een IPv6-firewall moet worden aangeschaft, stelt Computable-expert Paul Boot. Een modem met firewall voor een kleine onderneming kost tegenwoordig een paar tientjes. Hetzelfde ding voor IPv6 kost nu honderd euro. Complexere beveiligingsapparatuur als intrusion detection appliances is nog niet algemeen beschikbaar. Er zijn al wel open source versies beschikbaar, weet Vos.
Infosec
Computable houdt tijdens de vakbeurs Infosec acht rondetafelsessies met Computable-experts. Aan de sessie over IPv6 namen deel: Paul Boot (Bateau Knowledge), Harold Schoemaker (Schoemaker IT), Joost Tholhuijsen (Tholhuijsen Consultancy) en Edwin Vos (NiVo Network Architects).
@johannes: je schrijft “Volgens Computable-expert Joost Tholhuijsen is een mogelijk gevaar van IPv6 dat de gebruikte langere internetadressen makkelijker te scannen zijn, waardoor een extra gevoeligheid voor gerichte aanvallen zou kunnen ontstaan.”
Dit is niet wat ik heb gezegd en het is ook feitelijk niet correct. Het omgekeerde is het geval. De situatie is dat door het grote aantal adressen van IPv6 scannen naar zwakheden juist moeilijker is, maar dat dit door verschillende andere factoren een schijnveiligheid is. De perceptie dat IPv6 impliciet een veiliger of onveiliger protocol zou zijn dan IPv4 dient op deze grond bestreden te worden.
@Joost: deze opmerkingen kun je beter persoonlijk doen in plaats van publiekelijk op de site. Dan kan het artikel aangepast worden en is het niet gelijk een afbreuk op de betrouwbaarhet en/of geloofwaardigheid van Johannes en/of Computable.
Deze manier van communiceren komt niet bepaald professioneel over.
Reactie op reactie
@Joost: wel de tijd nemen om publiekelijk Johannes hetzelfde kunstje te flikken als hij bij jou deed, en vervolgens geen tijd nemen om het artikel aan te passen?
Deze manier van communiceren komt eigenlijk bepaald kinderlijk over en inderdaad niet bepaald professioneel.