Onlangs organiseerde security reseller Pinewood het seminar ‘ Are you Ready for IPv6?’. Nu de IPv4-adressen op zijn, is dit een onderwerp dat steeds meer gaat leven bij informatiespecialisten. Dat bleek ook uit de grote opkomst tijdens het seminar. Na een korte opening van Pinewood-directeur Hans Doornbosch kwamen diverse nationale en internationale IPv6-specialisten aan het woord.
Aan tafel schoven enkele partners van Pinewood. Ten eerste Silvia Hagen van Sunny Connection AG: ‘Evolutie kent geen vooraf opgesteld businessplan. Van paard en wagen, gingen we naar auto’s en zo gaan we ook van IPv4 naar IPv6. IPv6 is eigenlijk een upgrading van de bestaande internet infrastructuur. Tegenwoordig heeft ongeveer 28 procent van de wereldpopulatie internet. Sinds 2000 is het internet met 444 procent gegroeid. Er zijn zelfs uitschieters als het Midden-Oosten, Afrika en Latijns-Amerika, die een groei van meer dan 1000 procent realiseren. Inmiddels zijn de laatste IPv4-adressen vergeven en zal de groei zich verder voortzetten in IPv6. Bedrijven zijn terughoudend als het gaat om IPv6. Het lijkt niet direct geld op te leveren omdat de klant er niet om vraagt. Waar de klant echter wel om vraagt zijn de nieuwste en beste applicaties en toegankelijke sites. Deze draaien allemaal op IPv6.’
De vraag is dus niet wat je wint als organisatie, maar juist wat je verliest als je niet mee gaat, aldus Hagen. ‘Een verjaarde infrastructuur zorgt immers voor extra kosten en brengt risico’s met zich mee. Nieuwe applicaties en services (allemaal in IPv6) kunnen immers niet worden gebruikt waardoor bedrijven aansluiting verliezen bij klanten. Sites die alleen met IPv4 functioneren, zijn alleen vanuit ‘oude’ IPv4-adressen te bereiken, waardoor bedrijven dus maar voor een deel van de internetgebruikers bereikbaar zijn.
Hoe zorgen we ervoor dat we IPv6 ready worden? "Get educated", luidt de boodschap van Silvia Hagen. Zorg er voor dat je weet wat IPv6 is en wat je er mee kan. Het zal lastig worden om de oude manier van werken met de IP-adressen uit ons DNA te krijgen; dat duurt enige tijd. Begin door het gewoon te doen. En wat haar betreft is die tijd nu gekomen. Uitdagingen zijn er om op te lossen. "Think Big. Then realize that’s not big enough",’ besluit ze.
Herman Robers van Pinewood vraagt zich af wat de komst van IPv6 voor de veiligheid van data betekent. ‘En belangrijker nog: welke mogelijkheden zijn er om deze risico ’s aan te pakken? Herman Robers van Pinewood maakt tijdens zijn presentatie de balans op. De implementatie van IPv6 zorgt er voor dat bepaalde aspecten van internetbeveiliging anders moet worden bekeken. Sommige risico’s blijven echter nog steeds een belangrijk punt van aandacht, zowel in IPv4 als in IPv6. Voorbeeld zijn de Application Level Attacks, zoals trojans, buffer overflows of virussen. Deze blijven nog steeds mogelijk in IPv6. Deze risico’s spelen zich namelijk op applicatieniveau af. Dit risico is onder andere aan te pakken door het instaleren van de juiste antivirussoftware en content scanning. Ook het spoofen van IP-adressen, een techniek met als doel ongeautoriseerd toegang te verkrijgen tot een computer via de IP-stack, werkt nog identiek aan IPv4. Gevoelige data kan worden beschermd tegen deze attacks van buitenaf door het gebruik van bijvoorbeeld een firewall.’
IPv6 brengt echter ook nieuwe beveiligingsuitdagingen met zich mee, aldus Robers. ”Een van de belangrijkste is dat alle moderne besturingssystemen als Windows Vista, Windows 7, Windows Server 2008, Macintosh OS X vanaf 10.3 en Linux 2.6 Kernel, IPv6 standaard aanzetten. Niets doen is geen optie, IPv6 moet hier nauwlettend worden gecontroleerd. De tunnels binnen de netwerken zorgen er voor dat IPv6 wordt getransporteerd over de IPv4-only netwerken. Het verkeer in deze tunnels is onzichtbaar voor de meeste firewalls en in het IPS systeem. Andere aandachtspunten zijn het wegvallen van hide-NAT (Network Adress Translation) en van de bestaande beveiligingstools die werken met IPv4. IPv6 heeft verplicht IPsec, een ingebouwd Internet Security Protocol. Dit biedt de mogelijkheid tot end-to-end encryptie. Deze IP-encryptie kan niet door de firewall of IPS op inhoud worden geïnspecteerd. Nadeel is echter dat deze firewalls dit verkeer wel kunnen filteren, maar dat ze niet centraal in het netwerk zijn te plaatsen. De vraag is dus of IPsec veiligheid juist toevoegt of ondermijnt. Zeker is dat het een aandachtpunt moet zijn bij het opzetten van een goede beveiliging.
Kortom, het is essentieel om over te gaan op IPv6. Maar doe het op een veilige manier. Bekijk welke informatie je wilt beschermen, hoe je mensen in de organisatie er mee werken en kijk dan naar de beschikbare tools. Pas dan ben je echt IPv6 Ready.’
Jeroen Roodnat van BlueCat Networks ziet de komst van IPv6 als iets onvermijdelijks. ‘Een succesvolle implementatie van IPv6 vereist dat organisaties een goede kennis hebben van het huidige IPv4- netwerk. Een van de belangrijkste zaken daarbij is het beheer van IP-adressen, aldus BlueCat Networks. Er zijn twee grote verschillen tussen IPv4 – en IPv6-adressen. Dat zijn de lengte en een vergroting van het aantal IP-adressen per interface. Hierdoor zal de complexiteit van het beheer van de adressen toenemen. IPv4 adressen bestonden uit 32 bits. De huidige IPv6-adressen kennen daarentegen 128 bits met hexadecimale cijfers. Daardoor heeft IPv4 ongeveer 4 × 109 adressen, terwijl IPv6 er ongeveer 3,4 × 1038 heeft. Het nieuwe IPv6 heeft dus een bijna onuitputtelijke voorraad adressen: voor iedereen op aarde zijn er ongeveer 50.000 quadriljoen beschikbaar. Waren sommige netwerkbeheerders in staat om het beheer van IPadressen uit hun hoofd te doen, wordt dit nu praktisch onmogelijk. De kans op toewijzings- of beheerfouten wordt aanzienlijk groter doordat er simpelweg gemakkelijker typefouten worden gemaakt.’
Gekeken naar de werkwijze van het protocol, verschillen IPv4 en IPv6 nauwelijks van elkaar, aldus Roodnat. ‘Een van de weinige verschillen is dat in IPv6 een subnet niet langer een netwerkadres en een broadcast-adres bevat, maar dat dit uiteen valt in vier verschillende adressen:
– Global Unicast: unique public adress
– Local Unique private IP adres: unique private Unicast adress
– Local link adress: never routed and kept on the shared network
– The loopback adress: where ::1 is equivalent to IPv4 127.0.0.1
Betere routeerbaarheid is een van de uitgangspunten van het ontwerp van IPv6 geweest. Doordat er een ontelbaar aantal IP-adressen zijn, is het mogelijk een netwerknummerhiërarchie op te zetten. NAT (Network Adress Translation) wordt hierdoor overbodig. Extra reden om goed over het beheer van IP-adressen na te denken aldus BlueCat Networks, en daarin zijn zij het eens met Sylvia Hagen: bereid je voor en get started.
Het volgende seminar
Om alle nieuwe kennis over IPv6 rustig te laten bezinken, werd de middagafgesloten met een hapje en drankje. Sylvia Hagen signeerde haar boek IPv6 Essentials dat alle deelnemers mee naar huis mochten nemen om zich verder te verdiepen in dit actuele onderwerp. De andere sprekers discussieerden in informele sfeer nog even verder.
Pinewood directeur Hans Doornbosch geeft aan dat informatie delen belangrijk is voor Pinewood: "Elk kwartaal organiseren wij een seminar om samen met onze klanten en de pers te kunnen praten over actuele onderwerpen. Zo kunnen we van en met elkaar leren."
Wilt u graag het volgende seminar bijwonen? Houd dan de aankondigingen op de website in de gaten of schrijf u in via seminar@pinewood.nl
