De laatste weken wordt er over een aantal internetonderwerpen veel geschreven. Internet providers kwamen in het nieuws omdat ze deep packet inspection (DPI) toepasten, wat wel eens een privacy-schending zou kunnen zijn. De Tweede Kamer heeft zich net sterk uitgesproken voor netneutraliteit, en Wereld IPv6 Dag is een groot succes geworden. Al deze onderwerpen zijn sterker met elkaar verbonden dan op het eerste gezicht gedacht wordt.
Netneutraliteit houdt in dat internet providers niet ongevraagd verschil mogen maken tussen verschillende soorten internetverkeer. Skype blokkeren of extra geld vragen voor het gebruik van WhatsApp mag dan dus niet. Dit houdt sterk verband met deep packet inspection (DPI). Want als een provider verschil wil maken tussen soorten verkeer dan zal hij eerst moeten achterhalen wat voor verkeer er verstuurd wordt, en dat is nu precies waar DPI voor is.
Tot zo ver is het verband nog redelijk eenvoudig te zien. Wat heeft IPv6 hier mee te maken? IPv6 is een standaard die nodig is om het internet verder te laten groeien. Het verband zit hem dan ook meer in wat er gaat gebeuren als IPv6 niet goed wordt ingevoerd.
Om dit te begrijpen moeten we even kijken naar de reden waarom IPv6 ingevoerd moet worden. Dit moet omdat alles wat op internet aangesloten wordt een eigen nummer moet krijgen en de nummers van het huidige systeem, de IPv4 adressen, zijn wereldwijd heel snel op aan het raken. IPv6 is nodig omdat hiermee een vrijwel onbeperkt aantal nieuwe adressen beschikbaar komt.
Stel nu dat IPv6 niet snel ingevoerd wordt. Dan komen we dus adressen te kort. De enige manier om nieuwe internetverbindingen aan te sluiten is dan door meerdere verbindingen een IPv4 adres te laten delen, oftewel door gebruik te maken van NAT. Meerdere klanten achter 1 adres dus, verzorgd door de internet provider. Dit is wat voorgesteld wordt door Jos Vrancken.
Maar… Als een provider zijn klanten niet meer elk een eigen adres geeft, hoe houdt de provider dan bij welke gegevens naar welke klant gestuurd moeten worden? Daarvoor moet de provider bijhouden wie wat aan het doen is: Deep Packet Inspection! En omdat sommige applicaties speciaal behandeld moeten worden als NAT gebruikt wordt moet dat verkeer apart afgehandeld worden: een schending van netneutraliteit!
De Tweede Kamer wil dus netneutraliteit garanderen en deep packet inspection verbieden, maar als we gebruik blijven maken van IPv4, dan kan dat helemaal niet. Om technisch voor elkaar te krijgen wat de Tweede Kamer wil, moet dus IPv6 ingevoerd worden. En snel ook, want rond de jaarwisseling zal de Europese voorraad IPv4-adressen op zijn…
Vraag me af wanneer verbindingen met IPSec zijn beveiligd of DPI nog nut heeft, anders dan target IP’s te gaan blacklisten of throtthlen (zonder DPI). Dit soort blokkades zijn niet schaalbaar.
De auteur slaat de plank volledig mis met de opmerking dat Deep Packet Inspection nodig is voor NAT.
NAT kijkt alleen naar packet headers, terwijl Deep Packet Inspection vooral naar packet content kijkt en ook naar packet headers.
De herkenning van type IP adres is natuurlijk te achterhalen met DPI, maar DPI is niet een absolute voorwaarde. Hardwareleeranciers van netwerkapparatuur kunnen ook in de firmware een aanpassing maken die het IPv4 en IPv6 gaat splitsen.
Dit is dus bangmakerij die niet echt noodzakelijk is. Bovendien kan de wetgever een voorbehoud maken voor de tijdelijke voorzieningen die specifiek gebruik van DPI toestaat ten behoeve van de splitsing van IPv6 verkeer.
Ik snap het verhaal niet van deze “expert”…als een provider NAT gaat gebruiken dan krijgt de eindgebruiker geen IP-adres meer?
Natuurlijk krijgt die wel een IP-adres van de provider, alleen is het een privaat adres en geen publiek adres.
DPI en NAT staan helemaal los van elkaar, het zijn totaal verschillende technieken en het gebruik van NAT zal DPI niet meer of minder bevorderen dan nu het geval is.
De reden dat DPI bij IPv6 lastiger is, is omdat IPSEC standaard geïmplementeerd is, wat bij IPv4 optioneel is.