Tijdens het ontwerpen van IPv6 hebben ze nagedacht over hoe je IPv6 zou kunnen transporteren over een IPv4 netwerk. De verwachting was namelijk dat we IPv6 zou gaan gebruiken terwijl er nog netwerken op IPv4 zitten, maar hoe veilig zijn deze tunnels nu eigenlijk?
Om IPv6 over IPv4 te transporteren hebben ze een aantal tunnel protocollen bedacht. Dit zijn tunnel protocollen die automatisch een tunnel maken vanaf een IPv6/IPv4 host naar een IPv6 router of host. Je kunt hierbij denken aan protocollen zoals 6to4, Isatap en Teredo. Het is hartstikke mooi dat deze tunnels automatisch gemaakt worden, maar daarin zit nu juist een security risico. Zijn deze tunnel technieken geactiveerd op een server of werkstation, dan loop je het risico dat er automatisch een tunnel gemaakt wordt naar een router op internet. Als je Firewall IPv6 niet snapt en het gewoon doorlaat heb je dus een groot security gat.
Iemand vanaf het internet kan nu zo een connectie maken naar een server of werkstation. Het is dan zelfs mogelijk om deze server of werkstation in te zetten als router en op die manier het gehele interne netwerk bloot te stellen aan het internet. De meeste moderne operating systems hebben deze tunnels geactiveerd. Dus zonder dat je iets doet maak je gebruik van een deze tunnels.
In een6to4 test met wat collega’s zag ik dat al snel 50 procent van alle providers een 6to4 router hebben. Deze test kun je zelf ook doen door te pingen naar 192.88.99. Krijg je een reactie dan kun je een 6to4 server bereiken. Beschik je over een publiek IPv4 adres, dan kan je computer een 6to4 tunnel ‘spontaan’ gaan opzetten.
De noodzaak voor deze technieken is erg discutabel, het is verstandiger om ze uit te zetten op een server. Alleen als het niet mogelijk is om IPv6 native te routeren kun je gaan werken met deze technieken.
Tja dan heb je dus een tunnel en zijn we weer terug bij het begin van de discussie ;-). Een tunnel verhoogt het veiligheidsrisico. Een dual stack oplossing zou dan beter zijn. Je kan dan native ipv4 blijven gebruiken maar ook native ipv6 verstaan.
Dual IP stack implementation
Dual-stack (or native dual-stack) refers to side-by-side implementation of IPv4 and IPv6. That is, both protocols run on the same network infrastructure, and there’s no need to encapsulate IPv6 inside IPv4 (using tunneling) or vice-versa. Dual-stack is defined in RFC 4213.[43]
Although this is the most desirable IPv6 implementation, as it avoids the complexities and pitfalls of tunneling (such as security, increased latency, management overhead, and a reduced PMTU),[44] it is not always possible, since outdated network equipment may not support IPv6. A good example is cable TV-based internet access. In modern cable TV networks, the core of the HFC network (such as large core routers) is likely to support IPv6. However, other network equipment (such as a CMTS) or customer equipment (like cable modems) may require software updates or hardware upgrades to support IPv6. This means cable network operators must resort to tunneling until the backbone equipment supports native dual-stack.
Victorie22, bedankt voor je goede input en links, ik heb ze meegenomen.
Echter heb ik het niet over tunnels maar over een scheiding. De wereld praat tegen mijn webservers, de webserver praat met de interne (database) servers. Daar komt geen tunnel aan te pas. Het is niet zo dat een IPv6 client verder komt dan de webserver.