IPV4 IS OP – WAT NU?!

Nu hoor je er echter nog niet zo heel veel van behalve veel vragen. Dit komt doordat het statement dat IPv4 op is nog niet helemaal waar is. RIPE (de officiële uitgever van IP adressen) is weliswaar door de voorraad heen, maar de verschillende providers hebben dat aan zien komen en dus nog veel IP adressen ingekocht.

Ok, dus er hoeft dus nog niets te gebeuren?
Dat is ook niet waar, alle apparatuur die je koopt moet minimaal IPv6 ready zijn. Op dit moment is er nog maar een heel beperkt aantal providers dat IPv6 voor consumenten en bedrijven aanbiedt. Dit zal in de loop van 2013 en 2014 grondig gaan veranderen. IPv6 wordt dan steeds meer aangeboden. Als dit aangeboden wordt moet je apparatuur daar wel klaar voor zijn.

Wat is het probleem als IPv4 opraakt?
Als IPv4 adressen op raken, dan rest een provider niets anders dan een nieuwe klant een IPv6 adres aan te bieden. Gezien de recente ontwikkelingen is de verwachting dat er binnenkort in India de eerste bedrijven zijn die alleen IPv6 krijgen van een provider. Nu is het zo dat wanneer er op internet iemand IPv4 praat niet kan communiceren met iemand die IPv6 praat zonder tussenkomst van allerlei apparatuur. Uiteindelijk zal iemand in India dus een website online zetten die alleen benaderbaar is via IPv6. Als jij alleen maar IPv4 gebruikt kun je die website niet benaderen. Nu is dat voor een website natuurlijk nog niet zo heel erg, maar denk hierbij ook aan andere (communicatie) kanalen als email etc. Dit kan best een groot probleem worden.

Adressen omzetten van IPv4 naar IPv6?
Dat kan, zoiets gebeurt met behulp van extra apparatuur (proxy bijvoorbeeld). Echter dergelijke apparatuur wordt dan wel een bottleneck in het netwerk. Als een provider bijvoorbeeld een dergelijke dienst levert dan moeten alle klanten via die apparatuur om apparaten op het andere IPv netwerk te benaderen. Dus die apparatuur moet nogal wat data kunnen verstouwen. Voor zover ik het nu zie zijn er nog niet veel volwassen oplossingen aanwezig of in de maak om de vertaling IPv4 – IPv6 en andersom te doen.

Maar hoe los je het probleem dan op?
De makkelijkste oplossing is om Dual Stack te gaan draaien. Je computer krijgt dan zowel een IPv4 adres als een IPv6 adres. Het ene adres wordt gebruikt om op internet ander IPv4 machines te benaderen, het andere wordt gebruikt om andere IPv6 machines te benaderen. Als uiteindelijk iedereen in de hele wereld op alle apparatuur IPv6 heeft; dan is IPv4 vanzelf overbodig geworden. Dit traject zal echter nog jaaaaaren duren.

Dus snel iedereen die al internet heeft op Dual Stack is een oplossing?
Ja maar tevens de uitdaging, zoals gezegd bieden de meeste internet providers het momenteel nog niet aan. Als consument heb je dan geen IPv6 mogelijkheid.

Andere uitdaging is de apparatuur waarmee je op internet koppelt. In de IPv4 wereld was het gebruikelijk dat een netwerk maar één publiek IP adres krijgt. Het interne netwerk (thuis of op kantoor) gebruikt een private IP adres en de routermodem tussen het interne netwerk en het internet gebruikt de technologie NAT (Network Adress Translation) om het private IP adres te vertalen naar het publieke IP adres. Deze NAT functie zorgt ook voor een stukje veiligheid omdat een machine die met een private ip adres in het netwerk zit niet zomaar door iedereen vanaf internet aangeroepen kan worden. De NAT functie werkt als een soort minimalistische firewall.

Bij IPv6 zijn er voldoende adressen beschikbaar om iedere machine een publiek IPv6 adres te geven. En dat gaat ook gebeuren. Dus iedere machine met een IPv6 adres is door iedere andere machine vanaf (IPv6) internet te benaderen.

De NAT functie die dit voorheen voorkwam bestaat niet in IPv6 en dus moet er een andere security grens opgetrokken worden. Hierbij moet je dus denken aan de firewall op de machine zelf of een firewall ergens tussen het internet en het interne netwerk. Momenteel draaien met name veel consumenten met alleen de veiligheid van een NAT functie. Als zij op IPv6 gaan; dan hangt eigenlijk de thuiscomputer rechtstreeks aan internet zonder veiligheid (want veel mensen schakelen de firewall van bijvoorbeeld Windows uit). Gevolg … de machine hangt bijna onbeschermd aan internet.

Conclusie: De echte oplossing
Dual Stack is sowieso de oplossing, echter daarbij moet gelijk het vraagstuk over de firewall security opgelost worden!

Getallen en feiten

Totaal aantal adressen:

IPv4	4.294.967.296	=   2^32
IPv6	340.282.366.920.938.463.463.374.607.431.768.211.456	=   2^128

Uitgesproken:
IPv4 4,3 miljard IP adressen
IPv6 340 sextiljoen IP adressen

Lantech heeft een server live op internet op IPv6:
Naam:     ipv6.lantech.nl (http://ipv6.lantech.nl)
IP adres: 2001:980:52aa:1:50:56ff:fe96:28f4

Afkortingen in IPv6 adressen
Omdat de IPv6 adressen onmogelijk lang kunnen worden mag je ze inkorten. Ik pak even een voorbeeld, één van de Lantech IPv6 adressen is bijvoorbeeld.
2001:0980:52aa:0001:0050:56ff:0000:0828

Regel één is dat na een dubbele punt de nullen weggelaten mogen worden je krijgt dan:
2001:980:52aa:1:50:56ff:0:828

Regel twee is dat je één keer een reeks 0-en tussen dubbele punten weg mag laten:
2001:980:52aa:1:50:56ff::828

Dit kan best ver gaan, een ander voorbeeld:
Lang:    2001:0980:52aa:0001:0000:0000:0000:0008
Kort:     2001:980:52aa:1::8

Auteur: Rian van Weeghel | Security Consultant | Lantech BV

Meer weten
Blijf dus niet achter en neem nog vandaag contact met ons op voor meer informatie. Contactgegevens vindt u hieronder:

Glenn Ouendag
Marketing Manager
Lantech BV
www.lantech.nl
gouendag@lantech.nl