'Opraken ipv4 geen bedreiging voor internet'
Het opraken van ipv4-adressen is weliswaar een probleem, maar geen bedreiging voor de ontwikkeling van het internet. Dat zegt de medevoorzitter van de ipv6-werkgroep van de IETF in een interview met Tweakers.net.
"De huidige situatie is te vergelijken met het jaar 2000", aldus ipv6-werkgroepvoorzitter Fred Baker. "Door de ophef destijds realiseerden mensen zich dat ze iets moesten doen en daardoor zijn problemen voorkomen", zegt hij tegen Tweakers.net.
Volgens Baker was het geschikt maken van software voor het jaar 2000 niet veel anders dan de huidige situatie, waarbij het aantal beschikbare ipv4-adressen dreigt op te raken. "Ja, we zitten in een crisis, dus moeten we iets doen", stelt Baker, die bij Cisco in dienst is als fellow.
Onlangs nog kondigde RIPE NCC aan dat het laatste beschikbare ipv4-blok was uitgedeeld, op een kleine reserve na. De oplossing is een overstap naar ipv6, maar het overgrote deel van de Nederlandse isp's biedt nog geen ipv6 aan zijn klanten aan; van de grote isp's is dat alleen Xs4all. Volgens Baker gebeurt er echter op de achtergrond heel veel. "We hebben op dit moment circa 7300 isp's in de wereld. Daarvan is de helft bezig met de uitrol van ipv6, heb ik begrepen. De andere isp's zijn zich aan het voorbereiden."
Met de uitrol van ipv6 zijn network address translation-routers, die ooit zijn uitgevonden omdat men al inzag dat niet elke computer een eigen ip-adres op het internet zou kunnen krijgen, straks niet meer nodig. Sommigen vrezen dat de veiligheid van het internet achteruitgaat als computers rechtstreeks aan het internet hangen. Volgens Baker is dat een 'mythe'. "Bij toeval bieden nat-routers functionaliteit aan die je aantreft in een firewall", zegt Baker. "Andere firewalls kunnen die taken echter overnemen."
Hoewel een overstap naar ipv6 noodzakelijk is om het internet te kunnen blijven uitbreiden, denkt Baker dat het nog wel even duurt voordat het ipv4-deel van het internet helemaal verdwijnt. "Op het internet gooien we niet zo snel iets weg", zegt hij. Volgens de voorzitter zullen mensen niet snel overstappen, totdat 30 à 40 procent van het internet via ipv6 te bereiken is. "Dat is de kritieke grens voor adoptie van een nieuwe techniek." Daarna zal de overstap snel gaan, denkt hij en bij 70 tot 80 procent adoptie zal niemand nog ipv4-adressen leveren.
Baker schat dat die 70-à-80-procent-grens in vijf jaar zal zijn bereikt; tegen die tijd is alle hardware en software die nog geen ipv6 ondersteunt, vervangen. Ipv4 is niet compatibel met ipv6. "Linux en Mac OS X ondersteunen ipv6 al heel lang, maar Windows nog maar sinds Vista", zegt Baker. Veel mensen gebruiken nog XP, dat in ieder geval out-of-the-box geen ipv6 ondersteunt. Ook veel consumentenrouters die ouder zijn dan een of twee jaar, hebben nog geen ondersteuning. "Die consumentenrouters zijn het grootste probleem", stelt Baker.
Baker, die tot 2001 voorzitter van de IETF was, zegt dat bij de ontwikkeling van ipv6 in ieder geval één fout is gemaakt; net als ipv4 is het niet forward compatible en kan het dus niet worden aangepast. "De enige manier om het te veranderen is een nieuwe versie te bedenken", aldus Baker. Dat er een dag komt waarop ipv6 niet meer voldoet, staat volgens Baker wel vast. Tegen die tijd zullen we het willen veranderen op een manier die we ons nu nog niet kunnen voorstellen, denkt hij.
Reacties (89)
Wat bedoelt hij, je gaat een firewall toch niet gebruiken als router? Los van dat dit ongebruikelijk is wordt zoiets met ip6 adressen ook onhandiger."Bij toeval bieden nat-routers functionaliteit aan die je aantreft in een router", zegt Baker. "Andere firewalls kunnen die taken echter overnemen."
Het zijn de isp's die moeten overstappen, niet 'de mensen'.Volgens de voorzitter zullen mensen niet snel overstappen, totdat 30 à 40 procent van het internet via ipv6 te bereiken is.
Nee, maar een router is dadelijk (voor het merendeel van de mensen) niet nodig, omdat die deze voornamelijk als NAT-apparaat gebruiken.Wat bedoelt hij, je gaat een firewall toch niet gebruiken als router? Los van dat dit ongebruikelijk is wordt zoiets met ip6 adressen ook onhandiger.
Maar je kan uiteraard altijd zelf nog een firewall installeren voor de beveiliging (een functie die de router normaliter ook heeft).
[Reactie gewijzigd door CJ_Latitude op donderdag 27 september 2012 09:44]
Als de router bij de consument wegvalt zal er inderdaad iets van een switch / accesspoint met ingebouwde firewall terug moeten komen denk ik.
Zie gewoon dat je je zaakjes op orde hebt denk ik dan. De consument moet zelf zien dat zijn systeem goed beveiligd is. NAT is nooit bedoeld geweest als beveiliging.
"NAT is nooit bedoeld geweest als beveiliging"
NAT is juist wel vaak bedoeld als (deel van de) beveiliging. NAT zal ook in IPv6 gebruikt gaan worden.
NAT is juist wel vaak bedoeld als (deel van de) beveiliging. NAT zal ook in IPv6 gebruikt gaan worden.
Jij hebt er denk ik niet veel van begrepen. NAT is een oplossing (eigenlijk een hack) om het tekort van publieke ip adressen op te lossen. Doordat alle machines achter een NAT router geen publiek ip adres hebben, zijn ze niet makkelijk van buitenaf te bereiken, tenzij de router ook de andere kant op NAT. Dit is dus nep veiligheid.
Wat je eigenlijk wil, is een firewall die bepaalt welke pakketjes wel naar binnen mogen en welke niet. En dat zou op dit moment met NAT ook het geval moeten zijn. Als dat niet zo is, heb je je netwerk gewoon niet fatsoenlijk beveiligt.
Wat je eigenlijk wil, is een firewall die bepaalt welke pakketjes wel naar binnen mogen en welke niet. En dat zou op dit moment met NAT ook het geval moeten zijn. Als dat niet zo is, heb je je netwerk gewoon niet fatsoenlijk beveiligt.
Dit is onbewust zo gekomen, zoals borft ook al aangeeft is NAT alleen bedoeld voor het tekort aan adressen "op te lossen"
Gegevensbeveiliging op IP-niveau
IPv6 maakt het mogelijk om gegevens tijdens het transport te voorzien van beveiliging. Deze beveiliging kent twee vormen:
Versleuteling (encryptie) van gegevens. Zender en ontvanger kunnen een sleutel afspreken waarmee het gegevenstransport beveiligd wordt. IPv4 kent deze mogelijkheid niet, waardoor veel beveiligingsvarianten boven de IP-laag ontwikkeld zijn, bijvoorbeeld VPN, HTTPS of SSH. De versleuteling van IPv6 maakt beveiliging op bovenliggende niveaus overbodig: ieder gegevenstransport op basis van IPv6 kan immers veilig gebeuren.
Authenticatie van gegevens. Hierbij kan de zender ieder pakket voorzien van een elektronische waarborg. Andere partijen kunnen de gegevens niet ongemerkt wijzigen, noch zich als de oorspronkelijke afzender voordoen. Hierdoor heeft de ontvanger zekerheid over de herkomst van de ontvangen IP-pakketten.
Deze gegevensbeveiliging maakt het onder andere mogelijk "closed user groups" te creëren van computers die alleen onderling contact mogen hebben, terwijl zij toch op willekeurige plekken op het internet aangekoppeld worden.
IPv6 maakt het mogelijk om gegevens tijdens het transport te voorzien van beveiliging. Deze beveiliging kent twee vormen:
Versleuteling (encryptie) van gegevens. Zender en ontvanger kunnen een sleutel afspreken waarmee het gegevenstransport beveiligd wordt. IPv4 kent deze mogelijkheid niet, waardoor veel beveiligingsvarianten boven de IP-laag ontwikkeld zijn, bijvoorbeeld VPN, HTTPS of SSH. De versleuteling van IPv6 maakt beveiliging op bovenliggende niveaus overbodig: ieder gegevenstransport op basis van IPv6 kan immers veilig gebeuren.
Authenticatie van gegevens. Hierbij kan de zender ieder pakket voorzien van een elektronische waarborg. Andere partijen kunnen de gegevens niet ongemerkt wijzigen, noch zich als de oorspronkelijke afzender voordoen. Hierdoor heeft de ontvanger zekerheid over de herkomst van de ontvangen IP-pakketten.
Deze gegevensbeveiliging maakt het onder andere mogelijk "closed user groups" te creëren van computers die alleen onderling contact mogen hebben, terwijl zij toch op willekeurige plekken op het internet aangekoppeld worden.
Je modem heeft al een firewall dus er valt niks weg.
Het enige wat noemenswaardig is, is het kleine beetje extra veiligheid dat een NAT bied maar zelfs dat is eigenlijk al een oude mythe geworden omdat bijna alle nieuwe modem/routers gebruik maken van uPnP waardoor dat veiligheids laag al verdwenen was.
Het enige wat noemenswaardig is, is het kleine beetje extra veiligheid dat een NAT bied maar zelfs dat is eigenlijk al een oude mythe geworden omdat bijna alle nieuwe modem/routers gebruik maken van uPnP waardoor dat veiligheids laag al verdwenen was.
... omdat bijna alle nieuwe modem/routers gebruik maken van uPnP waardoor dat veiligheids laag al verdwenen was.
Ik heb nooit begrepen waarom die functie bij de meeste routers standaard aan staat.
De voordelen van deze functie wegen niet op tegen de nadelen.
Het is het eerste wat ik uit zet wanneer ik zo'n thuisroutertje configureer.
En wanneer je windows gebruikt is een NAT-router wel degelijk een zinvolle extra stap in je totale beveiliging, in iedergeval voor het gros van de gebruikers ...
Ik heb nooit begrepen waarom die functie bij de meeste routers standaard aan staat.
De voordelen van deze functie wegen niet op tegen de nadelen.
Het is het eerste wat ik uit zet wanneer ik zo'n thuisroutertje configureer.
En wanneer je windows gebruikt is een NAT-router wel degelijk een zinvolle extra stap in je totale beveiliging, in iedergeval voor het gros van de gebruikers ...
UPnP is alleen van binnenuit te gebruiken, als je systemen van binnenuit al gehacked zijn, maken die poorten ook niet meer uit, malware kan doen wat-ie wil, uitgaand verkeer kan gewoon naar buiten. Bovendien heeft UPnP als voordeel dat als een programma een poort niet meer nodig heeft (of afgesloten is), de poort ook automatisch weer dicht gaat. Bij handmatig portforwarden niet, die staat altijd open naar de buitenwereld.
[Reactie gewijzigd door Dreamvoid op donderdag 27 september 2012 12:04]
UPnP wordt echt heel veel gebruikt door de applicaties die veel mensen gebruiken. Denk bijvoorbeeld aan een torrent-client, die komt niet ver zonder UPnP. Maar ook moderne games zoals CoD:MW3 hebben UPnP nodig om goed te functioneren, en ik geloof dat de Xbox ook UPnP gebruikt om voicechat te krijgen. En veel mensen hebben een Xbox thuis tegenwoordig.
UPnP is sowieso alleen van binnenaf te bereiken, en op het moment dat je UPnP als beveiliging gaat gebruiken had je beter een antivirus kunnen installeren dan een firewall.
UPnP is sowieso alleen van binnenaf te bereiken, en op het moment dat je UPnP als beveiliging gaat gebruiken had je beter een antivirus kunnen installeren dan een firewall.
[Reactie gewijzigd door TvdW op donderdag 27 september 2012 11:10]
NAT "veiligheid" heeft alleen nut als je ook een DMZ omgeving bouwt en alle verkeer daarnaartoe forward om het verkeer daar door een extra beschermlaag heen te filteren.
Het veiligheid is dan dat de aanvaller simpel weg altijd in het DMZ terecht komt en dus niet gebruik kan maken van de kwetsbaarheden van de rest van het netwerk.
Maar zodra jij porten forward naar een individuele PC dan is je hele veiligheid niveau gelijk het raam uit gegooid en ben je alleen maar jezelf voor de gek aan het houden dat je extra beveiliging hebt.
uPnP heeft inderdaad een zwakke punt dat als men eenmaal in je systeem is binnen gedrongen dat ze gemakkelijk de port-forwarding zelf kunnen programmeren en zo je systeem nog kwetsbaarder maken.
Echter het initiële beveiliging als men je systeem nog niet is binnengedrongen, is exact hetzelfde niveau als met een standaard NAT forwarding.
uPnP heeft echter als voordeel dat de port forwarding alleen actief is zolang je het gebruikt dus vanuit een hackers perspectief is uPnP moeilijker om te penetreren dan een standaard NAT omdat onbekend is hoelang en wanneer het forwarding open staat.
Met NAT is alleen belangrijk dat het betreffende PC aan staat.
uPnP is prima zolang je een degelijke virusscanner gebruikt terwijl NAT vaak alleen maar een illusie van veiligheid is.
Edit: @Titusvh
Het is juist de bedoeling om alles aan het DMZ systeem bloot te stellen dat is het hele functie van een DMZ en vaak in de praktijk is het DMZ niks anders dan een hardwarematige firewall.
Verder klopt het wat je zegt maar dan is NAT helemaal niet meer van toepassing en gooi je gewoon alle porten dicht met een firewall.
Het gaat erom dat je dus wel gebruik maakt van het NAT functie en wat daar aan "veiligheid" bij komt.
Het veiligheid is dan dat de aanvaller simpel weg altijd in het DMZ terecht komt en dus niet gebruik kan maken van de kwetsbaarheden van de rest van het netwerk.
Maar zodra jij porten forward naar een individuele PC dan is je hele veiligheid niveau gelijk het raam uit gegooid en ben je alleen maar jezelf voor de gek aan het houden dat je extra beveiliging hebt.
uPnP heeft inderdaad een zwakke punt dat als men eenmaal in je systeem is binnen gedrongen dat ze gemakkelijk de port-forwarding zelf kunnen programmeren en zo je systeem nog kwetsbaarder maken.
Echter het initiële beveiliging als men je systeem nog niet is binnengedrongen, is exact hetzelfde niveau als met een standaard NAT forwarding.
uPnP heeft echter als voordeel dat de port forwarding alleen actief is zolang je het gebruikt dus vanuit een hackers perspectief is uPnP moeilijker om te penetreren dan een standaard NAT omdat onbekend is hoelang en wanneer het forwarding open staat.
Met NAT is alleen belangrijk dat het betreffende PC aan staat.
uPnP is prima zolang je een degelijke virusscanner gebruikt terwijl NAT vaak alleen maar een illusie van veiligheid is.
Edit: @Titusvh
Het is juist de bedoeling om alles aan het DMZ systeem bloot te stellen dat is het hele functie van een DMZ en vaak in de praktijk is het DMZ niks anders dan een hardwarematige firewall.
Verder klopt het wat je zegt maar dan is NAT helemaal niet meer van toepassing en gooi je gewoon alle porten dicht met een firewall.
Het gaat erom dat je dus wel gebruik maakt van het NAT functie en wat daar aan "veiligheid" bij komt.
[Reactie gewijzigd door Caelestis op donderdag 27 september 2012 15:16]
Als je geen DMZ definieert weet de router niet waar hij de pakketjes aan moet doorsturen dus worden die gewoon weggegooid.NAT "veiligheid" heeft alleen nut als je ook een DMZ omgeving bouwt en alle verkeer daarnaartoe forward om het verkeer daar door een extra beschermlaag heen te filteren.
In die zin is (een systeem in ) de DMZ terwijl dat niet nodig is juist gevaarlijker. Omdat dat systeem aan al het van buitenkomend onheil wordt blootgesteld.
Als NAT gebruikt wordt en er geen portforwarding gedefinieerd is, is het een prima "per ongeluk" firewall. Maar alleen voor onheil van buiten. Tegen onheil van binnen helpt NAT niets.
Ik schakel deze optie daarom ook altijd uit. De uPnP functie maakt het voor computer leken wel makkelijker maar idd zeker niet veiliger.
Firewall heeft niets met een router te maken.
Er zijn daarom ook routers die niet eens een firewall hebben. Bijvoorbeeld de standaard Thompson routertjes die KPN bij ADSL(1) leverde.
Er zijn daarom ook routers die niet eens een firewall hebben. Bijvoorbeeld de standaard Thompson routertjes die KPN bij ADSL(1) leverde.
Een switch is, net als een hub, een apparaat in de infrastructuur van een computernetwerk. In tegenstelling tot een hub stuurt een switch een datapakket alleen naar de specifieke hardwarepoort van de switch waarop de computer is aangesloten waaraan het pakketje geadresseerd is. Een hub stuurt elk pakket naar alle poorten. In het verleden kon een hub niet omgaan met verschillende snelheden en een switch wel, maar ook hubs kunnen tegenwoordig omgaan met twee snelheden. Doordat de data alleen naar de poort wordt gestuurd waarop de eindbestemming van het pakket is aangesloten, vermindert het totale verkeer op het netwerk door switches toe te passen, en is het risico op botsingen (collisions) lager.
Het is beter dat ieder apparaat voldoende gehard is om direct aan internet te hangen, ze worden namelijk steeds vaker mobiel. En de meeste problemen doen zich nu voor binnen het thuisnetwerk waarbij de ene PC de volgende besmet, waarbij het verkeer niet eens langs een NAT komt.
Vergelijk NAT met de slotgracht uit de middeleeuwen: we zijn er ook achter gekomen dat het handiger is om iedere voordeur een slot te geven en de slotgracht verder maar weg te laten.
Tenslotte heeft IPv6 nog een aantal nieuwigheden waardoor de beveiliging veel beter kan worden, een scan van IP adressen met open poorten is bijvoorbeeld door het grote aantal vrijwel onmogelijk geworden.
Vergelijk NAT met de slotgracht uit de middeleeuwen: we zijn er ook achter gekomen dat het handiger is om iedere voordeur een slot te geven en de slotgracht verder maar weg te laten.
Tenslotte heeft IPv6 nog een aantal nieuwigheden waardoor de beveiliging veel beter kan worden, een scan van IP adressen met open poorten is bijvoorbeeld door het grote aantal vrijwel onmogelijk geworden.
Bij mijn voormalige ADSL-abonnement had mijn ADSL-modem een switch aan boord. De provider kon dus precies zien welke PC's aangesloten waren. Een aparte router met of onder NAT was niet nodig, althans niet als je inderdaad genoeg had aan de 4 poorten van dat apparaat.
Bij mijn huidige kabelmodem is dat anders. Dat ding kan namelijk slechts één apparaat connecteren. Wel onthoudt hij welke de laatste 4 mac-adressen aangesloten zijn geweest. Zolang je slechts één apparaat gelijk gebruikt gaat het lang goed, maar als je meerdere apparaten tegelijkertijd* gebruikt loopt het modem vast. Of dit door het modemin deze de beperking is of dat dit samenhangt met het kabelnetwerk kan ik geen uitspraken doen. In het laatste geval licht het dus echt aan de provider.
* bv als je ipv een router er een switch tussen zou zetten of als je router door een storing als switch is gaan functoneren (ben ik één keer tegen gekomen, reboot hielp).
Bij mijn huidige kabelmodem is dat anders. Dat ding kan namelijk slechts één apparaat connecteren. Wel onthoudt hij welke de laatste 4 mac-adressen aangesloten zijn geweest. Zolang je slechts één apparaat gelijk gebruikt gaat het lang goed, maar als je meerdere apparaten tegelijkertijd* gebruikt loopt het modem vast. Of dit door het modemin deze de beperking is of dat dit samenhangt met het kabelnetwerk kan ik geen uitspraken doen. In het laatste geval licht het dus echt aan de provider.
* bv als je ipv een router er een switch tussen zou zetten of als je router door een storing als switch is gaan functoneren (ben ik één keer tegen gekomen, reboot hielp).
[Reactie gewijzigd door BeosBeing op dinsdag 2 oktober 2012 15:09]
Oh? Dan vraag ik me af hoeveel van de abonnementhouders van XS4ALL IPv6 gebruiken. XS4ALL biedt het al heel lang aan, naast de gewone IPv4, maar de klant moet het zelf aanzetten, en een geschikte router hebben.Het zijn de isp's die moeten overstappen, niet 'de mensen'.
http://www.xs4all.nl/klant/helpdesk/internet/ipv6/
Maar het aanzetten voor alle mensen kan XS4all toch ook prima doen? dit zullen ze waarschijnlijk al wel voor die 30-40% grens is bereikt al wel doen.
Voor nieuwe klanten wordt IPv6 standaard geactiveerd:
https://blog.xs4all.nl/20...-op-nieuwe-aansluitingen/
https://blog.xs4all.nl/20...-op-nieuwe-aansluitingen/
Maar als de ISP's overstappen moeten alle 'mensen' een nieuwe Experiabox, Mediabox en hoe ze die dingen allemaal noem tegenwoord. En ik ben bang dat een hele hoop consumenten gewoon denken "De oude doet het toch ook gewoon?" waardoor er een hele hoop problemen gaan ontstaan..
Als de provider een vooringestelde 'box' met instructies opstuurt krijgen de mensen deze best zelf vervangen natuurlijk. Maar wie het mag betalen, ik denk de provider. Zonder directe noodzaak gaat de gemiddelde consument echt niet extra betalen voor hetzelfde eindresultaat.
Die kastjes zijn veelal bruikleen dus zullen gewoon terug gaan naar de provider zodat de consument geen keus heeft om zijn oude te blijven gebruiken.
Die mensen hebben vaak ook al een ipv4 adres voor die apparaten. Een modern apparaat dat verbonden is aan het internet kan prima een ipv4 en een ipv6 adres hebben tegelijk. De oude mediaboxen die enkel ipv4 ondersteunen kunnen het oude adres nog gebruiken.
Ik verwacht dat de IPv6 routers ook wel een modus hebben dat je WAN met IPv6 aansluit en je LAN met IPv4. Dan hoef je niet perse alle apparatuur te vervangen, maar alleen de router...
Ongebruikelijk? Voor consumentenrouters niet hoor. Die hebben vaak router, NAT, firewall, switch en evt. modem-functies ingebouwd in een apparaat.[...]
Wat bedoelt hij, je gaat een firewall toch niet gebruiken als router? Los van dat dit ongebruikelijk is wordt zoiets met ip6 adressen ook onhandiger.
Dan nog steeds ga je geen firewall gerbuiken als router hoor.
Je gebruikt een router met ingebouwde firewall.
Je gebruikt een router met ingebouwde firewall.
Hij bedoelt dat je computers achter een NAS router niet rechtstreeks kunt benaderen. Je kunt ze dus niet scannen op open poorten of zwakke plekken. De comp heeft geen eigen adres op het internet. Als je het adres van de router aanspreekt, communiceer je met de router en niet met de computer.
Dat wordt vaak gezien als extra veiligheid.
Enne... de 'mensen' moeten toch echt wel overstappen. Als ik van mijn ISP een ipv6 adres krijg, moeten de ISP-router, mijn router, mijn NAS en al mijn computers daar mee gaan werken. Ik blijf dan niet mijn eigen kleine IP4 netwerkje houden.
Dat wordt vaak gezien als extra veiligheid.
Enne... de 'mensen' moeten toch echt wel overstappen. Als ik van mijn ISP een ipv6 adres krijg, moeten de ISP-router, mijn router, mijn NAS en al mijn computers daar mee gaan werken. Ik blijf dan niet mijn eigen kleine IP4 netwerkje houden.
Dat kan met IPv6 ook niet, er staat nog steeds een router (met firewall) tussen.Hij bedoelt dat je computers achter een NAS router niet rechtstreeks kunt benaderen.
[Reactie gewijzigd door Dreamvoid op donderdag 27 september 2012 10:58]
Bij IPv6 heb je op zich geen router en firewall meer nodig thuis, alleen nog een switch. Maar in praktijk zal de router + firewall nog gewoon blijven om IPv4 verkeer te regelen en dan kun je hem ook voor IPv6 gebruiken.
Excuses. Baker bedoelde 'firewall', inmiddels aangepast.Wat bedoelt hij, je gaat een firewall toch niet gebruiken als router? Los van dat dit ongebruikelijk is wordt zoiets met ip6 adressen ook onhandiger.
Een firewall is per definitie een router tenzij het een transparent firewall is... Transparent firewalls zul je bij consumenten niet snel vinden en zelfs in de meeste bedrijven niet. Je stuurt je pakketjes naar je firewall, die laat ze wel of niet door en als hij ze door laat stuurt hij ze verder. Die routeert dus wel degelijk.Wat bedoelt hij, je gaat een firewall toch niet gebruiken als router? Los van dat dit ongebruikelijk is wordt zoiets met ip6 adressen ook onhandiger.
Een router stuurt ze per definitie verder, mits hij routes heeft voor de destination uiteraard, gezien er geen firewall op staat.
Ook al incorrect. Heel veel providers leveren alleen een modem, mensen voegen zelf bijv. een access point toe, moeten zelf de modem instellen, etc. Niet alle ISP's doen het beheer van je 'modem' voor je. Sterker nog, op consumenten gebied de meeste niet volgens mij. Mensen zullen dus wel degelijk zelf iets moeten doen in veel gevallen, dat de ISP ze hier toe aan zal sporen maakt daar weinig verschil in.Het zijn de isp's die moeten overstappen, niet 'de mensen'.
Met NAT heb je al iets wat sessies bij houd, dus een stateful firewall is dan zo toegevoegd. Tevens moet je port forwards maken om dingen door te sturen naar binnen. Het enige wat vervalt zijn de NAT tabellen en de port forwards en de stateful firewall blijft. Ipv dat je poortje X op IP 1.2.3.4 forward naar 8.9.10.11 maak je nu gewoon een rule aan dat inkomen verkeer op poortje X voor IP 8.9.10.11 door mag.
Zo spannend is het allemaal niet. Behalve de belachelijk grote getallen op IPv6 dan - gaat echt nergens over
. Gaan van Ziggo een /48 krijgen op de zakelijke lijn, dat zijn echt bizar veel adressen.Een kabel stuurt ook pakketjes door, maar dat maakt 't nog geen router. Een router is een device wat beslissingen neemt over de route. Een zuivere firewall neemt geen beslissingen over een route, en is dus geen router.
Een NAT device is dan wel weer een router, omdat de NAT rewrite het mogelijk maakt om je IP pakketje een wereldwijde ipv lokale route te geven.
Een NAT device is dan wel weer een router, omdat de NAT rewrite het mogelijk maakt om je IP pakketje een wereldwijde ipv lokale route te geven.
Wat is een zuivere firewall voor jou dan? Hij bepaald wel degelijk of het naar z'n wan poort, lan poort, dmz poort, etc. moet. Hij routeert dus.
edit:
Zat het wat duidelijker maken, je kunt de firewall software wel los zien van de routerings software / IP stack, maar je kunt ze NIET afzonderlijk gebruiken. Zonder de onderliggende stack doet je firewall geen hol nl. Daarentegen functioneert je IP stack prima zonder het firewall gedeelte. Je kunt dus routeren zonder firewall, maar tenzij je firewall transparent is (en dan is het nog maar hoe je d'r tegen aan wil kijken, moet nog steeds een poort in en een poort uit al kan het dezelfde zijn) niet firewallen zonder routering.
Zat het wat duidelijker maken, je kunt de firewall software wel los zien van de routerings software / IP stack, maar je kunt ze NIET afzonderlijk gebruiken. Zonder de onderliggende stack doet je firewall geen hol nl. Daarentegen functioneert je IP stack prima zonder het firewall gedeelte. Je kunt dus routeren zonder firewall, maar tenzij je firewall transparent is (en dan is het nog maar hoe je d'r tegen aan wil kijken, moet nog steeds een poort in en een poort uit al kan het dezelfde zijn) niet firewallen zonder routering.
[Reactie gewijzigd door freaky op donderdag 27 september 2012 12:19]
Je kan best firewallen zonder routering: de beslissing naar welk poortje een packet doorgestuurd moet worden kan ook op basis van bridging gebeuren. Bridging en routering werken op verschillende lagen van de stack.
"Je kan best firewallen zonder routering"
Dan moet je wel je eigen software schrijven inclusief eigen ethernet en IP stack.
Dus praktisch is het onmogelijk.
Dan moet je wel je eigen software schrijven inclusief eigen ethernet en IP stack.
Dus praktisch is het onmogelijk.
Het is prima mogelijk om een IP-filter te draaien op een bridged ethernet connectie. Je hebt dan geen routerings-logica nodig, slechts een zeer simpele IP-stack.
Je kunt dus prima packet-filteren zonder te routen. Ook in de praktijk.
Je kunt dus prima packet-filteren zonder te routen. Ook in de praktijk.
[Reactie gewijzigd door tofus op donderdag 27 september 2012 16:23]
Ongelooflijk hoe snel de tijd gaat, IPv4 dat aan het opraken is.. Ik kan me nog herinneren tijdens een van mijn lessen 4 jaar geleden dat er toen voor gewaarschuwd werd, maar het nog een tijdje zou duren...
Maar o wat heerlijk dat de techniek zo hard gaat, het is een ontzettend interessante tijd om in te leven en het allemaal mee te maken
Maar o wat heerlijk dat de techniek zo hard gaat, het is een ontzettend interessante tijd om in te leven en het allemaal mee te maken
Vier jaar geleden? Al vanaf de eerste nat routers werd dit al uitvoerig besproken, misschien niet bij de IT opleidingen maar op het internet was er al veel over te lezen. We spreken dan al over ruim tien jaar geleden. Daarvoor was het misschien nog alleen echt bekend bij mensen die zich veel in de techniek achter het internet verdiepte.
Mij heeft het al deze jaren verbaast dat we met ze allen houtje touwtje NAT oplossing gebruiken. Dit had al veel en veel eerder doorgevoerd kunnen worden.
Zie: nieuws: IP v6 is op komst
Mij heeft het al deze jaren verbaast dat we met ze allen houtje touwtje NAT oplossing gebruiken. Dit had al veel en veel eerder doorgevoerd kunnen worden.
Zie: nieuws: IP v6 is op komst
[Reactie gewijzigd door martin_v_z op donderdag 27 september 2012 11:56]
Wat m.i. niet meewerkt aan de verdere verspreiding van ipv6 is dat er voor de gewone consument vooralsnog geen enkel voordeel zit aan een migratie naar ipv6. Sterker nog, je hebt alleen maar meer risico op snelheidsverlies bij de 'vertaling' van ipv6 naar ipv4 bij je provider.
Of kan iemand hier op tweakers een voordeel van ipv6 verzinnen?
Of kan iemand hier op tweakers een voordeel van ipv6 verzinnen?
geen poort forwarding, geen nat gezeik, en hoezo snelheidsverlies? en hoezo risico's? je hebt een gigantische ip range voor jezelf, wat wil je nog meer? daarbij kan je in je interne netwerk gewoon ipv4 gebruiken als je dat zou graag wilt, nog steeds lopen kutten met nat en poort forwarding.
Graag, alle poorten dicht die ik niet gebruik. een stuk veiliger!
Voordeel is dat je klaar bent voor de toekomst als je sites/diensten krijgt die enkel via ipv6 te bereiken zijn.
Verder vraag ik me af over welke vertaling je het hebt want alles werkt gewoon ipv6 en ipv4 komt nergens meer terug als jouwn netwerk en dat van de site die je bezoekt (en alle tussenliggende routers) ipv6 gebruiken.
Verder vraag ik me af over welke vertaling je het hebt want alles werkt gewoon ipv6 en ipv4 komt nergens meer terug als jouwn netwerk en dat van de site die je bezoekt (en alle tussenliggende routers) ipv6 gebruiken.
Als consument en eindpunt van de internetverbinding weet je niet of alle tussenliggende routers en de webserver wel op ipv6 over zijn. Dan kan je volgens mij beter wachten totdat vrijwel alle content-aanbieders, websites en SAAS-leveranciers over ipv6 te bereiken zijn.als jouwn netwerk en dat van de site die je bezoekt (en alle tussenliggende routers) ipv6 gebruiken.
Ik vind het instellen van port forwarding en interne IP-ranges wel handig eigenlijk. Ik heb in ieder geval het gevoel het interne IP-verkeer redelijk te kunnen omleiden naar mijn wensen met gebruikmaking van NAT en port forwarding. Het schaalt ook meer dan afdoende voor mijn lokale twaalf clients.
voor de gewone consument zal er zelfs geen verschil zijn op voorwaarde dat alles en iedereen overstapt. Ook een dual stack structuur zou niet voor problemen mogen zorgen. De enige vertraging die ik me kan inbeelden is als je via een tunneling moet passeren omdat je zelf of de andere kant enkel het ene protocol kent en de andere enkel het andere.
Het feit dat je mensen kunt bereiken die straks geen IPv4 adres meer kunnen krijgen.
Kortere route tabellen.
Geen NAT gezeik.
Er is normaliter geen IPv4/IPv6 vertaling, je draait dual-stack. Als je geen quad-A record kan vinden val je terug op IPv4. Een extra DNS look-up dus, nauwelijks vertragend te noemen en uiteindelijk als alles quad-A's retourneert ook niet meer nodig.
En waarom zouden we ze 'verzinnen'? Het protocol is ontwikkeld met een doelstelling. Niet met wat jij lijkt te denken hey laten we een protocol maken en dan later gaan verzinnen waar het nuttig voor is...
IPSec e.d. is naar IPv4 geport, maar 3x raden waar het vandaan komt.
En dan zullen we het nog niet over MTU discovery, SLAAC (nah ja, ok, zonder DNS servers schiet je daar niet heel erg veel mee op en anderen hebben.
Had ik al gezegd geen broadcasts meer? Nou zal dat op je kleine thuis netwerk weinig boeien, maar goed
.
Kortere route tabellen.
Geen NAT gezeik.
Er is normaliter geen IPv4/IPv6 vertaling, je draait dual-stack. Als je geen quad-A record kan vinden val je terug op IPv4. Een extra DNS look-up dus, nauwelijks vertragend te noemen en uiteindelijk als alles quad-A's retourneert ook niet meer nodig.
En waarom zouden we ze 'verzinnen'? Het protocol is ontwikkeld met een doelstelling. Niet met wat jij lijkt te denken hey laten we een protocol maken en dan later gaan verzinnen waar het nuttig voor is...
IPSec e.d. is naar IPv4 geport, maar 3x raden waar het vandaan komt.
En dan zullen we het nog niet over MTU discovery, SLAAC (nah ja, ok, zonder DNS servers schiet je daar niet heel erg veel mee op
en anderen hebben.Had ik al gezegd geen broadcasts meer? Nou zal dat op je kleine thuis netwerk weinig boeien, maar goed
.Ik denk dat dit nog wel eens mee kan vallen: http://xkcd.com/865/Dat er een dag komt waarop ipv6 niet meer voldoet, staat volgens Baker wel vast.
Nee, het zal lang duren dat klopt, maar er wordt volgens mij wat te kwistig om gesprongen met de adressen:
Het feit is dat iedere ISP-Klant een zeer groot subnet ter beschikking krijgt. Dit is ideaal voor de route tabellen op het internet want anders zouden deze exponentieel stijgen. Maar het probleem daarmee is dat er extreem veel adressen verloren zullen gaan.
De bedoeling zou zijn dat iedere internet aansluiten ( vaste aansluiting ) een /48 of een /64 adres krijgt. dat wil zeggen dat iedere internet aanluiting een prefix van 48 of 64 bit krijgt en dus 'intern' een adres van 80 of 64bit ter beschikking krijgt. Ter vergelijking een ipv4 adres is 32 bit.
Dat wil zeggen dat iedere isp-klant meer adressen ter beschikking krijgt dat er nu ipv4 adressen zijn. Als er bijvoorbeeld iemand een internet aansluiting besteld met ipv6 en sluit daaraan 1 pc, wil dat zeggen dat er 1208925819614629174706176 - 2 adressen verloren gaan ( uitgaande van een /48 ) die nooit meer ergens anders kunnen gebruikt worden.
Maar dat wil ook zeggen dat het aantal ipv6 prefixen niet 'zodanig veel' groter zijn dan het aantal ipv4 adressen. Dit is natuurlijk een beetje overdreven, maar er gaan wel een heleboel adressen verloren die er eigenlijk kon voor zorgen dat we nog een langere tijd veilig waren.
Natuurlijk zal dit wel een lange tijd duren. Er zijn namelijk 65536 keer meer ipv6 prefixen ( uitgaande van een /48 ) dan dat er nu ipv4 adressen zijn. Ter vergelijking:
Aantal ipv4 adressen: 4294967296
Aantal ipv6 adressen: 3,4028236692093846346337460743177e+38
Aantal ipv6 prefixen met een /48 per aansluiting: 281474976710656
Het was dus mogelijk om nog een veel grotere reserve op te bouwen als we slechts een /96 of /120 toewijzen die nog meer dan genoeg zijn voor een normale thuis gebruiker.
@Trailblazer: Dat klopt inderdaad dat het nu niet meer kan om kleinere netwerken toe te wijzen. Ik doelde erop dat ze hiermee wel rekening konden gehouden hebben in het opstellen van de standaard.
@gryz: Dat is inderdaad ook een probleem die moest aangepast worden in de standaard. Maar het kan ook door de ISP zelf opgelost worden. Bijvoorbeeld, als een ISP een /24 toegewezen krijgt van ICANN om te verdelen onder zijn klanten, kunnen ze er ook voor kiezen om op enkele plaatsen hun /24 te announcen en dan met iBGP intern de routering verder zetten. Dan kan je als ISP zelf router summarization toepassen. Maar ik ben akkoord dat er ook even moest gekeken worden een eventuele aanpassingen van de routerings technieken.
@Mijzelf: mijn /120 voorbeeld was wat slecht gekozen, Laten we het houden op een /96. Dan kan je 32768 adressen toewijzen
edit: rekenfoutje en voorbeeld toegevoegd
Het feit is dat iedere ISP-Klant een zeer groot subnet ter beschikking krijgt. Dit is ideaal voor de route tabellen op het internet want anders zouden deze exponentieel stijgen. Maar het probleem daarmee is dat er extreem veel adressen verloren zullen gaan.
De bedoeling zou zijn dat iedere internet aansluiten ( vaste aansluiting ) een /48 of een /64 adres krijgt. dat wil zeggen dat iedere internet aanluiting een prefix van 48 of 64 bit krijgt en dus 'intern' een adres van 80 of 64bit ter beschikking krijgt. Ter vergelijking een ipv4 adres is 32 bit.
Dat wil zeggen dat iedere isp-klant meer adressen ter beschikking krijgt dat er nu ipv4 adressen zijn. Als er bijvoorbeeld iemand een internet aansluiting besteld met ipv6 en sluit daaraan 1 pc, wil dat zeggen dat er 1208925819614629174706176 - 2 adressen verloren gaan ( uitgaande van een /48 ) die nooit meer ergens anders kunnen gebruikt worden.
Maar dat wil ook zeggen dat het aantal ipv6 prefixen niet 'zodanig veel' groter zijn dan het aantal ipv4 adressen. Dit is natuurlijk een beetje overdreven, maar er gaan wel een heleboel adressen verloren die er eigenlijk kon voor zorgen dat we nog een langere tijd veilig waren.
Natuurlijk zal dit wel een lange tijd duren. Er zijn namelijk 65536 keer meer ipv6 prefixen ( uitgaande van een /48 ) dan dat er nu ipv4 adressen zijn. Ter vergelijking:
Aantal ipv4 adressen: 4294967296
Aantal ipv6 adressen: 3,4028236692093846346337460743177e+38
Aantal ipv6 prefixen met een /48 per aansluiting: 281474976710656
Het was dus mogelijk om nog een veel grotere reserve op te bouwen als we slechts een /96 of /120 toewijzen die nog meer dan genoeg zijn voor een normale thuis gebruiker.
@Trailblazer: Dat klopt inderdaad dat het nu niet meer kan om kleinere netwerken toe te wijzen. Ik doelde erop dat ze hiermee wel rekening konden gehouden hebben in het opstellen van de standaard.
@gryz: Dat is inderdaad ook een probleem die moest aangepast worden in de standaard. Maar het kan ook door de ISP zelf opgelost worden. Bijvoorbeeld, als een ISP een /24 toegewezen krijgt van ICANN om te verdelen onder zijn klanten, kunnen ze er ook voor kiezen om op enkele plaatsen hun /24 te announcen en dan met iBGP intern de routering verder zetten. Dan kan je als ISP zelf router summarization toepassen. Maar ik ben akkoord dat er ook even moest gekeken worden een eventuele aanpassingen van de routerings technieken.
@Mijzelf: mijn /120 voorbeeld was wat slecht gekozen, Laten we het houden op een /96. Dan kan je 32768 adressen toewijzen
edit: rekenfoutje en voorbeeld toegevoegd
[Reactie gewijzigd door RPSimon op donderdag 27 september 2012 12:01]
je kan geen 96 of /120 toewijzen aan een thuisgebruiker omdat ieder subnet altijd een /64 masker heeft. Vermoedelijk krijgen thuisgebrukers een /56 subnet toegewezen. Je kan dan nog 256 subnetten maken wat meer dan genoeg is per aansluiting.
ja je kan een ander masker configureren maar persoonlijk vind ik dat dat je hand er af gehakt moet worden.
ja je kan een ander masker configureren maar persoonlijk vind ik dat dat je hand er af gehakt moet worden.
[Reactie gewijzigd door TrailBlazer op donderdag 27 september 2012 11:42]
De uitspraak dat IPv6 op een dag niet meer zal voldoen heeft niks te maken met het aantal adressen.
Wat routing betreft, is IPv6 precies het zelfde als IPv4. Dezelfde ideeen, dezelfde algorithmen. En dus dezelfde problemen. Geen automatische summarization, geen ge-automatiseerde address-assignment (large scale), geen support voor multi-homing, geen echte mobility, geen on-the-fly renumbering, geen support voor traffic engineering of policy-based routing, geen locator/identifier-separation. Noem maar op. Allemaal features die ISPs in hun layer3 zouden willen hebben.
Als je de routing wilt verbeteren, zal je een nieuw layer-3 protocol moeten maken. Hoewel klanten thuis waarschijnlijk vinden dat er niks mis is het het huidige routing model, is dat niet het geval. Er kan een hoop verbeterd worden. Dat wisten we al in 1994, maar de IPv6-workgroup vond het niet nodig om die problemen toen te fixen. Want er was haast. Tsja.
Wat routing betreft, is IPv6 precies het zelfde als IPv4. Dezelfde ideeen, dezelfde algorithmen. En dus dezelfde problemen. Geen automatische summarization, geen ge-automatiseerde address-assignment (large scale), geen support voor multi-homing, geen echte mobility, geen on-the-fly renumbering, geen support voor traffic engineering of policy-based routing, geen locator/identifier-separation. Noem maar op. Allemaal features die ISPs in hun layer3 zouden willen hebben.
Als je de routing wilt verbeteren, zal je een nieuw layer-3 protocol moeten maken. Hoewel klanten thuis waarschijnlijk vinden dat er niks mis is het het huidige routing model, is dat niet het geval. Er kan een hoop verbeterd worden. Dat wisten we al in 1994, maar de IPv6-workgroup vond het niet nodig om die problemen toen te fixen. Want er was haast. Tsja.
[Reactie gewijzigd door gryz op donderdag 27 september 2012 12:22]
Meer dan genoeg? Met een /120 subnet heb ik nog maar 255 adressen. Vandaag is dat inderdaad genoeg, maar morgen? Mijn koelkast, boiler, magnetron, ... willen dan ook allemaal een IP adres. Kun je al die /120 subnetten weer gaan terughalen, en vervangen door iets groters.Het was dus mogelijk om nog een veel grotere reserve op te bouwen als we slechts een /96 of /120 toewijzen die nog meer dan genoeg zijn voor een normale thuis gebruiker.
Ik maak me trouwens vooral zorgen over de consumentenhardware.
Mijn computers en Ipad kunnen IPv6 wel aan.
En het modem van mijn provider krijgt misschien wel een software-update - als hij genoeg ROM heeft om dat aan te kunnen.
Maar mijn eigen router, en mijn NAS, daar maak ik mij wel zorgen over.
En mijn internet-TV. En mijn versterker-met-wifi. En mijn Mediaplayer.
Die kunnen best een software-update aan, alleen is dat totaal niet in het belang van de fabrikant. Die ziet liever dat ik nieuwe hardware koop, inplaats van software te schrijven voor oude hardware die hij al verkocht heeft.
En in dat geval zeg ik als consument: Stik er maar in, ik ga geen nieuwe hardware kopen omdat de fabrikant liever mijn geld pakt, dan dat hij software levert!
Ik denk dat vrijwel alle consumenten de hakken in het zand zullen zetten.
Ze zullen tegen hun provider zeggen: Stik maar met je IPv6, ik wil dat al mijn apparatuur blijft werken!
Ik denk dat je de apparatuur allemaal IPv6-ready moet gaan uitbrengen. Alles wordt dan IPV6-ready met het tempo van een normale vervangingscyclus van 4-8 jaar.
En dan weet ik nog een pijnpunt:
Al die software op al die apparaten (ook voor apparatuur die nu al IPv6-ready wordt uitgeleverd) gaat nog een tijd lang kwetsbaarheden bevatten - voor aanvallen die nog niet eens bedacht zijn. Die software moet dus bijgewerkt blijven.
Gelukkig kan ik eindigen met een zonnige noot: IPv6-ready apparatuur die op IPv4 én IPv6 kan werken, zal in een aantal landen gewoon noodzaak worden omdat daar geen IPv4 adressen meer zijn.
Daar wordt de software dus grondig getest en worden de bugs geplet.
Vervolgens wordt die software ook standaard uitgeleverd op de plekken waar iedereen nog een tijd lang met IPv4 zal werken.
Op een gegeven moment is 90% van je apparatuur al klaar voor IPv6 terwijl je dat misschien niet eens weet.
Dat zou mooi zijn
Het wordt echt een enorme operatie...
Mijn computers en Ipad kunnen IPv6 wel aan.
En het modem van mijn provider krijgt misschien wel een software-update - als hij genoeg ROM heeft om dat aan te kunnen.
Maar mijn eigen router, en mijn NAS, daar maak ik mij wel zorgen over.
En mijn internet-TV. En mijn versterker-met-wifi. En mijn Mediaplayer.
Die kunnen best een software-update aan, alleen is dat totaal niet in het belang van de fabrikant. Die ziet liever dat ik nieuwe hardware koop, inplaats van software te schrijven voor oude hardware die hij al verkocht heeft.
En in dat geval zeg ik als consument: Stik er maar in, ik ga geen nieuwe hardware kopen omdat de fabrikant liever mijn geld pakt, dan dat hij software levert!
Ik denk dat vrijwel alle consumenten de hakken in het zand zullen zetten.
Ze zullen tegen hun provider zeggen: Stik maar met je IPv6, ik wil dat al mijn apparatuur blijft werken!
Ik denk dat je de apparatuur allemaal IPv6-ready moet gaan uitbrengen. Alles wordt dan IPV6-ready met het tempo van een normale vervangingscyclus van 4-8 jaar.
En dan weet ik nog een pijnpunt:
Al die software op al die apparaten (ook voor apparatuur die nu al IPv6-ready wordt uitgeleverd) gaat nog een tijd lang kwetsbaarheden bevatten - voor aanvallen die nog niet eens bedacht zijn. Die software moet dus bijgewerkt blijven.
Gelukkig kan ik eindigen met een zonnige noot: IPv6-ready apparatuur die op IPv4 én IPv6 kan werken, zal in een aantal landen gewoon noodzaak worden omdat daar geen IPv4 adressen meer zijn.
Daar wordt de software dus grondig getest en worden de bugs geplet.
Vervolgens wordt die software ook standaard uitgeleverd op de plekken waar iedereen nog een tijd lang met IPv4 zal werken.
Op een gegeven moment is 90% van je apparatuur al klaar voor IPv6 terwijl je dat misschien niet eens weet.
Dat zou mooi zijn
Het wordt echt een enorme operatie...
[Reactie gewijzigd door Tarquin op donderdag 27 september 2012 10:03]
het opzijn van ipv4 zorgt vandaag nog voor geen probleem en in principe ook de komende 10 jaar zullen we nog volop dual stack blijven gebruiken, maar dat neemt niet weg dat we nu eindelijk eens werk moeten make van de uitrol van ipv6, net omdat de uitrol zo moeizaam zal verlopen. Men is er ondertussen al 15 jaar mee bezig en we staan nog nergens.
Dan neem je je "oude" router, die ipv6 wel aankan ( 99% van de apparaten van de laatste 4 jaar kunnen dat nl. ) en gebruik je de translation van ipv6 naar ipv4 en blijft je thuisnetwerk 'gewoon' werken
Meestal komt het met intelligentere apparatuur met voldoende capaciteit (PC's, smartphones, tablets), aangenomen dat de fabrikant of de community meewerkt.Ik maak me trouwens vooral zorgen over de consumentenhardware.
Mijn computers en Ipad kunnen IPv6 wel aan.
En het modem van mijn provider krijgt misschien wel een software-update - als hij genoeg ROM heeft om dat aan te kunnen.
Of je router IPv6 praat is jouw verantwoording. Je kan altijd een nieuwe kopen en in sommige gevallen gewoon de firmware upgraden naar een versie (van de fabrikant of third-party) die wel ondersteuning heeft voor IPv6.Maar mijn eigen router, en mijn NAS, daar maak ik mij wel zorgen over.
En mijn internet-TV. En mijn versterker-met-wifi. En mijn Mediaplayer.
De meeste van jouw hardware heeft geen behoefte aan een directe IPv6 verbinding naar buiten je netwerk. Binnen je eigen netwerk is het hierom gewoon mogelijk om IPv4 te blijven gebruiken.Die kunnen best een software-update aan, alleen is dat totaal niet in het belang van de fabrikant. Die ziet liever dat ik nieuwe hardware koop, inplaats van software te schrijven voor oude hardware die hij al verkocht heeft.
En in dat geval zeg ik als consument: Stik er maar in, ik ga geen nieuwe hardware kopen omdat de fabrikant te beroerd is om de software aan te passen!
De meeste consumenten gebruiken de door de provider meegeleverde router (vaak ingebouwd in een DSL- of kabelmodem) en het zal hun niet interesseren. Standaard heeft NT6.x (Windows Vista, Windows 7...) ook IPv6 ondersteuning ingebakken. Een omschakeling merkt de consument waarschijnlijk niet eens. Bovendien zal met behulp van dual-stack (IPv4 en IPv6 toegang naar buiten) oudere apparatuur ook blijven werken.En ik denk dat vrijwel alle consumenten de hakken in het zand zullen zetten.
Ze zullen tegen hun provider zeggen: Stik maar met je IPv6, ik wil dat al mijn apparatuur blijft werken!
Wat niet hoeft.En dan weet ik nog twee pijnpunten:
- niet iedereen is in staat om zijn router, NAS, TV, mediaplayer te upgraden.
Iets dat voor elke techniek geldt. Zo ook Universal Plug & Play (onveilig, maar wordt veel gebruikt door consumenten) en andere technieken..- Al die software op al die apparaten (ook voor apparatuur die nu al IPv6-ready wordt uitgeleverd) gaat nog een tijd lang kwetsbaarheden bevatten - voor aanvallen die nog niet eens bedacht zijn. Die software moet dus bijgewerkt blijven.
Het valt wel mee. 80% van de huishoudens kan zeer waarschijnlijk over zonder problemen omdat providers modems met ingebouwde routers zodanig kunnen instellen dat IPv4 vertaald/getunneld wordt over IPv6 wanneer een echt IPv4 adres niet meer mogelijk is. Oude apparatuur dat gebruik maakt van IPv4 om verbinding te maken met het internet blijft automatisch hierdoor werken. Natuurlijk krijg je potentieel gezeur van de overige 20% die eigen routers/eigen configuraties hebben en niet weten hoe ze met de wijzigingen om moeten gaan.Het wordt echt een enorme operatie.
UPnP is veiliger dan handmatig port forwarden.Zo ook Universal Plug & Play (onveilig, maar wordt veel gebruikt door consumenten)
Ik zie mogelijkheden genoeg, bijvoorbeeld NAT64, om IPv4 apparaten te gebruiken op een IPv6 netwerk. Tegen de tijd dat het echt nodig is zullen er zeker diverse fabrikanten zijn die dit soort apparaten aanbieden.
Tot die tijd kun je uiteraard gewoon dual-stack werken waarbij alleen IPv6 richting het internet gaat (op het moment dat je geen IPv4 internet IP meer hebt)
Ik durf eigenlijk wel te garanderen dat op het lokale netwerk IPv4 nog heel lang zal blijven bestaan en de fabrikanten van hardware deze functie ook zullen blijven gebruiken.
Een IPv6-only apparaat zal gewoonweg niet verkoopbaar zijn voor een fabrikant tot ver nadat alle publieke apparaten IPv6 gebruiken. Dus zal het er waarschijnlijk op neer komen dat je alleen een nieuwe router hoeft neer te zetten.
Tot die tijd kun je uiteraard gewoon dual-stack werken waarbij alleen IPv6 richting het internet gaat (op het moment dat je geen IPv4 internet IP meer hebt)
Ik durf eigenlijk wel te garanderen dat op het lokale netwerk IPv4 nog heel lang zal blijven bestaan en de fabrikanten van hardware deze functie ook zullen blijven gebruiken.
Een IPv6-only apparaat zal gewoonweg niet verkoopbaar zijn voor een fabrikant tot ver nadat alle publieke apparaten IPv6 gebruiken. Dus zal het er waarschijnlijk op neer komen dat je alleen een nieuwe router hoeft neer te zetten.
Dat dachten ze van het millennium probleem ook, en in de praktijk viel dat reuze mee. Als men logisch nadenkt als het eenmaal zover is, dan denk ik niet dat er grote problemen te verwachten zijn.
Snap het probleem niet zo wat deze partijen aanhalen:
ipv4 is op, maar er bestaat reeds ipv6. Dat ipv4 op is betekend niet dat je deze weg moet gooien, je gaat gewoon verder met ipv6. Op een linux bak kan je beide instellen... Wat is het probleem?
ipv4 is op, maar er bestaat reeds ipv6. Dat ipv4 op is betekend niet dat je deze weg moet gooien, je gaat gewoon verder met ipv6. Op een linux bak kan je beide instellen... Wat is het probleem?
[Reactie gewijzigd door init6 op donderdag 27 september 2012 10:18]
Dat is hetzelfde verhaal als de update's voor apparaten.
Het lijkt soms wel dat als een apparaat ( telefoon / modem ) ineens niet meer werkt, als de update niet komt, of vertraagd wordt.
heel veel uitspraken zijn (helaas) onderbuikgevoel, zonder onderzoek gestaafde beweringen
Het lijkt soms wel dat als een apparaat ( telefoon / modem ) ineens niet meer werkt, als de update niet komt, of vertraagd wordt.
heel veel uitspraken zijn (helaas) onderbuikgevoel, zonder onderzoek gestaafde beweringen
Het probleem is dat ipv4 niet met ipv6 kan praten.
Daar zijn de routngservers weer voor
Thuis is dat dus je eigen modem / router
Als er noodzaak is dat jouw PC / Server rechtstreeks aangesloten is, moet je daarvoor zorgen, anders wordt die vertaling gedaan door de router/modem
Thuis is dat dus je eigen modem / router
Als er noodzaak is dat jouw PC / Server rechtstreeks aangesloten is, moet je daarvoor zorgen, anders wordt die vertaling gedaan door de router/modem
Het probleem is dat je vanaf IPv4 met IPv6 moet kunnen lullen en vica versa. Dát is het grootste probleem.
Dat valt nog redelijk mee. op je interne netwerk kun je tot het einde der tijden (of in elk geval de volgende incarnatie van IPv<x> ) IPv4 blijven draaien, naast IPv6.Het probleem is dat je vanaf IPv4 met IPv6 moet kunnen lullen en vica versa. Dát is het grootste probleem.
Je router heeft dus dual-stack intern, en zal IPv4 verkeer in IPv6 persen, en als dusdanig een NAT achtige situatie creeeren. Dat kan voor de gebruiker volkomen transparant, en voor het IPv4-only device ook.
Tja, maar die consumentenrouter bouwers konden natuurlijk allang IPv6 core protocols inbouwen maar daarmee ben je er niet. Het gaat juist om de overgangsperiode, dat je vanaf je IPv4 thuis netwerk IPv6 websites moet kunnen benaderen of andersom. En daarvoor gaan ISP's transition mechanisms in hun netwerk bouwen. En tot eind vorige jaar waren veel ISP's er nog niet uit WELKE. Ja... 6RD was wel duidelijk, maar de andere kant op. Dat werd uiteindelijk DS-Lite.Die consumentenrouters zijn het grootste probleem
Maar voor die tijd konden de dlinks en belkins van deze wereld nog niet heel veel behalve wat tunnel protocols meebakken die nu dus niet meer gebruikt gaan worden.
En mijn mooie interne netwerk dan met NAS, daar moet ik dan mee communiceren via het internet? Dacht het niet
uuh... waarom zou dat via internet moeten?
?? Daar communiceer je toch gewoon mee over je lokale netwerk?
ja
[Reactie gewijzigd door Proditor op donderdag 27 september 2012 11:10]
Nee,
het IPv6 protocol "ziet" waar het apparaat is, en bepaald of het intern of extern afgehandeld gaat worden
het IPv6 protocol "ziet" waar het apparaat is, en bepaald of het intern of extern afgehandeld gaat worden
Dat is ook mijn gevoel. Naast het feit dat ik niet weet of alle appafratuur wel IPv6 aan kan, wil ik helemaal niet dat alles direkt aan het Internet hangt. NATis niet bedoeld als beveiliging, maar het voorkomt wel dat mijn apparatuur gescand wordt. Wat heeft zoal Intenet toegang (via NAT)?
- Mijn TV
- Mijn audio media player
- Mijn Popcorn Hour
- Twee PC's
Moet ik er op vertrouwen dat die allemaal goed ontworpen software hebben?
Mocht het ooit zover komen dat alles rechtreeks via IPv6 aan het Internet komt te hangen, dan komt er wel een stateful firewall tussen, die ongewenste binnenkomende signalen blokkeerd.
- Mijn TV
- Mijn audio media player
- Mijn Popcorn Hour
- Twee PC's
Moet ik er op vertrouwen dat die allemaal goed ontworpen software hebben?
Mocht het ooit zover komen dat alles rechtreeks via IPv6 aan het Internet komt te hangen, dan komt er wel een stateful firewall tussen, die ongewenste binnenkomende signalen blokkeerd.
Als je nu een router met NAT gebruikt zit er veel kans in dat er nu al een statefull firewall tussen zit. Zoals als duizende keren gezegd ( en zelfs door jezelf ), NAT is geen security. Als jij op je router een bepaalde poort mapt naar een intern ip kan die ook worden gescand.
Als je een statefull firewall hebt speelt het geen rol als je een ipv6 adres aan je TV koppelt. De firewall houd het tegen en het is even veilig ( of onveilig ) als met NAT.
Ik ben juist tevreden dat alles een officieel IP krijgt. Zo is het internet ook origineel bedoeld. Ieder apparaat heeft zijn eigen IP en een server ziet ook met welke client hij aan het communiceren is. Als je ziet hoeveel problemen NAT nu veroorzaakt kan ik niet wachten tot we volledig op ipv6 overgegaan zijn.
PS: je moet in IT altijd vertrouwen op het feit dat de software goed ontworpen is. Indien je dat niet doet, kan je beter direct alles dat je thuis hebt buiten werken. Je weet immers nooit wat er allemaal in de code kan staan...
Als je een statefull firewall hebt speelt het geen rol als je een ipv6 adres aan je TV koppelt. De firewall houd het tegen en het is even veilig ( of onveilig ) als met NAT.
Ik ben juist tevreden dat alles een officieel IP krijgt. Zo is het internet ook origineel bedoeld. Ieder apparaat heeft zijn eigen IP en een server ziet ook met welke client hij aan het communiceren is. Als je ziet hoeveel problemen NAT nu veroorzaakt kan ik niet wachten tot we volledig op ipv6 overgegaan zijn.
PS: je moet in IT altijd vertrouwen op het feit dat de software goed ontworpen is. Indien je dat niet doet, kan je beter direct alles dat je thuis hebt buiten werken. Je weet immers nooit wat er allemaal in de code kan staan...
[Reactie gewijzigd door RPSimon op donderdag 27 september 2012 11:34]
scannen is lekker zinloos geworden. Per subnet heb je 2^64 mogelijke host adressen. Voordat ze die af hebben gescanned is die hacker al overleden.
Dat hangt het ook niet, er zit altijd nog een firewall/router tussen.Naast het feit dat ik niet weet of alle appafratuur wel IPv6 aan kan, wil ik helemaal niet dat alles direkt aan het Internet hangt.
Bij IPv6 heb je op zich juist geen router en firewall meer nodig thuis, alleen nog een switch.
Maar in praktijk zal de router + firewall voorlopig nog gewoon blijven om IPv4 verkeer te regelen en dan kun je hem ook voor IPv6 gebruiken.
Maar in praktijk zal de router + firewall voorlopig nog gewoon blijven om IPv4 verkeer te regelen en dan kun je hem ook voor IPv6 gebruiken.
De router misschien niet, maar je gaat JUIST een firewall nodig hebben nu je NAT daar niet meer voor kan misbruiken en al je apparaten anders direct met de boze buitenwereld verbonden zijn...
In het artikel wordt gezegd dat Windows XP pas sinds Vista ipv6 ondersteunt maar dat is helemaal niet zo... Je kan het protocol in XP met 1 commando aan zetten Link: MS Kbase.
Voor Windows 7 en Vista is net zo goed configuratie nodig als je ipv6 wil gebruiken dus ik snap het verschil niet zo.
Voor Windows 7 en Vista is net zo goed configuratie nodig als je ipv6 wil gebruiken dus ik snap het verschil niet zo.
Nee dat staat er niet, er staat "maar Windows nog maar sinds Vista".In het artikel wordt gezegd dat Windows XP pas sinds Vista ipv6 ondersteunt
Daarom staat er specifiek bij :maar dat is helemaal niet zo... Je kan het protocol in XP met 1 commando aan zetten
Veel mensen gebruiken nog XP, dat in ieder geval out-of-the-box geen ipv6 ondersteunt.
Microsoft zegt zelf dat de IPv6 implementatie in XP/2003 niet geschikt is voor zakelijke toepassingen (ik ben even de URL kwijt waar ze dat zeggen). Dus zo heel gek is het statement van de heer Baker niet.
Daarnaast: al kun je met 1 commando IPv6 op je client aanzetten, daarmee ben je er niet. De server/DNS etc kant vergt veel meer werk, en dat wil je niet op Windows 2003.
Daarnaast: al kun je met 1 commando IPv6 op je client aanzetten, daarmee ben je er niet. De server/DNS etc kant vergt veel meer werk, en dat wil je niet op Windows 2003.
Het is niet dat verlies van NAT een probleem is voor je beveiliging. In deze tijd waarin iedereen alles van je wil weten en alle gegevens van je opslaat, en wat alleen maar erger wordt, is NAT een onderdeel van je verdediging tegen het naar buiten lekken van informatie.Met de uitrol van ipv6 zijn network address translation-routers, die ooit zijn uitgevonden omdat men al inzag dat niet elke computer een eigen ip-adres op het internet zou kunnen krijgen, straks niet meer nodig. Sommigen vrezen dat de veiligheid van het internet achteruitgaat als computers rechtstreeks aan het internet hangen. Volgens Baker is dat een 'mythe'.
Zonder NAT is elk apparaat waarmee je het internet op gaat afzonderlijk identificeerbaar. Bovendien is bij ipv6 het MAC adres van je hardware onderdeel van het ipv6 adres waardoor de koppeling nog sterker wordt.
Met NAT ziet het internet maar 1 ip adres, dat van je router.
edit @bcmpine: Ik zeg toch niet dat ipv6 onveilig is ? Ik heb het over dat andere, onbedoelde, effect van NAT: Buitenstaanders kunnen aan je uitgaande verkeer niet meer zien hoeveel apparaten je hebt en welk apparaat wat doet. Je kunt van mening verschillen over de waarde van dit effect, maar het is er en kan op die manier een rol spelen in de beveiliging van je privacy. Ook met ipv6.
(bijv. in juridische aangelegenheden waarbij de tegenpartij een IP adres als identificatie probeert te gebruiken. Zonder NAT moet het een bepaald apparaat geweest zijn dat terug te vinden is. Het is namelijk onwaarschijnlijk dat iemand zijn apparaten elke 10 minuten een nieuw ipv6 adres geeft want dat communiceert zo lastig.)
[Reactie gewijzigd door locke960 op donderdag 27 september 2012 19:49]
Alle beveiliging die je bij NAT krijgt kun je met ipv6 simpelweg krijgen door je router alle inkomende verbindingen te laten negeren. Dan kan niemand scannen naar de computers achter je router. Dit is zelfs veiliger, want in dit geval werkt nat-pinning (van buitenaf een router forceren een bepaalde port te forwarden) ook niet. Dus dat ipv6 niet de bescherming biedt die NAT nu geeft is inderdaad een mythe. Dat NAT bescherming geeft is, dankzij nat-pinning ook maar deels waar.
Dat je MAC als onderdeel van je IP een security flaw is, hebben ze ook al ingezien. Dit hebben ze aangepast, zodat je in plaats van je MAC ook een random gegenereerde reeks bytes mag gebruiken. Als je deze dan ook nog iedere 10 minuten ververst, dan is tracken op basis van ip praktisch onmogelijk. Dit is ook veiliger dan een enkel ip adres delen met meerdere mensen, zoals nu met NAT gebeurd.
Verders heeft ipv6 ipsec, wat er voor zorgt dat al je communicatie standaard versleutelt wordt. Hier zit voor zover ik weet geen host verificatie in zoals bij SSL, dus een man-in-the-middle attack is nog steeds mogelijk, maar dat werkt alleen als je die attack altijd uitvoert. By ipsec wordt namelijk wel de identitiet van de andere server opgeslagen, zodat bij de volgende keer verbinden bepaalt kan worden of je nogsteeds met dezelfde server praat. Dus ook hier is ipv6 veiliger dan ipv4. Sterker nog, deze beveiliging had de problemen met DigiNotar ook flink kunnen beperken.
Dus de overstap naar ipv6 kan niet snel genoeg komen, wat mij betreft.
Dat je MAC als onderdeel van je IP een security flaw is, hebben ze ook al ingezien. Dit hebben ze aangepast, zodat je in plaats van je MAC ook een random gegenereerde reeks bytes mag gebruiken. Als je deze dan ook nog iedere 10 minuten ververst, dan is tracken op basis van ip praktisch onmogelijk. Dit is ook veiliger dan een enkel ip adres delen met meerdere mensen, zoals nu met NAT gebeurd.
Verders heeft ipv6 ipsec, wat er voor zorgt dat al je communicatie standaard versleutelt wordt. Hier zit voor zover ik weet geen host verificatie in zoals bij SSL, dus een man-in-the-middle attack is nog steeds mogelijk, maar dat werkt alleen als je die attack altijd uitvoert. By ipsec wordt namelijk wel de identitiet van de andere server opgeslagen, zodat bij de volgende keer verbinden bepaalt kan worden of je nogsteeds met dezelfde server praat. Dus ook hier is ipv6 veiliger dan ipv4. Sterker nog, deze beveiliging had de problemen met DigiNotar ook flink kunnen beperken.
Dus de overstap naar ipv6 kan niet snel genoeg komen, wat mij betreft.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
