Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 113 reacties
Bron: Ietf.org

Een lid van de Internet Engineering Task Force heeft een voorstel ingediend voor een overgang van IPv4 naar IPv6. Het plan stelt dat tegen 2011 alle internetservers de overstap naar IPv6 gemaakt moeten hebben.

De schrijver van het stuk, John Curran, schrijft in zijn voorstel dat een plan noodzakelijk is om organisaties duidelijk te maken wat er van ze verwacht wordt met betrekking tot de overgang van IPv4 naar IPv6. Omdat deze verwachtingen veranderen naarmate de tijd verstrijkt, en nogal verschillen per type organisatie, stelt hij voor de overgang in drie fases te laten verlopen. Of het document organisaties veel duidelijkheid verschaft is nog maar de vraag.

De eerste fase loopt van nu tot eind 2008 en moet gezien worden als een voorbereidende fase. In deze periode zouden isp's IPv6-verbindingen moeten aanbieden en zouden organisaties met web-, mail-, domeinnaam- en andere 'internet-facing'-servers deze geschikt moeten maken voor het nieuwe internetprotocol; organisaties mogen intranet en private netwerken overzetten op IPv6. Gedurende de tweede fase, die duurt van 2009 tot eind 2010, moeten internetaanbieders en organisaties IPv6 implementeren bij internetservers en zouden interne netwerken hierop aangepast moeten zijn zodat de overgang grotendeels compleet is als de laatste, afrondende fase aanbreekt, op 1 januari 2011.

Moderatie-faq Wijzig weergave

Reacties (113)

Lijkt me een goed plan. Laten we eens die stap maken. Als we het niet op deze (dwingende) manier doen gaat het nooit gebeuren.

En er is dan i.i.g. ~3 jaar om te testen, moet wel genoeg zijn lijkt me.
Ik ben het met je eens dat het een goed plan is. Maar wie gaat het dan afdwingen? De 'baas' van internet?

Wat dacht je dat er gebeurde als bv China zegt...neuhhh..we doen niet mee. Dan is het makkelijker om onze bevolking een stuk internet alleen te geven als de regering dat wil.

En Frankrijk zegt nauurlijk: Het is een Amerikaans idee..dus wij doen het anders
Als ik me niet vergis gebruikt China IPv6 al of ze gingen dit alles sinds gebruiken omdat hun IPv4 adressen op zijn.
Zijn in China wel al bezig geweest met het ontwikkelen van IPv9, maar volgens TheRegister is dat project onsuccesvol
Dan koppelen ze China af (en dat kunnen ze wel doen)!
Nee dat kunnen ze niet, spelen veel te veel economische belangen. China is booming business wat dat betreft. Highly unlikely.
De DHCP van mijn router kan nog geen IPv6 adressen uitdelen. Daar mogen ze dan ook wel eens werk van maken. Of moet iedereen maar een nieuwe kopen tegen 2008?
Ik weet niet welke router je hebt. maar als een vrij recente heb zal daar nog wel een firmwar versie voor uitkomen. mijn WRT54g v3.1 heeft via DD-WRT al IPv6. Ik maak er alleen geen gebruik van.

Ik zie nut voor IPv6 niet voor intern gebruik. Extern gebruik kan ik inkomen. maar voor LAN omgevingen kunnen we gewoon IPv4 blijven gebruiken. Als ik mijn Windows 2003 server als webdienst laat draaien kan ik zowel IPv4 als IPv6 teglijk draaien op 1 nic.
Even serieus, je linksys kan standaard geen ipv6 aan voor eigen instellingen. Verwacht je nu werkelijk dat consumenten aan hun routers gaan sleutelen om toch nog ipv6 te kunnen gebruiken. Dat vind ik vergelijkbaar met een verwachting van hogerhand dat automobilisten hun auto zelf maar gaan ombouwen om andere brandstof te gebruiken omdat de auto om te bouwen is.

Aankunnen is voor consumenten geen kwestie van 'moet kunnen' maar een kwestie van 'direct toepasbaar'. Volksstammen kopen liever nieuwe hardware dan dat ze tijd in meer technische zaken steken. En dat lijkt me nu niet de bedoeling van een goede implementatie van ipv6. Dat zou in feite zo gemakkelijk moeten gaan als de overgang naar het 10-cijferige telefoonnummer als een paar jaar geleden hier in NL.
M.i. heb je met IPv6 idealiter geen intern gebruik meer, omdat er zoveel meer adressen beschikbaar zijn dat ieder apparaat in je huis z'n eigen IPv6-adres kan krijgen. Dus waarom het nog over 'intern' hebben...
Omdat je nu achter je NAT routertje lekker veilig zit voor allerhande meuk. Als alle PC's op de hele wereld rechtstreeks aan internet gekoppeld zouden worden zou je een virus, spam en spywaretoestand krijgen waar je U tegen zegt.
Je hebt nog steeds een router en firewall nodig voor je internetverbinding, en op je router zet je nog steeds poorten open of dicht met accesslists voor toegang tot bepaalde hosts en poorten. Gewoon een pinhole maken, en de rest van je servers en poorten zijn veilig.

Als je denkt dat NAT veiliger is, dan heb je geen goeie router en/of firewall.

NAT zorgt alleen maar voor extra problemen met services die niet goed snappen hoe ze ermee om moeten gaan. Hoe minder translaties, hoe beter. Blij dat dat overbodig is geworden met IPv6.

edit: @kzin hieronder: idd zal je eventueel thuis geen router meer nodig hebben, zeker ook omdat NAT overbodig wordt. Het routeren zal bij de provider gebeuren.

Alleen ken ik nog geen switches met ingebouwde adsl-aansluiting, vandaar dat ik vrij automatisch het woordje "router" neerzette, maar volgens de definities heb jij helemaal gelijk. ;)

[Reactie gewijzigd door 19339 op 3 augustus 2007 10:59]

Je hebt nog steeds een router en firewall nodig voor je internetverbinding
Ik kan er naast zitten, maar zoals ik het begrepen heb krijg ik straks b.v. 256 ipv6 addressen toegewezen van mijn provider (nu 1). Ik kan dus al mijn "internet-capable" hardware (pc's, audio-spelers) rechtstreeks aan een switch hangen. Geen router nodig.
Ik zal inderdaad wel een hardware firewall moeten kopen omdat mijn harddisk-cd speler geen firewall mogelijkheid heeft (of een firmware upgrade inderdaad).
Ik geloof dat het minimum aantal wat een ISP je zal/kan geven 65535 IP's is. Je kunt dus wel even vooruit met je thuisnetwerkje voordat je eigen IP's opraken.
Je zit er naast. 'Router' is een beetje een verwaterd woord voor zo'n kutding dat NAT doet. Maar feitelijk is NAT een functie van firewalls en heeft 't met routing geen drol te maken.

Je hebt dus nog steeds een router nodig, met firewall functie (hoewel 't met IPv6 wel vissen naar een naald in een hooiberg is om netwerken te poortscannen), maar zonder NAT.
Je hebt ook helemaal niet eens een DHCP service nodig.

IPv6 heeft een autoconfig, je router moet alleen zijn "Router advertisment" pakketje multicasten :)
Heb je al gekeken of er misschien een nieuwe firmware bij de producent te verkrijgen is, zodat je router het wel ondersteund? Als die er niet is, heb je of een brakke producent of een router die in 2008 inderdaad aan vervanging toe is. ;)
Heel grappig Nick_S, maar wat versta jij onder ondersteunen? Dat de ADSL router een ipv6 adres van de ISP accepteerd als customer adres? Sorry. maar die vlieger gaat voor de meeste welbekende merken nog niet eens op.
Probleem is dat veel netwerkapparatuur IPv6 niet aan kan, of in ieder geval niet zo aankan als IPv4. Wij als ISP hebben zelf bijvoorbeeld een HP 5108 draaien die wel IPv6 support, maar bijvoorbeeld IPv6 niet kan routen. En dit is gewoon een moderne backbone switch die HP nog steeds nieuw en zeker niet goedkoop verkoopt. Wat ik begrepen heb geldt dit eigenlijk voor alle HP hardware. Wat ik zelf weet, is dat ook veel oudere 3Com switches niet zoveel trek hebben in IPv6, en er zullen vast veel meer merken zijn die hetzelfde hebben.

Softwarematig is het wel te doen, maar de interne software in veel internet hardware is niet klaar voor IPv6. Maar misschien dat dergelijke roadmaps wel bedrijven kunnen bewegen om nieuwe firmwares uit te brengen zodat het wel support wordt. Ik vrees alleen dat je alle oude (EoL) hardware weg kan gooien, want daar zullen de bedrijven de support niet meer voor gaan bouwen. Al met al kan dit forse kosten opleveren voor heel veel bedrijven.

[Reactie gewijzigd door ThunderStrike op 2 augustus 2007 21:31]

Wij als ISP hebben zelf bijvoorbeeld een HP 5108 draaien die wel IPv6 support, maar bijvoorbeeld IPv6 niet kan routen. En dit is gewoon een moderne backbone switch die HP nog steeds nieuw en zeker niet goedkoop verkoopt.
Dat een switch niet kan routen is toch niet zo vreemd? :)
Maar eh, voortaan beter opletten voordat je apparatuur koopt dan.
5308 is het, sorry. En ja, hij kan wel routen, maar alleen IPv4. IPv6 routing wordt door HP dus niet ondersteund.
Dat een switch niet kan routen is toch niet zo vreemd?
Het is een layer 3 switch, en layer 3 switches routeren wel.

[Reactie gewijzigd door 19339 op 3 augustus 2007 01:33]

Nope. Die switchen ook. Zoek maar 's uit hoe L3 switches precies omgaan met packets: hetzelfde als met frames. MAC-adres info uit een tabel trekken en switchen met die hap. (Enige extra stap is de next-hop en ttl header fields aanpassen.)
mooi moment om netwerkbeheerders in te slaan als (detacherings)bedrijf dus :+ er zal genoeg ondersteuning nodig zijn straks
Allemaal leuk en aardig, maar het betekend ook dat allerlei applicaties die gebruik maken van IP verbindignen aangepast moeten worden. Allerlei webapplicaties, webservices, games(multiplayer), applicaties met automatisch update mogelijkheid etc etc.

Het is dus niet even simpel alle servers overzetten, maar ook alle app's aanpassen!
Verreweg de meeste gewone software en webapplicaties zullen gewoon met hostnames werken en niet met IP-adressen. Welk IP (of IP's) achter update.bedrijfsnaam.com of database.bedrijfsnaam.com schuilgaat maakt niet zoveel uit.

Alle gangbare OS-en kunnen al jaren met IPv6 overweg.
Voor XP hoef je geen third-party tools te gebruiken, MS levert al vanaf dag één standaard haar eigen IPv6 stack mee, hij is alleen niet standaard geinstalleerd. Is een fluitje van een cent om te installeren.

http://www.microsoft.com/technet/network/ipv6/ipv6faq.mspx

[Reactie gewijzigd door Maurits van Baerle op 2 augustus 2007 22:53]

Niet zo, Windows XP SP2 heeft het ook al standaard ingeballen, ga maar eens naar eigenschappen van je internet verbinding en klik op de knop: installeren->protocol->Microsoft TCP/IP versie 6
En tadaa, je hebt IPv6 :)

Of nog sneller, open cmd en typ: netsh interface ipv6 install
of nog sneller, en alleen ipv6 install
De applicatie vraagt helaas wel specifiek aan het OS om een TCP verbinding te maken, dus dat zou moeten worden aangepast naar een TCPv6 verbinding.
Zodra je ipv6 als protocol toevoegt dan werken de browsers ook. Browser is wat dat betreft afhankelijk van een protocol, welke maakt niet uit zolang het protocol maar te gebruiken wordt. Als een browser een naam moet resolven dan spreekt het een protocol aan, degene die beschikbaar is. Zo is het opgebouwd en bijna elk OS is er klaar voor (linux, windows, mac OS X).
Het aantal webapps en webservices dat niet met IPv6 overweg kan zal wel mee vallen. Het merendeel qua compatibiliteit voor dit type programma ligt meer in de scripttaal en de installatie ervan.
Allerlei webapplicaties, webservices, games(multiplayer), applicaties met automatisch update mogelijkheid etc etc.
De oplossing voor oude applicaties (die alleen een IPv4 adres kunnen slikken): tunnelen. In de tunnel (het extranet) gebruik je IPv4, terwijl de tunnel zelf gewoon van IPv6 gebruik kan maken om twee punten te verbinden op het internet.

Nu moet ik er wel bij zeggen: is er een adres tekort? Elke paar jaar duikt dit onderwerp weer op waarna het snel weer vergeten wordt. Zijn er harde cijfers over hoeveel IPv4 adressen er nog vrij zijn op het internet?

[Reactie gewijzigd door The Zep Man op 3 augustus 2007 09:36]

apps zullen nauwlijk aangepast hoeven te worden. Dat is het mooie van het OSI model. De app praat enkel met de networking stack. De applicatie vraagt aan de networkstack ze een tcp sessie op met de volgende hostnaam. Dat deze TCP sessie verder over IPV6 gaat ziet de app niet want deze header wordt er al afgehaald als het aan de applicatie wordt teruggegeven.
Hmm, wifi gaat dus ook ip6 worden, hotspots dus ook ip 6?
Wat moet er gebeuren met al die handhelds? laptops zijn mischien nog te upgraden?

Ik kan e het bijna niet voorstellen, wat moet er met al die ip4 ipcamera's?

ik hoop dat er een translator router komt, die het grote ip6 netwerk opdeeld in kleinere ip6 netwerken, want anders word dit wel een dure grap!

We hadden beter moeten verplichten dat de chinezen en andere aziaten ip6 zoude gebruike.

Daarbij, met een IP6 nummer kan ik echt niks beginnen, ik kan het niet eens onthouden!

Ik ben wel voorstander van vooruitgang, maar we moeten ok realistisch zijn, er zijn gewoonweg teveel toepassingen die uitsluitend gebouwd zijn om met de 4 cijferige versie van het internet protocal te werken.
Hmm, wifi gaat dus ook ip6 worden, hotspots dus ook ip 6?
Wat moet er gebeuren met al die handhelds? laptops zijn mischien nog te upgraden?
Ja, hotspots ook IPv6. Kleine ingreep, die routeren niet. Handhelds gewoon vervangen, die dingen hebben toch een PLC van een paar jaar, dus tegen 2011 zijn die toch aan vervanging toe.
ik hoop dat er een translator router komt, die het grote ip6 netwerk opdeeld in kleinere ip6 netwerken, want anders word dit wel een dure grap!
Lees je anders even in in IPv6, met name de stukjes over integratie met IPv4 netwerken. Je bent heus niet de enige die bedacht dat er wel meer IPv4-apparaatjes op het internet zijn, die misschien niet allemaal even makkelijk (laat staan tegelijk) IPv6 kunnen gaan praten. Er zijn tal van mogelijkheden om IPv4 en IPv6 te integreren, en reken maar van yes dat elke consumentenrouter die IPv6 kan, dat ook wel kan transleren naar IPv4.
Daarbij, met een IP6 nummer kan ik echt niks beginnen, ik kan het niet eens onthouden!
IPv6-adressen kunnen anders genoteerd worden om ruimte te sparen. Groepen nullen mogen eenmalig worden geschrapt (noteren als :: ), en per blokje cijfers mogen voorloopnullen ook achterwege worden gelaten. 2001:0db8:0000:0000:0000:0000:7d5b:0d4a mag dus worden genoteerd als 2001:db8::7d5b:d4a. Scheelt al, niet?

Sowieso is er al een oplossing voor het probleem van onhandige ip-adressen, en het heet DNS.
Ik ben wel voorstander van vooruitgang, maar we moeten ok realistisch zijn, er zijn gewoonweg teveel toepassingen die uitsluitend gebouwd zijn om met de 4 cijferige versie van het internet protocal te werken.
Dit is realistisch. Er zijn idd veel toepassingen die enkel IPv4 ondersteunen, maar het gros is te updaten naar IPv6 en voor de rest zijn er translaties. Je moet ook even realistisch genoeg zijn om te beseffen dat IPv4 gewoon tekort schiet in het huidige en zeker het toekomstige internet.

Dit heet vooruitgang. Zie het als een uitdaging, geen probleem. ;)
Daarbij, met een IP6 nummer kan ik echt niks beginnen, ik kan het niet eens onthouden!
Tjonge... daar hebben ze bij IPv4 al wat op gevonden, het heet DNS :+ En een dergelijk systeem zal er ook zijn bij IPv6. Ik snap niet wat jij en vele anderen zeuren, er is gewoon geen andere weg. Over een x aantal jaren zijn de IPv4 adressen (die jij zo graag onthoudt) op. Op!!! Weet je wel, gewoon op!!! We kunnen het lang voor ons uitschuiven met zn allen, maar een keer zal er iets gebeuren moeten.
@g4wx3: Het 'aanzetten' van IPv6 betekend niet dat IPv4 wordt uitgezet. Wat dat betreft is de term 'overgaan' niet accuraat. Het is meer bijschakelen of een 'schuine las'. Helaas kan de huidige groei van het internet niet worden gedragen door IPv4, dus zal IPv4 langzaam uitbloeien nadat IPv6 in gebruik is. De meeste populaire diensten zullen vast nog vele jaren via beide protocollen bereikbaar zijn. Tegen die tijd is je handheld en laptop echt zwaar veroudert.

Daarnaast is iedereen vrij om een eigen IPv4 lan te bouwen met niet-publieke adressen, voor zijn ipcamera's. Dit zal toch met de meeste ipcamera's al het geval zijn en zal dus niet veranderen.

Je 'translator router' idee slaat de plank volledig mis. Misschien moet je eens wat meer verdiepen in IPv6. Dat zal over enkele jaren heel handige kennis zijn. :-)

Wat betreft aziaten: in het algemeen liggen die ruim voor op het gebied van IPv6. Zij hebben een veel kleiner deel van de beschikbare IPv4 adressen terwijl er veel meer mensen wonen, dus zij voelen de pijn meer. Reken er maar op dat ze als eerste overgaan, als ze dat al niet zijn.

Er zijn inderdaad haken en ogen aan zo'n migratie, maar dat die er komt is onvermijdelijk omdat anders IPv4 binnen slechts enkele jaren 'vol' is. Veel applicaties praten inmiddels ipv6 en de rest zal in 2011 echt niet opeens uitvallen, alleen langzaam achterop raken.

Iets duidelijker zo?
Is er dan ook niet heel veel nieuwe apparatuur nodig? Wat klauwen vol met geld gaat kosten?
In elk geval firmware-upgrades.
Maar ik vermoed dat voor de thuisgebruikers nog wel een tijdje een NAT-achtige oplossing gaat komen om op je interne netwerk IPv4 te blijven gebruiken.
Ik denk dat we thuis nog wel een hele tijd zo'n constructie blijven gebruiken, puur omdat het voor de meeste toepassingen eigenlijk wel makkelijk is om achter een NAT-router te zitten die alle boosaardige connecties die vanaf buiten worden opgezet zal tegenhouden.
NAT staat los van IPv4 en IPv6.
Je kunt ook NAT toepassing met IPv6.
PC's zullen er niet veel problemen mee hebben, maar velen zullen wel hun router moeten vervangen aangezien deze NAT vaak alleen met ipv4 overweg kunnen.
Ik gebruik zelf de ipv6 testversie van newszilla van xs4all, om zo gratis een extra newsserver te hebben. Ik kan echter maar 1 pc erop aansluiten, door mijn pc als dmz in te stellen in mijn router. Daarnaast gaat nu nog alles via een tunnel, dus ik ben benieuwd wat ik allemaal nieuw moet aanschaffen als het echt 100% ipv6 wordt.
Voor IPv6 heb je niet eens een router nodig, alleen een modem dat IPv6 aankan. (lees: in ieder geval alle consumentenmodems die de laatste 3 jaar op de markt gekomen zijn).

Dit omdat IPv6 het einde inluid van NAT routing. Je krijgt namelijk talloze IP's waardoor het modem gewoon de IP's kan uitdelen aan de computers. (Eventueel via een switch)
wat jij een modem noemt is al een router. Je DLS link krijgt een ipv6 subnet toegewezen adres en je lokale netwerk krijgt een IPV6 subnet toegewezen. Kortom er wordt gerouteerd tussen verschillenden netwerken. Een modem weet niks van IPV6 omdat die op laag 2 van het OSI model werkt.
ik vermoed dat de dhcp server van de provider ip adressen gaat uitdelen.
DHCP bestaat niet meer in IPV6 in ieder geval niet zoals het nu werkt. Je nodes configureren zichzelf aan de hand van informatie die iedere router uitzend. De zogenaamde RA advertisement. Dit is een 64 bits prefix en het mac adres van je PC wordt er dan achtergeplakt.
Je kunt ook NAT toepassing met IPv6.
Het kan, maar wat voor nut heeft het?
Dit is IPv4 all over again; "zooooooveeeeel adressen die raken 'nooit' op!"

edit:
Als ip addressen met 100% efficientie zouden worden uitgedeeld hadden we voorlopig ook nog wel met ipv4 voort gekund. Ook wil men bepaalde 'bits' nog wel eens als soort van netnummer gebruiken om ip's snel te kunnen categoriseren. Ja en zelfs dan hebben we nog zat over, maar dit zijn nog maar de dingen die we nu kunnen bedenken. Niet dat ik me echt zorgen maak want dan kunnen we vast weer de zelfde truuk uithalen.

[Reactie gewijzigd door Mr_Light op 3 augustus 2007 18:09]

We zullen toch flinke vooruitgang moeten maken met nanotechnologieen willen we ooit IPv6 adressen te kort komen,
hier staat een leuk rekensommetje over hoeveel IPv6 adressen er per square inch beschikbaar zijn

(dat zijn er errug veel, 3.7x1021 per inch2)
Lijkt me inderdaad ook onwaarschijnlijk dat we een tekort gaan krijgen, maar de berekening gaat uit van aantal adressen per square inch.

Als we echter ooit in de diepzee of in de lucht (ruimte?) iets gaan ontwikkelen waarbij ip-adressen nodig zijn, spreek je niet meer over adressen per vierkante inch, maar per kubieke inch, en dan is het aantal meteen al een stukje kleiner. :P
32 bits vs 128 bits. Dat is een serieus schaalverschil hoor ;)

4294967296 vs 340282366920938463463374607431768211456 IP's :)

667134515483770055191674575646 IP's per km² aardoppervlak.
2284708091568556970354826955660 IP's per km² land-oppervlak.

Hoezo niet genoeg?
Nog een paar getallen om over na te denken: de hele aarde bestaat uit ca. 10^49 atomen, zie b.v. http://pages.prodigy.net/jhonig/bignum/qaearth.html.

Om elk atoom in de aarde te kunnen adresseren zou je 166 bits adressen nodig hebben. Met 128 bits adressen kun je dus niet elk atoom van de aardbol adresseren, maar je hebt wel 1 IP adres per 0.017 nanogram als je alle materie van de hele aardbol zou gebruiken (ook de hele binnenkant)...

De kans dat we ooit meer dan 1 IP adres per 0.017 nanogram aardbol nodig hebben lijkt mij erg klein.
als firewall. ZUCHT, iets waar het nooit voor bedoeld (en ook niet ideaal :/) was...
NAT is niet mogelijk met ipv6, iig niet op een standaard/gespecificeerde manier. Er zijn toch genoeg adressen.

RFC 4864 beschrijft precies wat je zou moeten doen, wat de firewall-eisen zijn in feite. ftp://ftp.rfc-editor.org/in-notes/rfc4864.txt
Dat je een IPv6 thuisnetwerk of bedrijfsnetwerk zoals die in fase 1 (of eerder zoals nu) voorkomt nog kan koppelen aan een IPv4 netwerk van je ISP wanneer die geen IPv6 toegang biedt. Je NAT dan IPv6 adresjes naar IPv4 (of andersom, tis maar net vanaf welke kant je het bekijkt :)). Dat kan dus ook met een 6-to-4 tunnel.
puur omdat het voor de meeste toepassingen eigenlijk wel makkelijk is om achter een NAT-router te zitten die alle boosaardige connecties die vanaf buiten worden opgezet zal tegenhouden.
Daar heb je geen NAT voor nodig maar een goede firewall in de router.
Een firewall??? Leg dat eens uit... Je hebt een netwerk bridge nodig.. 1 van IPV6 naar IPV4.. Lees eens http://nl.wikipedia.org/w...Packet_filtering_firewall .. Een firewall draait in de Apllication Layer (normaal gesproken) IPVx draait in de Internet Layer ik weet niet wat je wil met je firewall hoor
Een firewall draait in de Apllication Layer (normaal gesproken)...
Een firewall kan in alle lagen werken... van je ethernet MAC laag tot de applicatielaag. En het idee van sommige mensen dat je NAT moet gebruiken voor de 'veiligheid'... daar wordt ik hopeloos van. NAT is een krakkemikkege rotte oplossing voor de 'schaarste' van IP adressen. Gebruik alsjeblieft een fatsoenlijke firewall als NAT niet nodig is.
En het idee van sommige mensen dat je NAT moet gebruiken voor de 'veiligheid'... daar wordt ik hopeloos van. NAT is een krakkemikkege rotte oplossing voor de 'schaarste' van IP adressen.
Je kan niet ontkennen dat het helpt. Indien een derde toegang probeert te krijgen tot jou pc en dus bv een portscan doet, zullen enkel IP/port-combinaties doorgegeven worden die in de NAT-vertalingstabel zitten. Dat is al een hele zooi ongewenst verkeer die uit je netwerk geweerd wordt.
Het is uiteraard niet de bestaansreden voor NAT, het is gewoon een gunstig neveneffect.
Niet helemaal waar. Een firewall kan werken op lagen 3 (Network Layer) t/m 7 (Application Layer). MAC is een onderdeel van de Datalink Layer/Laag 2.

Zo is firewalling dus mogelijk op L3-switches (al dan niet zeer beperkt), L2 houdt zich bezig met het het forwarden van pakketten en soortgelijke zaken.
Niet helemaal waar. Een firewall kan werken op lagen 3 (Network Layer) t/m 7 (Application Layer). MAC is een onderdeel van de Datalink Layer/Laag 2.
Geef eens 1 goede reden waarom een firewall niet ook gewoon op een ethernet MAC adres zou kunnen filteren?
Ik hoop toch echt dat jouw firewal op de network/transport layer zit en niet op de application layer. De meeste firewall's doen niets anders dan filteren op source ip/port <--> destination ip/port.

Je gaat toch geen applicaties toegang geven tot internet? Je geeft gewoon precies (zeker bij servers) aan welke verbindingen de server zelf mag opzetten (bijvoorbeeld naar security.debian.nl voor updates) en welke hij mag ontvangen Dat mag apt-get doen, maar als een gebruiker daar zin in heeft mag het ook met wget opgehaald worden.

Alleen onder Windows geef je applicaties toestemming. Maar dat is gedaan uit het oogpunt van gebruiks vriendelijkheid. De meeste gebruikers zullen outlook toestemming geven om het internet op te gaan, maar niet waar naar toe. En email client hoeft namelijk alleen maar verbinding te maken met de pop3/imap en smtp server van jouw provider. De rest behoor je te blokken. En dan hebben we nog de $SYS folders. Deze applicaties zijn 'onzichtbaar' onder windows en hebben dus ook geen toestemming nodig om het internet op te gaan (denk aan sony rootkit).

Even een ezels bruggetje voor het osi model:
People Do Need To See Pamela Anderson
1. Physical (netwerk kaart)
2. Data link layer (mac address)
3. Network layer (ip)
4. Transport layer (tcp, udp, icmp, etc)
5. Session layer
6. Presentation layer
7. Application Layer

De meeste Windows firewalls zitten op level 7, terwijl de meeste linux firewalls op level 4 opereren omdat het ze geen f*ck kan schelen wat er dan op die poort draait.

[Reactie gewijzigd door Niemand_Anders op 3 augustus 2007 09:24]

Je gaat toch geen applicaties toegang geven tot internet?

Een application level firewall geeft geen rechten aan applicaties. Een application level firewall biedt een beveiliging waarbij toegang gegeven of geweigerd kan worden op basis van de content van de pakketjes. Zo kan een HTTP application firewall wel HTML documenten doorlaten maar bijvoorbeeld geen javascript of Active-X plugins. Een FTP application firewall laat geen connecties toe naar de client tenzij je net daarvoor op port 21 op die server bent ingelogd. Dan mag de server wel een connectie openen naar de client (om bijvoorbeeld een file te downloaden). Enzovoort... Dit soort dingen zijn met packetfilters niet mogelijk.
MM jij gooit OSI model.. ik gebruikte TCP/IP model... en je hebt denk ik gelijkt .. ff nazoeken
Een firewall draait in de Apllication Layer (normaal gesproken) IPVx draait in de Internet Layer ik weet niet wat je wil met je firewall hoor
De 'beveiliging' die NAT biedt vervangen.
Een netwerk bridge houdt
alle boosaardige connecties die vanaf buiten worden opgezet
niet tegen. In tegendeel, een bridge is bedoeld om alles door te laten.....
Je kunt ook firewallen of loadbalancen op een bridge. Heb je geen NAT of router voor nodig.
Tuurlijk, een goede firewall is beter (al ken in géén goedkope routers met iets wat op een "goede firewall" lijkt) maar NAT houdt wel een hoop ellende tegen. Voor huis tuin en keuken gebruik is NAT dus een prima "beveiliging" en in feite het beste wat de routertjes van minder dan ¤ 99,- leveren.
Dat weet ik nog zonet niet hoor. Het grote voordeel van NAT ten opzichte van een firewall is dat je bij een firewall dingen dicht aan het timmeren bent die dus standaard open staan, terwijl je met een NAT-oplossing juist expliciet de poorten die je open wílt hebben openzet, de rest van de verbindingen strand gewoon standaard bij de router die ertegen zou moeten kunnen.

Tuurlijk is een NAT-oplossing niet per sé beter dan een firewall-oplossing maar het is een stuk makkelijker veilig te maken als je geen verstand van zaken hebt, maw meer n00b-proof.
Standaard apparatuur kan allang met IPv6 overweg. De ondersteuning van IPv4 en dus ook IPv6 loopt daar via software. Ook zijn bedrijven als Cisco al bijna een decennium aan het experimenteren met IPv6 en wordt het ook al op veel plaatsen gebruikt.
Ik weet niet precies waar jij de grens legt voor 'standaard'apparatuur, maar je moet met een linksys of andere gangbare consumentenproducten toch echt niet verwachten dat het met ipv6 om kan gaan voor het apparaat zelf. Tunnelen over ipv4 is uiteraard zelden een probleem, maar dat lost niets op.

[Reactie gewijzigd door kodak op 2 augustus 2007 21:54]

Die linksys en sweex prut is toch allemaal Linux? Dat ondersteunt al jaren IPv6 ;)
Misschien dat op de meeste routers een (stripped down) versie van Linux draait?
:+
op geen enkele cisco draait linux hoor. Dat zou namelijk betekenen dat de sourcecode van het IOS openbaar moet zijn en dat is het echt niet.
Juniper draait wel op een bsd variant.

[Reactie gewijzigd door TrailBlazer op 3 augustus 2007 10:31]

Precies. Stripped down. Zut die niet ondersteunt hoeft te worden is dus uit die optimized kernel geknikkerd, en je kan er wel bijna van op aan dat IPv6 daar dus niet meer in zit.
Maar dat is dus simpel op te lossen met een firmware update. Sowieso is de verwachte levensduur van een huis-tuin-en-keuken router maar een paar jaar, dus als nieuwe routers over een jaartje IPv6 ondersteunen is dat ruim op tijd.
@luminair
Ik weet niet in wat voor wereld jij leeft... maar in mijn wereld wordt op de meeste routers gewoon een voorgeinstalleerd software pakket geleverd. En ja deze is meestal gebaseerd op een linux kernel..
routers hebben wel degelijk een OS :+
Lever jij anders je pc in. Scheelt weer een IPadres en scheelt ons belasting.
Zinloze post dude.. :O
Hmm, ergste is nog dat applicaties er niet op voorberijd zijn. Dus oudere programma's, maar vooral spelletjes zou je niet op ipv6 kunnen laten draaien. Of Microsoft moet een IPv4 to ipv6 converter in z'n stack moeten opnemen.
Microsoft Vista draait Dual Stack. (Dus tegelijkertijd IPv4 en IPv6)

Het probleem met IPv6 is dat het geen leuke nieuwe feature is. Vista ondersteunt het. Dus Microsoft zal het wel promoten. Waardoor IT manager per sé willen overstappen op IPv6.

Adresruimte is een goede reden. Maar als je voldoende IP blokken hebt gekocht is dat samen met NAT geen probleem. Landen zoals Japan en Korea zijn veel verder in de implementatie van IPv6 dan de EU of VS, omdat ze minder adresruimte hebben gekregen terwijl hun economieën deze adresruimte wel nodig heeft.

Een router kan IPv6 ready zijn, maar hoe ready is ready?
Routeren is prima, maar je hebt ook nog zaken als DNS en SMTP / Mail die ondersteund moeten worden.

Een Cisco ASA ( firewall ) kan kan IPv4 en IPv6 verkeer inspecteren. De lijst voor IPv6 verkeer is een stuk kleiner dan die van IPv4. (Maar groeiend.)

Daarnaast heb je programmeurs die een IPv4 adressen hard-coden in de software.
Als we de OSI lagen strikt gebruiken/scheiden zou een overstap naar IPv6 geen probleem zijn, maar de praktijk is veel weerbarstiger.
Adresruimte is een goede reden. Maar als je voldoende IP blokken hebt gekocht is dat samen met NAT geen probleem.
Wat jij aandraagt, IS juist het probleem: bedrijven hebben grote blokken gekocht, waardoor er weinig vrije adressen meer over zijn. Daarvoor is die extra adresruimte juist nodig.
Daarnaast heb je programmeurs die een IPv4 adressen hard-coden in de software.
Dat soort programmeurs mogen van mij als eerste tegen de muur. Als je afhankelijk bent van dat soort programmeerwerk, dan heb je wel andere problemen dan de overstap naar IPv6. :(
In het Verre Oosten speelt dit wel sterk, in Europa minder en de VS kan nog even qua adres space.
Voor nieuwe bedrijven is het een probleem. Maar als je in het verleden genoeg adressen hebt gekocht is er geen goede reden om te migreren.
Volgens mij zijn de huidige generaties besturingssystemen al voorzien van mogelijkheden om IPv6 te ondersteunen, met de meeste recente routers zou het in principe ook alleen een flash van de firmware moeten zijn om ze geschikt ta maken.

Windows Server 2008 en Windows Vista (van de linux smaken weet ik het zo niet, maar die zullen zeker niet achterliggen) hebben IPv6 zelfs standaard geinstalleerd staan ;) dus het moet een niet al te groot probleem worden (voor het gros van de clients in ieder geval :) )...
De Linux Howto IPv6 stamt uit 2001, dus ja, de penguins zijn er klaar voor! Laat maar komen.

Ik weet dat dat de eerste versie is en dat het toen nog niet standaard in de kernel zat, maar het is even om aan te geven dat er al een tijd aan gewerkt wordt.
Uit de howto: "The first IPv6 related network code was added to the Linux kernel 2.1.8 in November 1996 by Pedro Roque. It was based on the BSD API"

Die code was nog aan veel veranderingen onderhevig. Eigenlijk is in development-kernel 2.5 de meeste code toegevoegd, zo rond 2000 d.m.v. het USAGI project. Een gedeelte is gebackport naar 2.4 kernels, waardoor ik mijn server al veel jaren met v6 heb kunnen uitrusten. Volledige v6 ondersteuning (volgens de huidige standaarden) is sinds 2.6 kernels standaard aanwezig en werkt uitstekend.

Het jaartal van goede implementatie is moeilijk te geven, maar dan zul je inderdaad rond 2001 uitkomen.
Wat is er eigenlijk gebeurd met IPv5? :P
en ja, dit is serieus bedoelt :)


doh!

[Reactie gewijzigd door Greyh0und op 2 augustus 2007 21:45]

Sorry maar als je applicatie direct gebruikt maakt van "het 4 cijferige versie van het internet protocol" is er wel degelijk wat mis met je applicatie. :P

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True