Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

RIPE doet dringende oproep tot migratie naar IPv6

  • Door
  • Arnout Veenman
  • geplaatst op
  • 30 oktober 2007 07:56 uur

RIPE roept op tot migratie naar IPv6Tijdens de RIPE 55 bijeenkomst in Amsterdam hebben de RIPE leden opgroepen tot migratie van IPv4 naar IPv6. In de resolutie staat de verwachting dat IPv4-adressen tussen de 2 en 4 jaar op zullen zijn.

Mogelijke voordelen van IPv6
De uitrol van IPv6 gaat vrij traag, de belangrijkste reden daarvoor is dat IPv6 ansich niet zo veel voordelen zou hebben. Ik zie de volgende twee mogelijke voordelen:

  • IPv6 kan helpen tegen DDoS-aanvallen.
  • IPv6 kan helpen tegen phishing.
  • Vergadering Nederlandse IPv6 Taskforce
    Donderdag komt de Nederlandse IPv6 Taskforce weer bij elkaar. Zelf ben ik daar ook weer van de partij. Nu heb ik een tweetal ideeën over mogelijke bijkomende voordelen van IPv6, die ik donderdag in de groep ga gooien, maar vandaag al met jullie wil delen:

    ‘IPv6 kan helpen tegen DDoS-aanvallen’
    Bij shared webhosting draaien er tientallen tot duizenden websites op één enkel IP-adres. Wanneer een website wordt aangevallen, dan komt op dat éne IP-adres de aanvallen binnen. Wanneer dat IP-adres onbereikbaar wordt, zijn alle websites die via dat IP-adres bereikbaar zijn plat. Met IPv6 is het mogelijk om elke website een eigen IP-adres te geven. Wanneer er dan één website met een DDOS-aanval wordt aangevallen, wordt bij kordaat ingrijpen enkel die website getroffen en niet alle websites die toevallig op de zelfde server staan.

    ‘IPv6 kan helpen tegen phishing’
    Op dit moment maken maar relatief weinig websites gebruik van SSL-certificaten. Eén van de oorzaken hiervan is het feit dat elke domeinnamen met een SSL-certificaat een eigen “dedicated” IP-adres nodig heeft. De schaarste aan IPv4-adressen maakt het niet mogelijk om elke website een eigen IP-adres te geven en vaak willen ISP’s dat ook niet, omdat het telkens moeilijker wordt om aan IP-adressen te komen. Met IPv6-adressen kan elke website zonder problemen een eigen IP-adres krijgen. Hoe vaker de bezoeker https en het slotje onderaan in zijn browser ziet, hoe bewuster deze zich hier van wordt en phishers sneller door heeft.

    Jurrian, 30 oktober 2007 8:32 am

    De argumenten dat IPv6 zou helpen tegen DDoS doordat iedere site een eigen ip zou hebben vind ik waardeloos. Als netwerk-provider ontvang je nl. nog steeds als het verkeer voor dat IP-adres, waardoor de verbindingen kunnen vollopen of in ieder geval vertragen. Ook als het betreffende IP uit de lucht gehaald wordt (requests blijven binnenkomen).

    De reden waarom ipv6 nog niet gebruikt wordt is volgens mij dat je als kleine ISP die niet zelf RIPE-LIR is, geen (kleine) IPv6-reeks kunt krijgen (PI). Daarnaast ondersteund bijna geen enkele access-ISP native IPv6 (voornamelijk het laatste deel tussen de pc van de klant en de router bij de ISP).

    Het blijft natuurlijk een kip-en-ei-verhaal: als hosters geen IPv6 gebruiken, doen access-ISP's niets met IPv6, en andersom ook.

    Paul, 30 oktober 2007 9:13 am

    Het aanvragen van een [url=http://www.ssl.nu]SSL Certificat[/url] is op dit moment echt geen probleem! De de Ripe moet de webhoster namelijk een ipv4 adres toekennen als de klant deze wil gebruiken voor een SSL Website.

    De herkenning van SSL komt pas echt zodra er meer websites gebruik gaan maken van een [url=www.ev-certificaten.nl][b]EV SSL Certificaat[/b][/url]!

    Ons netwerk is klaar voor ipv6, helaas zijn er nog maar weinig transit providers voor ipv6 en is het dus erg moeilijk om ipv6 redundant in productie te nemen.

    Arjan Bijnen, 30 oktober 2007 10:40 am

    [quote]Hoe vaker de bezoeker https en het slotje onderaan in zijn browser ziet, hoe bewuster deze zich hier van wordt en phishers sneller door heeft.[/quote]

    Zelfs het slotje en https hebben niet al te veel meer te zeggen. Zo ging er een poosje geleden een virus rond waarbij je op de site van de Postbank keurig een slotje zag, je zag keurig het adres https://mijn.postbank.nl/internetbankieren/SesamLoginServlet echter werd direct na inloggen (in het slecht Nederlands) om een 10-tal TAN-Codes gevraagd.

    Bij het klikken op het slotje werd keurig een SSL certificaat weergegeven, echter niet die van de Postbank. Het virus wist het url vrijwel onzichtbaar om te lijden naar een kopie van de Postbank site.

    Thomas Wouters, 30 oktober 2007 10:50 am

    Arnout, zou je je zelf niet beter de vraag kunnen stellen waarom mensen niet overstappen?

    Dus mijn vraag aan de ISP'S: Waarom zijn jullie nog niet overgestapt op IPv6?

    Jesper, 30 oktober 2007 10:52 am

    Door het gebrek aan IPV6 ondersteuning bij transit providers. Het is allemaal nog vrij beperkt.

    Ik denk dat, als de grote jongens goede ondersteuning bieden, het erg snel kan gaan.

    Paul, 30 oktober 2007 11:19 am

    [quote]Bij het klikken op het slotje werd keurig een SSL certificaat weergegeven, echter niet die van de Postbank. Het virus wist het url vrijwel onzichtbaar om te lijden naar een kopie van de Postbank site.[/quote]

    Dit kan dus wel voorkomen worden met een [url=http://www.ev-certificaten.nl/]EV SSL Certificaat[/url], aangezien je dan niet kan werken met een domain vatted SSL Certificaat en de naam van de website eigenaar in de adres wordt weergegeven.

    Mark, 30 oktober 2007 1:22 pm

    Als PI space binnen IPv6 nou makkelijk verkrijgbaar was dan was het al meer in gebruik geweest. Zelf gaan wij in januari 2008 volgens planning IPv6 erbij naast aanbieden.

    Paul, 30 oktober 2007 1:39 pm

    Bedoel je hier dan PI binnen IPv6 makkelijker dan PI binnen IPv4? Ik zie geen reden waarom dit voor de Ripe een probleem zou moeten zijn.

    Maar er moet wel een goede reden blijven om PI space aan te vragen, het zou een gekkenhuis worden als iedereen maar PI space ging gebruiken.

    Mark, 30 oktober 2007 3:12 pm

    @Paul:
    In dit geval doel ik op net zo makkelijk als bij IPv4 (dit zou geen probleem mogen zijn mijn inziens). Tot op heden is het lastiger/onmogelijk voor zover ik heb begrepen.

    Japje, 30 oktober 2007 3:47 pm

    Jesper heeft gelijk, er zijn maar weinig grote transit providers die ipv6 ondersteunen, dit komt grotendeels weer door het vraag/aanbod verhaal.

    Wij hebben nagevraag gedaan bij Abovenet, maar daar geld het zelfde voor, niet genoeg vraag, dus nog niet aanbieden.

    Arnout heeft wel een paar puntjes, voor shared hosting worden SSL certs dan mogelijk omdat elke vhost een eigen ip adres kan krijgen. (hoef je ook niet van die EV SSL certs aan te schaffen voor een groen kleurtje, sluipreclame--)

    Ook ddosjes zullen (niet altijd) makkelijker geblokkeerd kunnen worden.

    Het is voor ons (hosting providers) dus afwachten wat de transits doen..

    Paul, 30 oktober 2007 3:52 pm

    @Japje
    [quote]Arnout heeft wel een paar puntjes, voor shared hosting worden SSL certs dan mogelijk omdat elke vhost een eigen ip adres kan krijgen. (hoef je ook niet van die EV SSL certs aan te schaffen voor een groen kleurtje, sluipreclame–)[/quote]

    Waarom zou je dan geen [url=http://www.ev-certificaten.nl/]EV SSL Certificaat[/url] hoeven aan te schaffen? Dit heeft niets met de ip-adressen te maken maar met het stuk van Arnout waar hij het heeft over de herkenning van het SSL slotje in de browser!

    Japje, 30 oktober 2007 4:44 pm

    Enige wat Arnout zegt is dat een SSl cert aanvragen kan met een dedicated ip, en laat shared hosting dat nou niet kunnen leveren....

    ipv6 zorgt voor een dedicated ip per vhost = SSL op "shared" (alleen nog hardware, geen ip addr) accounts. Verder zit er geen link tussen... en is het voornamelijk reclame voor een EV cert voor een groene balk in IE 7.

    Wido, 30 oktober 2007 5:10 pm

    Neemt niet weg dat het een hels karwei is elke vhost een eigen IP te geven.

    Wij draaien 20.000 websites in een cluster omgeving, dat zou betekenen dat je 20.000 entry's in je loadbalancer moet zetten.

    Ook draaien er op grote clusters soms wel 3.000 websites, zie je het al voor je als je ifconfig intypt op je machine?

    Ik wil zo snel mogelijk IPV6 aanbieden, maar ga echt niet elke shared-hosting een eigen IP geven.

    Daarnaast is er nog genoeg apparatuur waar IPV6 er even naast IPV4 in gegooid is, bijvoorbeeld de Cisco ASA firewalls.

    Paul, 30 oktober 2007 5:18 pm

    @Japje:
    [quote]
    Enige wat Arnout zegt is dat een SSl cert aanvragen kan met een dedicated ip, en laat shared hosting dat nou niet kunnen leveren….
    [/quote]
    Nee dit was ook niet waar mijn reactie op gedoeld was Arnout schreef namelijk:

    [quote]
    Met IPv6-adressen kan elke website zonder problemen een eigen IP-adres krijgen. Hoe vaker de bezoeker https en het slotje onderaan in zijn browser ziet, hoe bewuster deze zich hier van wordt en phishers sneller door heeft.
    [/quote]

    Het gaat hier dus om dat het slotje niet veel meerwaarde heeft en dat 90% van de gebruikers niet eens wat wat het slotje is, dat hij er is of laat staan wat het in houd. Als elke site standaard een eigen IP heeft zullen er vast sites bij zijn welke sneller een SSL Certificaat zullen gaan gebruiken maar het zal niet helpen om phishers tegen te gaan tenzij ze dus een EV SSL Certificaat gebruiken. (en ja dit dan natuurlijk meteen een stukje reclame voor EV, maar is niet mijn doelstelling van deze post)

    Sebas, 30 oktober 2007 5:19 pm

    [quote]
    Dus mijn vraag aan de ISP’S: Waarom zijn jullie nog niet overgestapt op IPv6?
    [/quote]

    Nog helemaal niet nodig voor ons, ze zullen ook eens een keer naar ISP's moeten kijken die niet zorgvuldig met hun space omgaat (EN DAT IS/ZIJN ER VEEL).

    Ronald, 30 oktober 2007 5:58 pm

    Alsof de access-providers al IPv6 ondersteunen.
    Kan alles wel op ipv6 zetten, grote kans dat ik allemaal telefoontjes ga krijgen :)

    Danny van der Mast, 30 oktober 2007 7:19 pm

    Het komt nu over als "We've got them, let's use them!". Is het nu gelijk de bedoeling, dat we alle ipv6 ipadressen gaan gebruiken ? Ik zie daar het nut niet van in. Het is wel de bedoeling dat men over 10 jaar nog steeds ipv6 adressen hebben. Het zijn er dan wel een heel stuk meer, maar daarom hoeven we toch niet elke website 1 ipadres te geven?

    Thomas Lobker, 30 oktober 2007 9:27 pm

    [quote]Ik zie daar het nut niet van in. Het is wel de bedoeling dat men over 10 jaar nog steeds ipv6 adressen hebben.[/quote]

    Als we alle mensen op aarde iedere seconde honderd miljard nieuwe IPv6 adressen geven, dan duurt het nog meer dan tien miljard jaar voordat alle adressen op zijn. Dus dat zuinig zijn is écht niet nodig ;)

    Wido, 30 oktober 2007 11:02 pm

    Wat nou als we interplanetair gaan werken in de aankomende 50 jaar? ;)

    TS, 31 oktober 2007 12:59 am

    ******* met je linkspam paul

    rob, 31 oktober 2007 7:40 am

    er zijn meer ipv6 adressen dan zandkorrels op aarde.

    Drew, 31 oktober 2007 8:36 am

    Wordt alleen zo moeilijk, een IPv6 adres onthouden :)

    Mark, 31 oktober 2007 9:42 am

    @Drew:
    Weer een voordeel van DNS/rDNS.

    rob, 31 oktober 2007 11:10 am

    @Drew:

    Valt opzich wel mee hoor, met IPv4 moet je 4 groepen van maximaal 3 getallen onthouden.

    En met IPv6 zijn het maximaal 8 groepen van 4 hexadecimale getallen.

    En als je dan een reeks hebt met meerdere groepen van 4 nullen hoef je steeds minder te onthouden.

    Dus ik zie 't probleem niet, het is even wennen denk ik.

    Randy, 31 oktober 2007 12:31 pm

    ik claim hierbij 1337.1337.1337.1337.1337.1337.1337.1337

    Mark, 31 oktober 2007 2:21 pm

    @Randy: Mail ripe even met die claim.

    Robbert, 31 oktober 2007 4:55 pm

    @Mark je moet de RIPE mailinglist even volgen, daar zijn wat discussies aan de gang omtrent IPv6 PI space. PI space is op dit moment NIET mogelijk.

    Er zijn discussies aan de gang en het zal niet lang meer op zich laten wachten tot dat PI space beschikbaar is voor IPv6.

    Gijs, 31 oktober 2007 5:40 pm

    Het hele uitrollen van IPv6 ligt niet denk ik grotendeels aan de uitgifte van PI space. Meer aan administratieve-configureer-installeer-ellende die het met zich meebrengt wat o.a. Wido zegt. Geen enkele beheerder zit te wachten op zon rompslomp.

    Plus dat veel devices die native prima op IPv4 functioneren gewoon dikke vinger zeggen tegen IPv6. Tevens kan je straks dus krijgen dat je hosts op IPv4 en IPv6 beschikbaar moeten zijn (probleem x2?) En dan nog eens moet gaan wachten op alle Access ISPs totdat die eindelijk een keer hun infra naar IPv6 over hebben...

    Wat mij betreft; Herzie maar eens de uitgifte van addressen om alvast eens mee te beginnen. Sommige bedrijven of instanties in Amerika hebben een complete /16.. voor wat? 3x nix... Als iemand mij kan vertellen waarom een Melkfabriek een /16 heeft (aan public IPs!).. be my guest.

    Ronald, 31 oktober 2007 6:37 pm

    Iedere koe een IP Gijs..

    Mark, 1 november 2007 12:44 am

    @Robbert:
    Op welke mailinglijst van RIPE is dat? Ik zie namelijk dat ze er meerdere hebben.

    Lamp-, 1 november 2007 9:37 am

    @Randy:
    Dan is het toch 1337:1337:1337:1337:1337:1337:1337:1337

    Voor onze frikandellen freak dan maar:
    f00d:f00d:f00d:f00d:f00d:f00d:f00d:f00d

    rob, 1 november 2007 9:46 am

    http://www.ripe.net/fcgi-bin/whois?form_type=simple&full_query_string=&searchtext=f00d:f00d:f00d:f00d:f00d:f00d:f00d:f00d

    Gijs, 5 november 2007 12:41 am

    Het hele probleem van uitrollen van IPv6 blijft erbij dat de 2 netwerken niet naast elkaar kunnen functioneren. Je kan echt zo never, zo goed als bijna never een dergelijke migratie uitrollen.

    Het is goed dat alle zgn. leiders van RIPE etc. zeggen dat we over moeten op IPv6, maar... 99,99% van alle devices die ik nog gezien heb (Routers, Switches) etc. supporten niet of nauwelijks IPv6.. daar ligt het gehele probleem.

    Natuurlijk zal ik zelf alles eraan doen om mee te werken met IPv6 en het te implementeren, maar vooralsnog heb ik er een heel hard hoofd in..

  • Pingback: “Weinig Nederlandse webwinkels gebruiken SSL certificaten” · ISPam.nl

  • Feedback!
    Fill out my online form.
    Laatste reacties

    Bedankt voor het succes van ISPam.nl
    Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

    Bedankt voor het succes van ISPam.nl
    Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

    Bedankt voor het succes van ISPam.nl
    L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

    Bedankt voor het succes van ISPam.nl
    Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

    Bedankt voor het succes van ISPam.nl
    Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.