jan 022013
 

IPv6 is het nieuwe adres-systeem van het internet en alleen daarom is het iets waar we allemaal mee te maken krijgen. In de vorige editie van deze IPv6 serie ging het over IPv6 als fenomeen, over wat het is en waarom het er is. Deze keer gaat het over de adressering.

Op dit moment hebben we met elkaar maar een klein internetje, er zijn slechts 4,3 miljard adressen en die zijn bijna allemaal op. Daarom krijgen we iets nieuws, IPv6.

Het huidige internet is de opvolger van ARPANET, de Amerikanen hebben het gebouwd om in oorlogstijd te communiceren. Zij hadden nog geen idee van de mogelijkheden die het internet zou krijgen, pas met de ontwikkeling van het  web begon dat te groeien en daarom is aan adressering en capaciteit toen vast niet gedacht, ik vraag me zelfs af of mensen destijds wel verder konden denken dan 4 bytes. Vier bytes dat is 32 bits, zoveel zitten er in het huidige internet-adres.

Toen wij (als in: Elementa) in 1993 met het internet begonnen was dit zuivere wetenschap. Er was toen vooral en alleen Novell en je had dus Novell netwerken. Novell maakte zelf zijn adressen, een enorm lang ding met aan het eind het mac-adres van het apparaat (een mac-adres, dat is het unieke adres dat iedere apparaat heeft en dat bestaat uit een leveranciers-id en een volgnummer). Er hing een coax-kabel tussen de werkstations en als er ergens een aansluiting defect raakte hield het hele netwerk op met bestaan. Dan reed je er heen en draaide een eind-weerstand aan of kneep je de connectoren vast om het boeltje weer te laten draaien. En als er iemand erg was gestruikeld maakte je een nieuwe kabel.

WAN, LAN, LOCAL

Met het internet kwam Windows, eerst NT3, toen NT4 en daarmee brak het door en het vrat Novell op. We kregen een onbekend tcp/ip protocol en daar moesten we het voortaan mee doen. We stapelden die protocollen meestal: zowel Novell Netware als tcp/ip werd op de netwerkkaart geladen en pas later, veel later, verdween Netware en later ook Netbios.

Vanaf toen hadden we ip adressen en die zitten nu in alle routers. Van wetenschap is geen sprake meer want iedereen, van huisvader tot meisje van 14, kan tegenwoordig overweg met een ip adres. Al snel na het begin van het web moet men hebben zien aankomen dat we ’t met 4,3 miljard adressen niet zo lang zouden uithouden en daarom werden destijds de lokale netwerken bedacht. Van je provider krijg je sindsdien één ip-adres en dat is het WAN-adres op je router. Die router vertaalt en maakt dankzij het WAN adres een koppeling tussen je lokale netwerk (dat tegenwoordig bijna altijd 192.168.x.x gebruikt) en het internet. Dus: één WAN ip adres zorgt er voor dat zo’n lokaal netwerk toch aan het internet gekoppeld (gerouteerd) wordt. Trucs die we daarbij uithalen zijn NAT (Network Address Translation) waardoor je tegen de router kan zeggen dat het dataverkeer op poort 1723 naar de database-server in het lokale netwerk gestuurd moet worden. Op deze manier konden we met IPv4 toch een heel eind komen.

In IPv6 is dat allemaal weg.

Het wordt weer wetenschap want er is geen NAT meer en ook geen WAN, er is zelfs geen LAN meer. Ieder apparaat krijgt een openbaar adres en van je provider krijg je in IPv6 een adres-reeks die groter is dan het hele huidige internet. De router vertaalt niets meer maar regelt het verkeer en de firewall (al dan niet in die router) zorgt er – veel meer dan nu voor – dat intern en extern verkeer gescheiden worden.

Als er geen lokaal netwerk meer is moet de firewall gaan zorgen dat gedeelten van het netwerk niet toegankelijk zijn voor verkeer van buitenaf. Mailservers wel bereikbaar, printers en koffiezetapparaten niet. Databaseservers in een bepaald segment wel en in een ander segment niet, of alleen bereikbaar voor intern gebruik.

Maar intern gebruik was er toch niet meer? Dat klopt, iedere machine heeft zijn eigen publieke IP adres maar tegelijk ook een lokaal adres. Dat krijgt-ie van de router of de DHCP-server en wordt gebruikt om onderling te communiceren. De printopdracht gaat via een local link adres dat begint met FE80: Terug naar Novell want de laatste 64 bits van zo’n link local adres worden gevormd door het mac-adres van het apparaat, net zoals het vroeger gebeurde: ieder apparaat zijn eigen unieke adres.

Klaar met broadcast

Het systeem is geheel anders. Met IPv4 wordt er gebroadcast, een apparaat toetert rond wat-ie wil en krijgt antwoord van een router, een dhcp server of iets dergelijks. In IPv6 bestaat dat niet meer. Bij het opstarten vraagt de PC wie zijn router is en krijgt daar antwoord op en dat gaat van buurman op buurman (via dat FE80 adres). Zijn er twee routers dan accepteert de computer dat zonder enig bezwaar en dat is handig als je redundant netwerken wilt aanleggen – want valt er een router uit dan neemt de ander gewoon de taak over. Vanuit het oogpunt van beveiliging is het lastiger want de computer accepteert gewoon enig welke router of dhcp-server en controleert niet of het wel de goede is. Zit er een boefje naast je kantoor met een sterke DHCP-server dan verbindt je netwerk zich ermee en dan wordt het verkeer naar de Rabobank niet naar je bank gestuurd maar naar de nep-site van dat boefje.

Windows2008, Windows7, WindowsVista en Windows8 geven je nu al een IPv6 adres. IPv4 en IPv6 praten niet met elkaar, IPv4 apparatuur houdt dus ook geen IPv6 verkeer tegen. Dus als iemand een tunneltje kan bouwen op jouw IPv6 adres kan hij maar zo in je computernetwerk terecht komen.

Ergo: we hebben iets te doen op gebied van beveiliging en je kunt je voorstellen dat er allerlei nieuwe apparatuur nodig is om dat te regelen. De simpele, vaak onbeheerde, switches en routers van nu kunnen dit niet aan.

Onbereikbaar voor elkaar

Ander probleem van IPv4 en IPv6 is dat ze mekaar niet zien: als je een mailtje stuurt met een iPv4 adres erin komt het niet aan in een IPv6 server en ook IPv6-websites zijn niet bereikbaar door IPv4 webbrowsers. Er moet dus vertaald worden want anders wordt het een bende. Vanaf mei, juni 2013 komen de IPv6 adressen in omloop via de providers en vanaf dat moment is er dus sprake van onbereikbaarheid. Voor u wordt het urgent op het moment dat informatie niet meer bereikbaar wordt. En dat kan best snel zijn.

Voordelen

Voor ’t geval u denkt dat het veel gedoe is en nergens voor nodig dan wil ik dat beeld graag bijstellen. IPv6 zorgt voor groei en mogelijkheden. Bleef het IPv4 dan was dit het, filmpjes kijken, beetje luisteren naar internetradio, mekaar mailen en whatsappen maar meer wordt het daar niet mee. Ipv6 betekent groei, dynamiek, uitbreiding en nieuwe kansen. Een klein idee van de impact van IPv6 is het verschil in uitzenden. Ipv6 is multicast, het laat weten wat het wil en andere apparaten kunnen daar op aansluiten. IPv4 is unicast, kan maar één kant op. Neem nou ‘ns een videostream, voor iedere gebruiker is één stream nodig dus zit je met je vrouw op de bank beiden op een ander apparaat naar dezelfde film te kijken dan heb je twee streams nodig. IPv6 met z’n multicast geeft je de mogelijkheid om samen die stream te delen. Voor radiostations, tv-zenders en andere streamleveranciers is dat een uitkomst want er is veel minder server-capaciteit nodig.

Maar de komende tien jaar zitten we nog vast aan een mix van IPv6 en IPv4, hoe we dat gaan doen de volgende keer.

 

Disclaimer: ik probeer overzichtelijk en luchtig te informeren en wil af en toe ook gewoon niet compleet zijn. Ik vertel wat past bij mijn onderwerp en dat er nog meer mee te maken heeft is inherent aan dit ingewikkelde onderwerp.

dec 102012
 

Ik begin aan een serie artikelen over IPv6 en voordat we nu al de weg kwijt raken: IP staat voor Internet Protocol en wordt gebruikt voor de adressering van alle computers, telefoons, kortom alles dat aan een netwerk verbonden is.

IPv4 en IPv6

We hebben nu IPv4, straks krijgen we IPv6. Dat gaat vanzelf want IPv4 adressen zijn op. Het internet is vol, er is geen adres meer en dus gaat er iemand een keer IPv6 adressen uitdelen. Dat is zo afgesproken en u loopt daarmee de kans dat u straks tegen een IPv6 adres oploopt. Het huidige internet, maar ook uw netwerk of PC, heeft nu een IPv4 adres en dat praat niet met een IPv6 adres. Dus, als u straks nog wilt mailen moet u zorgen dat u (ook) IPv6 praat. En omdat de hele wereld straks met uw pc verbonden is moeten we ook iets doen aan de beveiliging.

We helpen u graag voorbereiden.

Zoals ik als zei hebben we nu IPv4 en allemaal een modem in huis met adressen als 192.168.1.1 Als het straks IPv6 wordt heeft dat modem misschien wel dit adres: 

2001:1900:4545:3:200:f8ff:fe21:67cf

Nu is er altijd een WAN (wide area network) en een LAN (local Area Network). Het WAN heeft een IP adres, dat aan de buitenkant van het modem zit en het LAN heeft een IP adres voor alles binnen. Nu is het relatief simpel om te zorgen dat iemand van buiten niet binnenkomt maar straks is er geen buiten meer. IPv6 doet niet aan WAN en LAN, er is straks nog maar één netwerk, alles is met elkaar verbonden en alles kan elkaar in principe bereiken.

Hele grote getallen

IPv6 bestaat uit 128bits adressen en het zijn er heel veel. Als er iedere microseconde één adres wordt uitgedeeld zijn we 1020 jaar bezig voor ze op zijn. Dat duurt nog even en het aantal IP adressen dat beschikbaar is is zo groot dat iedereen die straks een internetabonnement neemt meer IP adressen voor zichzelf krijgt dan er nu in het hele internet zitten. Ietwat overdreven, zegt u? Klopt maar het is anders niet te organiseren, daarom maar zo.

Ieder apparaat kan dus een IP adres krijgen en alles kan (zal) aan het internet worden gehangen. En als toch iedere zandkorrel een internetadres heeft kunt u zich misschien voorstellen hoe groot uw netwerk wel niet wordt. Nu zit alles nog netjes achter uw router verborgen maar straks is alles bereikbaar. Er is geen lokaal netwerk, ieder apparaat krijgt een openbaar netwerkadres en is daardoor dus ook openbaar bereikbaar.

Hoe je dat allemaal doet met beveiliging van uw netwerk komt later, de volgende keer eerst over de adressen zelf. Hoe werkt dat, hoe schrijf je dat op, hoe deel je die uit?

 Posted by on 10 december 2012 at 17:17  Reacties uitgeschakeld voor Wat moet je met IPv6, wat is het eigenlijk, is het eng, wordt het internet dan veilig?  Tagged with: ,