Is uw bestuur klaar voor IPv6? Shopt IT Antwerpen 25 april 2013

Is uw bestuur klaar voor IPv6 ? Shopt IT – Antwerpen – 25 april 2013

© Fedict 2013. All rights reserved

Agenda

© Fedict 2013. All rights reserved

Agenda 

Wat is IPv4 / IPv6 ?



Waarom is IPv6 nodig ?



Wie gebruikt al IPv6 ?



Hoe IPv6 invoeren ?



Enkele aandachtspunten



Vragen ?

© Fedict 2013. All rights reserved | p. 3

Wat is IPv4 / IPv6 ?

© Fedict 2013. All rights reserved

Het internet, een pakjesdienst

Bron: http://commons.wikimedia.org/wiki/File:Jerome_Relocation_Center,_Denson,_Arkansas._A_crew_of_postal_workers_engaged_in_sorting_packages_at_._._._-_NARA_-_538850.jpg

© Fedict 2013. All rights reserved | p. 5

Gelaagd netwerk Web page (HTML, images)

HTTP

TCP

IP

IP

HTTP

TCP

TCP

IP

IP

© Fedict 2013. All rights reserved | p. 6

IPv4 

Internet Protocol (4e versie)   



In gebruik sinds +/- 1980 



Pakketten Adres afzender / bestemmeling Technische info

Dus nog vóór de IBM PC

Adres  

Vaste lengte, 32 bits = +/- 4 miljard adressen Vb: 193.191.245.4

© Fedict 2013. All rights reserved | p. 7

IPv6 

IPv6: sinds +/- 1996 

IPv5: enkel experimenteel



Beter afgestemd op moderne netwerken



Veel meer adressen   

128 bit = 340 miljard miljard miljard miljard adressen Vb: 2001:06a8:a000:0000:0000:0010:0204:0011 Afgekort: 2001:6a8:a000::10:204:11

© Fedict 2013. All rights reserved | p. 8

Waarom is IPv6 nodig ?

© Fedict 2013. All rights reserved

Steeds meer toestellen op het internet

Bron: http://www.greenwavereality.com/solutions/led-lighting/

© Fedict 2013. All rights reserved | p. 10

IPv4 adressen zijn bijna uitgeput 

Steeds meer mensen online 



Steeds meer internet-apparatuur   



> 2 miljard gebruikers

Tablets, smart phones Digital TV, VoIP, webcams, domotica Smart meters, allerhande sensoren

Technieken om adressen beter te verdelen   

“Private” adressen voor intern netwerk NAT: mappen van publieke naar private adressen “Dynamische” IP adressen

© Fedict 2013. All rights reserved | p. 11

Wat als IPv4 adressen op zijn ? 

Huidige adressen blijven gewoon “werken” 

Webservers e.d. blijven draaien



Risico op IPv4-only / IPv6-only eilanden



Migratie naar IPv6 zal echter jaren duren



Tussenoplossingen zijn dan nodig  

Aan de kant van de leverancier en/of gebruiker In het begin zowel IPv4 als IPv6 ondersteunen

© Fedict 2013. All rights reserved | p. 12

Voorbeeld: “Carrier Grade NAT”

Bron: http://www.flickr.com/photos/jfesler/6751925977

© Fedict 2013. All rights reserved | p. 13

Carrier Grade NAT (CGN) 

Extra “vertaalslag” door de leverancier 



Voordeel 



Extra “NAT”: delen IP-adressen met andere gebruikers

Eenvoudig voor de klant

Nadeel    

Extra materiaal / kost bij de leverancier Performantieverlies en extra complexiteit Niet alle toepassingen kunnen hiermee overweg Wat met blokkeren IP-adressen ?

© Fedict 2013. All rights reserved | p. 14

Wie gebruikt al IPv6 ?

© Fedict 2013. All rights reserved

Groei IPv6 versnelt

Bron: http://www.google.com/ipv6/statistics.html

© Fedict 2013. All rights reserved | p. 16

Enkele websites bereikbaar via IPv6 

NGI, Rekenhof, AWT



Google / YouTube, Facebook



Keytrade



RTBF, GVA / HBVL



UZ Leuven, UHasselt, KATHO



Francofolies

© Fedict 2013. All rights reserved | p. 17

IPv6 verkeer netwerk operatoren Netwerk operator

% IPv6

Verizon Wireless (USA)

26 %

Free (FR)

17 %

XS4All (NL)

13 %

VOO

8%

Belnet

2%

EDPNet

1%

Bron: http://www.worldipv6launch.org/measurements/

© Fedict 2013. All rights reserved | p. 18

Federaal actieplan 

Kader  



Beslissing Ministerraad (juni 2012) Omzendbrief (oktober 2012)

Acties    

Aanduiden IPv6 verantwoordelijke IPv6 clausule lastenboeken Rondvraag huidige leveranciers Focus op publieke websites en diensten

© Fedict 2013. All rights reserved | p. 19

Hoe IPv6 invoeren ?

© Fedict 2013. All rights reserved

Op weg naar IPv6

Bron: http://commons.wikimedia.org/wiki/File:Street_Sign_with_ideas.jpg

© Fedict 2013. All rights reserved | p. 21

In grote lijnen 

Geen “big bang” !



Zet een IPv6 clausule in lastenboeken



Maak een lijst van publieke diensten   

Diensten die uw organisatie aanbiedt en gebruikt Vb: website voor burgers, webservice voor bedrijven Minder dringend: mail



Vraag uw leverancier om uitleg



Voorzie opleidingen en testwerk

© Fedict 2013. All rights reserved | p. 22

Vraag het aan uw leverancier 

Zijn de diensten / producten al klaar ?  



Ja: plan van aanpak ? Nee: wanneer dan wel ? Extra kost ?

Let op de kleine lettertjes: “ja, maar”     

… niet in model X … meer geheugen nodig … upgrade naar versie Y nodig … extra licentie te betalen … niet in die bepaalde configuratie

© Fedict 2013. All rights reserved | p. 23

Het gaat niet alleen over hardware 

Hardware 



Ook software  



Routers, firewalls, load-balancers, ...

Invoervelden admin pagina's Webservers, remote access, ...

En diensten  

E-payment, webstatistieken, … Extern gehoste javascripts (social media, webfonts)

© Fedict 2013. All rights reserved | p. 24

Voorbeeld IPv6 clausule 

De leverancier dient, indien van toepassing, te garanderen dat alle hardware, software en diensten met netwerkfunctionaliteit ook IPv6 ondersteunen.



Deze ondersteuning moet evenwaardig zijn aan de IPv4-ondersteuning, met inbegrip van (maar niet noodzakelijk beperkt tot) performantie, functionaliteit, beveiliging, monitoring en updates.

© Fedict 2013. All rights reserved | p. 25

Voorbeeld IPv6 clausule (vervolg) 

De leverancier garandeert bovendien dat deze ondersteuning onmiddellijk beschikbaar is, er moet met andere woorden niet gewacht worden op bepaalde updates van producten of diensten.



De leverancier mag voor de ondersteuning van IPv6 geen extra kost aanrekenen.

© Fedict 2013. All rights reserved | p. 26

Voorbeeld proxy naar externe IPv6 sites Internet IPv4 + IPv6 Firewall IPv4 + IPv6 Proxy IPv4

IPv4

© Fedict 2013. All rights reserved | p. 27

Voorbeeld dual stack web server

IPv6

Internet IPv4 + IPv6

Firewall

IPv4 + IPv6

Webserver

IPv4 IPv4

© Fedict 2013. All rights reserved | p. 28

Database

Enkele aandachtspunten

© Fedict 2013. All rights reserved

Even opletten

Bron: http://commons.wikimedia.org/wiki/File:1.15_Russian_road_sign.svg

© Fedict 2013. All rights reserved | p. 30

Beveiliging 

IPv6 niet per definitie (on)veiliger dan IPv4  

IPSec: kan ook in IPv4 Netwerkscan: webserver gekend adres



Maar: minder ervaring met IPv6



Twee aanvalspunten in IPv4 + IPv6 netwerk

© Fedict 2013. All rights reserved | p. 31

Ook als u geen IPv6 gebruikt 

Let op “automatische” IPv6 netwerken  



Filteren intern netwerk  



Tunnels Servers

Valse DHCP servers Valse Router Advertisements

Firewall rules controleren 

IPv4 rules niet automatisch van toepassing op IPv6

© Fedict 2013. All rights reserved | p. 32

Aandachtspunten DNS 

IPv4: A-record



IPv6: AAAA-record



DNS server zelf moet ook IPv6 ondersteunen 



Records kunnen via IPv4 en/of IPv6 opgevraagd worden

DNS response langer dan 512 byte UDP limiet 

EDNS0 of TCP

© Fedict 2013. All rights reserved | p. 33

Gebruikt een browser IPv4 of IPv6 ? 

Als server zowel IPv4 als IPv6 aankan 

Hangt af van netwerk, OS, browser, configuratie



IPv4 prefereren: nadelig voor uitrol IPv6



IPv6 prefereren: mogelijk een timeout



“Happy Eyeballs” / “Fast Fallback”   

Test IPv6 en IPv4 verbinding (bijna) gelijktijdig Gebruik eerste verbinding die reageert MacOS X: snelste verbinding

© Fedict 2013. All rights reserved | p. 34

Vragen ?

© Fedict 2013. All rights reserved

Enkele linken 

http://www.fedict.belgium.be/nl/over_fedict/d ownloads/overige/



http://ipv6.belnet.be



http://www.ipv6tf.org



http://www.ipv6council.be



http://blog.ioshints.info/search/label/IPv6



http://www.sixxs.net

© Fedict 2013. All rights reserved | p. 36

Bedankt ! Bart Hanssens / Fedict Maria-Theresiastraat 1 1000 Brussel, Belgium @BartHanssens bart.hanssens [at] fedict.be | www.fedict.belgium.be

© Fedict 2013. All rights reserved