Op 2 en 3 november vindt in de Utrechtse jaarbeurs de Infosecurity Beurs plaats, waar ook Security.nl aanwezig zal zijn. Als 'sneak preview' interviewen we de komende weken een aantal van de experts die tijdens het evenement een lezing zullen geven. Op donderdag 3 november geeft KPMG consultant Tunde Balint een lezing over de beveiligingsaspecten en overwegingen van IPv6.

(het eerste deel van dit interview kun je hier vinden)

Veel bedrijven negeren IPv6, met welke problemen krijgen deze achterblijvers te maken?
Balin: Ze hebben niet voldoende kennis over IPv6, dus kunnen ze hun netwerken niet goed instellen. Ze zullen zich moeten haasten als ze beseffen dat IPv6 zo snel als mogelijk moet worden uitgerold. En dit heeft gevolgen op hun bedrijfsvoering en technologie voor de jaren daarna. Dit is geen aanpassing die, als je het goed wilt doen, in een aantal dagen kunt doorvoeren. Je moet al je netwerkverbindingen en applicaties hertesten om er zeker van te zijn dat ze goed werken. Ze zullen waarschijnlijk ook met financiële verliezen te maken krijgen, omdat ze geen rekening met IPv6 hielden bij het aanschaffen van nieuw materiaal.

Een ander ding met IPv6 zijn de privacygevolgen, omdat alles een eigen IP-adres krijgt. Denk je dat deze angst gerechtvaardigd is?
Balin: Een IP-adres heeft nog steeds twee delen: een netwerk identifier en een interface identifier. Eén van de nieuwe features van IPv6 is Stateless Address Autoconfiguration (SLAAC). Door dit te gebruiken kan een host zichzelf automatisch configureren wanneer er met een netwerk verbinding is. De privacyzorgen hebben te maken met hoe het hostgedeelte wordt gegenereerd.

In eerste instantie was het idee om het MAC-adres van het apparaat te gebruiken (unieke identifier), maar dan ben je over verschillende netwerken te volgen en mensen kunnen bijvoorbeeld bepalen wat voor hardware je gebruikt. Er is hier al een oplossing voor. Het enige dat je moet doen is het inschakelen van de privacy extensies, die een globale identifier van de interface identifier zullen generen en die na verloop van tijd zal veranderen. Dit maakt het lastiger voor luistervinken en anderen die willen afluisteren om het te identificeren als verschillende adressen met dezelfde node overeenkomen.

En als we aan IPv4 denken, zien we dat er al een privacyprobleem met onze huidige netwerkconfiguratie is. We hebben statische IP-adressen, die nooit veranderen en in het geval je DHCP leases gebruikt, is er een grote kans dat je hetzelfde adres terugkrijgt als je die hernieuwt. En er is geen manier om willekeurige host adressering in IPv4 te doen.

Vanwege de grotere IP-ruimte, kunnen zaken als NAT verdwijnen, maar NAT wordt vaak ook als beveiligingslaag gezien. Wat denk je hiervan?
Balin: NAT zorgt voor een bepaalde veiligheid, dat klopt, namelijk dat mensen van buiten je netwerk geen verbindingen naar de binnenkant van je netwerk kunnen opzetten. Dit voorkomt dat sommige wormen en malware zich in netwerken verspreiden, maar NAT is geen vereiste voor IP security, het is geen firewall. Je hebt nog steeds firewalls voor alle interne computers nodig, want als er iets in het netwerk gehackt is, kan het de rest in je netwerk overnemen.

Dus NAT is eenvoudig te vervangen door bijvoorbeeld een filter. Ik denk dat als je een goede firewall met IPv6 geconfigureerd hebt, kun je nog steeds efficiënt je netwerk beveiligen, zonder NAT te gebruiken. Het enige probleem is dat we er gewend aan zijn om NAT te hebben, en het is lastig om een andere manier van werken te accepteren, als we denken dat onze bestaande oplossing goed genoeg is.

Welke vragen krijg je, als consultant die bedrijven over IPv6 adviseert, het vaakst en wat is je antwoord?
Balin: De meest voorkomende vraag is of een bedrijf wel over IPv6 moet nadenken. We adviseren ze meestal om hun personeel te onderwijzen en op tijd met plannen te beginnen. Ik ben ook betrokken bij software quality reviews en daar krijgen we meestal vragen over de applicatielaag.

Maar de applicaties waar ze naar verwijzen zijn van een behoorlijk hoog niveau, dus meestal moeten ze alleen rekening houden dat de database en andere opslag/weergave apparaten genoeg bits toegewezen hebben gekregen. Deze applicaties gebruiken niet direct socket API's. Als ze dat zouden doen, moeten de ontwikkelaars ervoor zorgen dat ook IPv6 is te selecteren en te gebruiken.

In de afgelopen maanden hebben we ook een enquête gehouden om bewustzijn te verhogen. Eén van onze voornaamste vragen was natuurlijk of onze klanten al over IPv6 nadachten. Ik moet zeggen dat de antwoorden erg teleurstellend waren.

Paniekzaaiers zeggen dat IPv4-adressen opraken en dat er dan veel problemen zullen ontstaan. Het onderwerp kreeg veel aandacht, maar lijkt nu weer van de radar verdwenen te zijn. Kan de wereld wel zonder nieuwe IPv4-adressen functioneren, of is dit de stilte voor de storm?
Balin: Ja, het is mogelijk, maar alleen voor een korte tijd. Zoals ik eerder zei, zal het European RIR waarschijnlijk volgend jaar geen IPv4-adressen meer hebben. Dan zal er een impact zijn. Het wordt interessant om te zien hoe bedrijven reageren als ze geen nieuwe publieke adressen kunnen krijgen.

Natuurlijk zijn er andere alternatieven, zoals Large Scale NAT, maar dan moeten we gaan nadenken over het verlies van de voordelen van een open internet en hoeveel impact internetproviders op ons leven en internetverkeer zullen hebben. Is dat echt iets dat we willen? Dus ik wil zeggen dat dit inderdaad de stilte voor de storm is. Begin gewoon met plannen, verken de mogelijkheden en weet wat er in je eigen achtertuin staat qua infrastructuur.

Wil je meer informatie over het programma of je gratis aanmelden voor de Infosecurity beurs, ga dan naar Infosecurity.nl