Op 2 en 3 november vindt in de Utrechtse jaarbeurs de Infosecurity Beurs plaats, waar ook Security.nl aanwezig zal zijn. Als 'sneak preview' interviewen we de komende weken een aantal van de experts die tijdens het evenement een lezing zullen geven. Op donderdag 3 november geeft KPMG consultant Tunde Balint een lezing over de beveiligingsaspecten en overwegingen van IPv6.

Doordat tijdens de ontwikkeling van IPv6 goed is nagedacht over beveiliging is IPv6 intrinsiek veiliger dan IPv4. Deze ontwikkeling vond echter alweer vijftien jaar geleden plaats, waardoor de standaard nog kwetsbaar kan zijn voor recentere aanvalstechnieken. Met name tijdens de transitieperiode van IPv4 naar IPv6 zal goed moeten worden nagedacht over de beveiligingsimplicaties, aldus Balint. Wij stelden haar enkele vragen over IPv6 en mogelijke problemen die ons te wachten staan.

Waarom is IPv6 zoveel veiliger dan IPv4?
Balint: De bewering dat IPv6 intrinsiek veiliger is dan IPv4 is afkomstig van een misverstand. IPv6 is in veel opzichten gelijk aan IPv4, onder andere als het om de security-eigenschappen, diensten en aanvallen gaat. Het misverstand wordt veroorzaakt door het feit dat IPv6 een nieuwe extensie header voor IPSec toevoegt. Maar als je de specificatie goed leest, zie je dat het niet vereist is om ingebouwde authenticatie en autorisatie te implementeren. Het hangt dus af van de implementatie van de leverancier of de end-to-end IPv6 sessie veilig zal zijn of niet.

Sommige mensen beschouwen IPv6 veiliger omdat het een grotere adresruimte heeft. Er wordt gezegd dat sommige aanvallen, bijvoorbeeld poort scanning, onmogelijk wordt om uit te voeren, maar dit is niet waar. We moeten niet vergeten dat hackingtools en wormen zich zullen aanpassen en het kan zijn dat hackers eerder beveiligingsproblemen zullen ontdekken dan je eigen security-team. Met name als bedrijven IPv6 security niet belangrijk vinden.

Hou er ook rekening mee dat voor het gebruik van IPv6 als standaard protocol, er een transitiefase is. Tijdens deze periode zullen we één van de overgangsmethoden gebruiken, bijvoorbeeld dual-stack of tunneling. Dit betekent dat we twee netwerk-stacks zullen draaien, wat synchronisatieproblemen introduceert, bijvoorbeeld bij access control list. Dit introduceert ook extra ruimte voor menselijke fouten en extra hackingmogelijkheden. En dan moet je nog rekening houden met het feit dat voor de mensen die beslissen om IPv6 uit te rollen, dit een behoorlijk nieuwe technologie is. Tijdens deze leerfase kan men ook fouten maken.

De grootste beveiligingsdreiging is het inschakelen van IPv6 zonder dat iemand dit weet. Dit kan gebeuren, omdat veel apparaten tegenwoordig standaard IPv6 hebben ingeschakeld.

Op wat voor praktische wijze kunnen bedrijven van IPv6 profiteren?
Balint: Als eerste zou ik zeggen dat de grootste angst van veel bedrijven al op korte termijn waarheid kan worden. Stel je voor dat een klant belt om te vertellen dat hij je diensten niet kan bereiken. Niet alleen verlies je bestaande klanten, maar ook nieuwe klanten kunnen geen verbinding maken. Ik denk dat dit de voornaamste drijfveer voor elk bedrijf is. De waarheid is dat we nog wat tijd hebben, het eind van de voorraad IPv4 adressen in de Europe Regional Internet Registry (RIR) wordt voor juni 2012 voorspeld. Deze datum nadert snel en iedereen moet ervoor zorgen dat ze voldoende tijd hebben om de aanpassingen door te voeren. Het is niet iets dat je in een week kunt doen.

Een voordeel waar bedrijven rekening mee moeten houden is het herstellen van end-to-end connectiviteit vanwege de grote adresruimte. Content sharing, VoIP en conferencing tools kunnen van deze feature profiteren. De situatie is te vergelijken met de telefoniewereld. In het begin hadden we ook gedeelde telefoonlijnen, maar nu kunnen we geen wereld meer voorstellen zonder een aantal telefoonlijnen.

En vergeet ook niet de innovatiefactor. De meeste technologische innovaties gebruiken al IPv6. Als je IPv6 niet oppakt, kun je deze diensten niet gebruiken of andere applicaties ontwikkelen die met de nieuwe features van IPv6 rekening houden. Wat ik wil benadrukken is dat het voor bedrijven en organisaties essentieel is om in real-time informatie te ontvangen, maar dat dit straks niet meer zonder IPv6 te doen is.

Welke problemen voorzie je tijdens de transitiefase van IPv4 naar IPv6?
Balint: Het migreren van een netwerk van IPv4 naar IPv6 is veel gecompliceerden dan het lijkt. Je moet al je hosts, routers, routing protocollen en DNS upgraden. Ook het schema van toegekende adressen moet geanalyseerd worden. Alle ervaring die je met IPv4 hebt opgedaan kan nuttig zijn bij het opstellen van een nieuw adresschema. Ook moet je de applicaties niet vergeten en controleren dat deze nog steeds met het nieuwe protocol werken.

Ik zou zeggen dat het beste advies is om de planning gewoon te beginnen en steeds kleine stappen richting de transitie te maken. Ik denk dat de meeste problemen zich zullen voordoen tijdens de fase dat bedrijven twee stacks hebben draaien. Ten eerste omdat IPv6 nieuw is, dus je moet leren om het te configureren en beheren, en ten tweede moet je ervoor zorgen dat het aantal menselijke fouten beperkt blijft.

Morgen het tweede deel van het interview met Tunde Balint (nu online)

Wil je meer informatie over het programma of je gratis aanmelden voor de Infosecurity beurs, ga dan naar Infosecurity.nl