IPv6 voor webbouwers: techtalk

Op acht juni 2011 hield "de Internet Community" een wereldwijde test van IPv6, het nieuwe protocol waarop het hele Internet binnenkort zal werken.

Hoewel de Belgische access providers vrij laat zijn met het uitrollen van IPv6 naar hun klanten moeten webbouwers toch stilaan rekening beginnen houden met dit nieuwe protocol. Daarom maakten we van World IPv6 Day gebruik om hen uit te nodigen om het met hen over IPv6 te hebben.

Onze buurlanden staan verder dan ons. Zowel in Frankrijk, Luxemburg en in mindere mate Nederland kan je als thuisgebruiker al een IPv6 aansluiting krijgen. Ook de hostingmarkt begint stilaan klaar te zijn voor IPv6. Zo kan bij ons elke VDS, dedicated server of coloklant sinds enkele weken IPv6 gebruiken. De kans stijgt dat bezoekers van je sites een IPv6 IP-adres zullen hebben.

Gebruik je in je website of -applicatie IP-adressen voor statistieken, voting of om misbruikers te bannen, moet je je realiseren dat je binnenkort misschien heel andere adresformaten zal aantreffen. Gebruik je firewalls op je server of VDS? Ook dan moet je aan IPv6 beginnen denken.

Daarom was mijn advies voor webbouwers gisteren om in hun applicaties te voorzien dat IP-adressen morgen er anders zullen uitzien dan nu. Zorg als webbouwer dat je site getest is op IPv6 en je zelf IPv6 op kantoor hebt. Daarnaast deed ik ons IPv6 migratieplan uit de doeken.

De slides van de presentatie kan je hieronder vinden:

Uit de zaal kwamen enkele interessante vragen, waarvan ik er een aantal hier wil aanhalen.

Vraag: Kan je (via DNS bv) aangeven dat je wil dat mensen bij voorkeur via IPv4 op je site komen, en pas IPv6 doen als ze geen IPv4 hebben?

Antwoord: Neen, dit kan je niet doen. Als je in de DNS zone van je domein zowel een A (voor IPv4) als een AAAA (voor IPv6) opneemt, zal je besturingssysteem zelf beslissen welk het zal nemen. Je kan dit niet zelf sturen.

Vraag: Als eindgebruikers meerdere IP adressen krijgen, en Windows 7 in bepaalde omstandigheden zelf van IP zal veranderen, ga je dan de bron van een aanval kunnen identificeren?

Antwoord: Ja, eigenlijk wel. Een IPv6 adres bestaat uit acht blokjes van 4 hexadecimale tekens. Bv: 2a02:d08:1234:5678:90ab:cdef:1234:5678. De eerste twee blokjes (2a02:d08) identificeren doorgaans de provider. Als bedrijfsklant, zal je provider waarschijnlijk de eerste 4 of 5 voor je vastzetten. Als eindklant de eerste 6 of 7.
Zelfs als je Windows dus regelmatig van IP adres zou veranderen, zullen de "vaste" blokjes nog altijd bepalen welke gebruiker je bent.

Waar wel een potentieel probleem zit, is als providers op grote schaal "Provider NAT" gaan gebruiken om het tekort aan IPv4 adressen op te vangen. Jij zal dan thuis waarschijnlijk hetzelfde adres krijgen als de andere gebruikers in je straat. Het wordt dan onmogelijk of zeer moeilijk om te achterhalen welke gebruiker met een bepaald adres overeenkomt. Onder meer de ordediensten gebruiken dit argument om iedereen aan te sporen zo snel mogelijk met IPv6 te beginnen.

IPv6 voor webbouwers - World IPv6 day from Openminds on Vimeo.