Iedere computer die verbonden is met het internet heeft een ip-adres, een unieke code die maar aan één apparaat kan toebehoren. Momenteel krijgen praktisch alle computers nog adressen aan de hand van het IPv4 protocol. Daarmee zijn iets meer dan 4,3 miljard adressen beschikbaar. Doordat steeds meer mensen internet krijgen raken die adressen in snel tempo op en daarom is er al een hele tijd geleden een opvolger bedacht: IPv6. Met dat systeem zijn er per aardbewoner 50.000 quadriljoen adressen beschikbaar. Omdat de IPv4-adressen opraken moeten de komende jaren veel mensen over naar IPv6. Veel bedrijven staan daar nog niet om te springen. Er zijn namelijk nog veel onduidelijkheden over dat protocol.

Eén van de 32 bedrijven

Zo zijn er nog veel bedrijven met apparatuur die alleen geschikt is voor IPv4. Apparatuur die misschien pas over drie jaar afgeschreven is. Die apparatuur werkt nog prima, dus kan het als een kostenpost worden gezien worden om de apparatuur te vervangen. Technisch directeur van Bit Alex Bik ziet dat argument vooral als een excuus om een migratie naar IPv6 uit te stellen. Volgens hem hoeft een bedrijf namelijk niet te investeren in IPv6, maar moeten zij bij een vervangingsronde direct apparatuur aanschaffen die geschikt is voor IPv6. “Als je dat nu, of de volgende keer dat de apparatuur afgeschreven is doet, dan zit je veilig”, stelt hij.

Volgens Bik blijkt dat veel bedrijven nog geen apparatuur hebben die geschikt is voor IPv6. Bit heeft onlangs 32 bestaande klanten overgezet naar IPv6. Daarvan gebruikten 16 klanten gewoon NAT op hun DSL-modem. De andere 16 hadden een losse router achter hun DSL-modem staan. Van die 16 klanten had maar één klant een router die voor IPv6 geschikt was. Op zich geen direct probleem, de DSL-modems die providers voor IPv6 gaan leveren zullen namelijk veelal ook een routerfunctie hebben. Daarnaast zijn veel professionele routers met een firmwareupdate geschikt te maken voor IPv6.

Altijd vaste IP-adressen

Ook over de veiligheid doen veel mythes de ronde. Zo zou ieder apparaat in een IPv6-netwerk op basis van het MAC-adres zo lang het functioneert hetzelfde IP-adres krijgen. In het IP-adres zit met autoconfig (de opvolger van DHCP) zelfs een deel van het MAC-adres verwerkt. Dat is een beveiligingsrisico omdat het hackers zo wel heel eenvoudig wordt gemaakt om bijvoorbeeld een MAC-adres te kopiëren naar een ander apparaat. Op die manier is het bijvoorbeeld mogelijk om toegang te krijgen tot beveiligde netwerken.

“Niet noodzakelijk”, zegt Niels Huijbregts van XS4ALL, “het klopt dat standaard een deel van het MAC-adres in het IP-adres is opgenomen. Met de optie privacy extension in veel modems is het echter mogelijk om apparaten iedere keer dat ze verbinding maken een ander IP-adres te geven. Dat werkt dus hetzelfde als een dynamisch IP-adres. Al kan zoiets voor servers natuurlijk niet, maar die moeten toch al een vast adres hebben”.

Professor Erik Huizer van de IPv6 Taskforce stelt nog wel het mogelijke probleem van tracking aan de kaak. Met altijd hetzelfde IP-adres zou dat eenvoudiger zijn. Maar, stelt hij, "inmiddels is bijvoorbeeld Google al zo ver dat ze je op je gedrag herkennen, zodat het al dan niet hebben van een statisch IP-adres ook daar niet veel meer uitmaakt". Toch denkt hij dat het goed is om dynamische toewijzing van adressen mogelijk te maken. Hij hoopt dat dat gemeengoed wordt in de markt.

Struisvogelveiligheid

Dan is er nog de firewall. IPv4-verbindingen worden nu veelal gedeeld met NAT. Dat is geen echte beveiliging, maar houdt wel al het verkeer van buiten waar niet om is gevraagd tegen. Doordat bij IPv6 ieder apparaat een eigen IP-adres heeft, werkt dat niet meer. Theoretisch gezien is dat dus een beveiligingsprobleem, al was het maar omdat veel mensen toch vertrouwen op “struisvogelveiligheid van NAT”, zoals Erik Huizer het noemt. “Een goede IPv6-firewall in een thuisrouter is onontbeerlijk. Zonder dat heb je niets aan IPv6”, stelt de professor. Het is dan ook niet verwonderlijk dat de producenten van routers daar aan gedacht hebben. Zo vertelt Huijbregts dat het modem dat XS4ALL momenteel levert standaard is uitgerust met een IPv6-firewall. Die firewall “staat standaard zo ingesteld dat je je best moet doen om hem open te zetten. De firewall die erin zit is vele malen beter dan NAT-security”, zegt ook hij.

Bij modems voor zakelijke verbindingen is dat niet anders. “Op de routers van Cisco die wij leveren staat Advanced IP en daarin zit een stateful firewall. Die werkt voor de gebruiker net zo als NAT, want die laat ook alleen dingen van buiten door als daar om gevraagd is”, legt Alex Bik uit.

Dual-stack

De gebruikers die Bit overzet naar IPv6 gaan niet helemaal over op het nieuwe protocol. Een andere mythe over IPv6 is namelijk dat er echt moet worden gekozen: of IPv6, of IPv4. De tunnels voor IPv6 over IPv4 bevestigen al dat dit niet klopt. Bovendien krijgen mensen die nu overstappen naar het nieuwe protocol bij Bit of XS4ALL een native ‘IPv6’ verbinding een dual-stack verbinding. Dat betekent dat ze hun oude, vertrouwde IP-adres behouden, maar er een reeks IPv6-adressen bij krijgen. Op die manier is het mogelijk om IPv4 en IPv6 naast elkaar te gebruiken. Goed geconfigureerde werkstations missen zo, als er straks websites helemaal over zijn naar IPv6, in ieder geval geen delen van het internet. Volgens Bik is dat laatste nu al een risico als je als bedrijf niet overstapt naar IPv6.

De technisch directeur van Bit stelt dat IPv4 nog jaren meegaat maar dat de rest van de wereld langzaam overgaat naar het nieuwe protocol. Voor mensen die geen IPv6 hebben, betekent dit dat ze stukje bij beetje steeds minder websites kunnen bezoeken, of dat ze niet langer peer-to-peer kunnen verbinden met bedrijven die alleen IPv6 hebben. Hij hekelt daarom providers die stellen IPv6 niet zo belangrijk is omdat ze nog een IPv4-vooraad hebben die nog jaren mee kan.

'Veel providers zien het niet aankomen'

“Het gaat niet om jezelf”, zegt Bik. “Als je tot die tijd alleen nog maar IPv4 levert, dan is een deel van het internet niet meer beschikbaar voor je klanten. Er komen al snel websites die niet meer op IPv4 draaien, omdat in andere landen die adressen misschien wel al snel op zijn. Veel providers zien het gewoon niet aankomen en zijn straks te laat”, sluit hij af. Uit eerder onderzoek van Webwereld bleek dat de grote providers in Nederland wel bezig zijn met IPv6 maar de meeste providers kunnen nog niet aangeven wanneer zij dat ook echt uit gaan rollen.

Bedrijven die een contract hebben bij een provider die geen IPv6 levert of voorlopig geen geschikte apparatuur gaan aanschaffen kunnen overigens hun netwerk nog altijd geschikt maken voor IPv6 met een tunnel. Dat is geen volledig alternatief voor een native verbinding, maar heeft wel minder voeten in de aarde. Bij SixXS bieden onder andere de providers Bit, Concepts ICT en Leasweb tunnels aan. Het Amerikaanse bedrijf Hurricane Electric biedt tunnels vanuit Amsterdam aan op Tunnelbroker.net. Voor die laatste dienst is een vast IPv4-adres wel verplicht.