IPv6 – de vergeten stap

c't-partner
0

Er wordt al jarenlang gesproken over IPv6. Officieel verscheen het pas in 2012, maar in 2011 werd het door alle grote besturingssystemen al ondersteund en door bedrijven en gebruikers ingezet. Er moest haast mee worden gemaakt, want de IPv4 IP-adressen raakten immers op. En toch zijn nu, tien jaar later, talloze organisaties nog steeds niet overgestapt.

De problemen bij het invoeren van IPv6 verschillen van bedrijf tot bedrijf en van land tot land. Waar sommige bedrijven IPv6 officieel nog niet geïmplementeerd hebben, wordt het in de praktijk wel al (ten dele) gebruikt binnen hun netwerkstructuur. Dat brengt echter wel de veiligheid van die infrastructuur in gevaar doordat regels van de firewall niet meer werken of omdat antivirus- of andere veiligheidsproducten niet voor IPv6-verkeer geoptimaliseerd zijn.

Dat probleem wordt veroorzaakt door het feit dat er in Europa geen organisatie is die de migratie overziet of handhaaft. In de VS heeft het overheidsbeleid de invoering van het protocol enigszins gestimuleerd. In Azië is het proces versneld ingevoerd vanwege de extreme groei, de behoefte aan adressen en de beperkte beschikbaarheid van IPv4-adressen.

Weerstand

In een perfecte wereld zouden organisaties een nieuwe vooor IPv6 geschikte IT-archi­tectuur van de grond af aan opbouwen. Uiteraard hebben maar weinig organisaties de luxe om dat te doen. Het ombouwen van bestaande systemen zodat ze IPv6 ondersteunen, brengt echter vaak een reeks complexe uitdagingen met zich mee.

Productiebedrijven gebruiken bij de fabricage van hun goederen bijvoorbeeld robots en machines die soms nog het Windows 95-besturingssysteem gebruiken en al jarenlang niet meer geüpdatet zijn. In sommige gevallen zou de implementatie van IPv6 betekenen dat een hele fabriek moet worden stilgelegd om over te stappen, wat een dure grap is.

Telecombedrijven werken al jaren aan de overstap en IPv6 zal langzaam maar zeker worden uitgerold naar consumenten en bedrijven. Het is van belang om ervoor te zorgen dat IT- en beveiligingsteams daarop voorbereid zijn. Als de systemen niet op de wijzigingen zijn voorbereid, bestaat de kans dat kritieke events niet worden opgemerkt door een bewakingssysteem dat IPv6 niet ondersteunt.

IPv6 is meer dan ‘alleen maar een langer IP-adres’. Het protocol zit significant anders in elkaar dan IPv4 en netwerken moeten ten dele opnieuw worden ontworpen om goed en veilig te kunnen presteren. Dat brengt risico’s met zich mee zoals veiligheidsfouten, het onbedoeld toegankelijk maken van bronnen of vertrouwen op een eerdere beveiliging, die echter niet meer of anders functio­neert.

Bereidheid

In veel gevallen zijn zelfs softwarebedrijven nog niet klaar voor IPv6 en soms hebben technologie- en beveiligingsproducten ook nog steeds niet volledig geïnvesteerd in IPv6. Naast de risico’s dat er technologie zoals een webfilter of firewall nog niet klaar is, is het ook belangrijk om ervoor te zorgen dat er voldoende kennis in huis is omtrent het nieuwe protocol. IPv6 omvat nieuwe concepten die je goed moet begrijpen en het is niet ongebruikelijk dat het ondoordacht wordt toegepast in een netwerk. Het komt vaak genoeg voor dat IPv6 zichzelf op een netwerk configureert of wordt gebruikt in combinatie met Microsoft-toepassingen of OS-services, en dat het beveiligings- en incidentteam er zich niet bewust van is dat het wordt gebruikt.

Een ander aspect waarmee rekening moet worden gehouden is het groei­ende tekort aan gekwalificeerde beveiligings­professionals in het algemeen, laat staan aan mensen met ervaring op dit specifieke gebied. Grote organisaties hebben meer moge­lijk­heden om te investeren in IT-projecten zoals overstappen naar IPv6, maar het MKB beschikt niet over dezelfde middelen. Aan­gezien ook veel grote bedrijven nog niet klaar zijn, mag de omvang van het probleem duide­lijk zijn. De hele aanvoerketen van grotere bedrijven bevat bovendien allerlei middelgrote bedrijven die kritieke onderdelen aan die bedrijven leveren.

Wat nu?

De overstap naar IPv6 is voor veel orga­nisaties een lastige stap, maar een die iedereen uiteindelijk zal moeten maken. Het is belangrijk dat bedrijven stappen maken in de implementatie van IPv6, aangezien er al een verrassende hoeveelheid IPv6-verkeer op netwerken en internet plaatsvindt. Organisaties moeten er ook voor zorgen daar vaart mee maken, omdat IPv6 ten onrechte weinig prioriteit wordt gegeven.

De cursus SANS SEC546: IPv6 Essentials is ideaal voor zelfstudie en vereist geen fysieke aanwezigheid. Deze cursus is niet alleen bedoeld voor uitvoerders van IPv6, maar ook voor degenen die IPv6 moeten leren herkennen en in staat moeten zijn stappen te nemen tegen problemen die kunnen optreden door onbedoeld gebruik van IPv6.

Voor meer informatie over deze cursus en SANS-trainingen, ga naar de website:  sans.org/course/IPV6-essentials.

James Lyne, CTO SANS

Voor meer informatie zie de SANS-website (sans.org/train-with-SANS-NL).

Sans logoSANS James Lyne

Meer over

Netwerken

Deel dit artikel

Lees ook

Nieuwe ASUS ZenBook Duo: laptop met maar liefst twee schermen

De vorige Asus ZenBook Duo was al een opvallende verschijning, maar met de 2024-versie doet ASUS daar nog een schepje bovenop als het gaat om de hoeve...

Innovatie in vele vormen: ASUS, ‘In search of Incredible’

ASUS is een fabrikant die vaak nieuwe dingen probeert, geheel volgens de slogan 'In search of Incredible'. Bekijk dit overzicht maar eens.

0 Praat mee