Forskningsnettet har 19 års erfaring med IPv6: Nu er det kun firewalls, der driller

Når studerende logger på universiteternes trådløse netværk, får de både en IPv4- og en IPv6-adresse. Under én procent af trafikken sker dog med IPv6.

Hos Forskningsnettet og Uni-C er IPv6 langt fra nogen ny teknologi. Mens der stadigvæk var IPv4-adresser nok til, at alle brugere kunne få en offentlig IP-adresse, så begyndte Uni-C de første forsøg med den nye version af internetprotokollen.

»Vi har kørt IPv6 siden 1993, og vi har haft det ude i institutionerne siden 1999. Men det er først nu, der reelt begynder at komme trafik. Vi roder dog stadig nede omkring den ene procent,« fortæller divisionsdirektør Martin Bech fra Uni-C til Version2.

Læs også: Her er danskeren, der indførte @ på mainframes

Uni-C administrerer Forskningsnettet, som er internetudbyderen for de danske universiteter, og de fleste servere og brugere på Forskningsnettet har i dag en IPv6-adresse, som kan bruges på hele internettet.

Når studerende kobler deres bærbare pc eller tavlecomputer på det trådløse netværk på universiteterne via det europæiske Eduroam, så får de også en IPv6-adresse.

Læs også: Danske virksomheder gider ikke teste IPv6

Det er ikke usædvanligt, at brugere får tildelt en IPv6-adresse på et lokalnetværk, da de fleste klienter i dag understøtter IPv6. Men bortset fra universiteternes netværk, så er det de færreste, hvor den videre forbindelse til resten af internettet kan foregå via IPv6.

På Forskningsnettet kører netværket som dual-stack. Det vil sige, at klienterne får både en IPv4 og en IPv6-adresse. Alle routerne understøtter IPv6, så hvis en bruger forsøger at forbinde til en server på internettet, som også understøtter IPv6, så foregår forbindelsen via IPv6.

»Trafikken vokser og vokser. Det er bare en del af den almindelige trafik,« siger Martin Bech.

På netværk, hvor man ikke har en IPv6-forbindelse til internettet, foregår IPv6-trafikken typisk via tunneling gennem en gateway, så IPv6-trafikken flyttes via IPv4. Eller omvendt en klient vil kommunikere via IPv4 over en IPv6-forbindelse.

Med dual stack kører Forskningsnettet uden tunneling, men der er dog forskel på, hvad man kan med de protokoller.

»En IPv4-adresse kan ikke ses udefra, fordi den er NAT'et. IPv6-adressen kan nås udefra, hvis der er andre, der tager initiativ til en forbindelse,« siger Martin Bech.

NAT er en teknologi, som de fleste routere, der fungerer som gateways, benytter i dag, hvor alle klienter på indersiden af routeren har den samme IPv4-adresse udadtil. Det betyder imidlertid, at en klient på ydersiden ikke kan etablere en direkte forbindelse til en klient på indersiden, men at klienten på indersiden skal tage initiativ, eller de skal forbindes via en server.

Derfor kan NAT begrænse internetapplikationer, hvor to klienter skal kommunikere direkte med hinanden, hvilket kan ses som en sikkerhedsmæssig fordel, hvis klienten ikke har en firewall.

Netop firewalls er faktisk den eneste del af netværket, hvor IPv6 kan give problemer i dag.

»Alle routerne kan håndtere IPv6, men ikke alle firewalls. Og så blokerer de IPv6,« forklarer Martin Bech.

For at få IPv6 til at fungere, kan det derfor være nødvendigt at opgradere firewallen eller lave sit setup om.

Når der åbnes for IPv6, så er det også nødvendigt at sørge for, at sikkerheden er på plads, når firewallen er klar til at understøtte trafikken. Eksempelvis skal man være opmærksom på, at firewallen ofte vil have et separat sæt regler for IPv6-trafik.

»Når vi laver penetrationstest, så laver vi dem både med IPv4 og IPv6 i de tilfælde, hvor firewallen tillader det. Der kan være en miskonfiguration, som vi ikke ser med IPv4. Men hackerne ser alt på et tidspunkt. Så det er ligesom at få et helt nyt net med helt nye ledninger,« siger Martin Bech.

På klientsiden understøtter det meste udstyr i dag IPv6 på lige fod med IPv4, men Uni-C har også set problemer med gammeldags videokonferenceudstyr, som er designet til at køre på IPv4.

»Kan vi undvære IPv4 i dag? Nej, der er rigtig meget udstyr, som er afhængigt af det, men det vil godt kunne køre via tunneling. Der vil nok gå en rum tid, før vi kun kører IPv6,« siger Martin Bech.

Derfor fortsætter Forskningsnettet også med at køre dual stack, selvom det i praksis betyder, at til trods for IPv6, så sparer Forskningsnettet ingen IPv4-adresser.

»Men vi har heller ikke indført IPv6 for at spare adresser,« siger Martin Bech.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Klaus Ellegaard

En af de mere underholdende detaljer er, at ikke alle personlige firewalls og antivirus-pakker overhovedet er klar over, at der er noget, der hedder IPv6.

Man skal altså lige tjekke, om man har et produkt, der ukritisk lader al IPv6-trafik komme igennem til ens pc.

Det seneste tilfælde, jeg konstaterede, er Avast! Antivirus. Den intercepter forbindelser til bl.a. web- og mail-servere, så den kan tjekke, om der er virus eller andet fnidder i, inden browseren og mailprogrammet overhovedet får data.

Men når ens forbindelse går via IPv6, opdager Avast! overhovedet ikke trafikken, og man er altså ikke "sikret" ad den vej. Der kommer ikke nogen advarsel, så reelt er det en form for falsk sikkerhed.

Den slags detaljer bliver jo ganske relevante på steder (som UNI-Cs eller hotspots), hvor man får en auto-konfigureret IPv6-adresse, og hvor web- og mail-servere også har IPv6-adresser. Det gælder bl.a. Googles tjenester på flere og flere netværk.

  • 6
  • 0
#7 Kenneth Østrup

Det er af min opfattelse, at der er flere producenter af switche og routere som stadigvæk ikke har IPv6 implementeringen på plads. Også nyt udstyr. Bevares, det virker da, til husbehov! Men det er bærer meget præg af, at være "lappeløsninger".

Jeg venter f.eks. stadigvæk på VRRPv3 i noget udstyr.

  • 1
  • 0
#8 Einar Petersen

Derfor kan NAT begrænse internetapplikationer, hvor to klienter skal kommunikere direkte med hinanden, hvilket kan ses som en sikkerhedsmæssig fordel, hvis klienten ikke har en firewall.

Aaaaaaargh - Somebody call Kramshøj....

Hvor svært er det at få folk til at forstå at NAT er et værktøj til udvidelse af adressespace og ikke til sikkerhed...

  • 1
  • 0
Log ind eller Opret konto for at kommentere