Dagbog-bloggen

IPv6 Day Denmark

Mandag den 6. november 2017 afholdt RIPE IPv6 Day Denmark på Tivoli Hotel & Congress Center i København.

Ud over en god frokostbuffet og kage i pauserne indeholdt arrangementet en række oplæg fra forskellige aktører i Europa, som fortalte om deres erfaringer med IPv6.

Den første taler var Chris Buckridge fra RIPE, som fortalte om baggrunden for at afholde IPv6 Day i København. Årsagen er simpel: Danmark er langt bagud på IPv6-fronten, og RIPE håber, at man kan øge operatørernes interesse for IPv6 ved at dele erfaringer på tværs af branchen.

RIPE-690 - IPv6 best practices

Næste oplæg kom fra slovenske Jan Žorž fra Internet Society, som fortalte om sit arbejde med RIPE-690, der bærer titlen Best Current Operational Practice for Operators: IPv6 prefix assignment for end-users - persistent vs non-persistent, and what size to choose.

Som dokumentets titel antyder, indeholder det en diskussion af hvilke prefix sizes en operatør skal vælge at give sine kunder, og anbefalingen fra Jan Žorž er, at man udelukkende uddeler statiske prefixes - dvs. i praksis indfører faste IPv6-adresser for alle IPv6-brugere.

Herefter var det tid til et indlæg fra Netflix, hvor Nina Bargisen fortalte om, hvordan Netflix har separeret deres control plane fra data plane.

Kort fortalt betyder det, at en Netflix-bruger henter playlister, favoritlister m.v. fra en webservice baseret på Amazons EC2, mens al videodata kommer fra Netflix' eget CDN, der er baseret på en lang række Open Connect Appliances, som står hos internetudbydere verden over.

En Netflix Open Connect Appliance er i bund og grund blot en rack-server med mange harddiske og et 10 Gbit/s netkort. Den henter opdateringer til videokataloget hver nat, og internetudbydere, som hoster serveren, fortæller den hvilke IP-adresser, der må hente videodata fra serveren.

Netflix' tilgang til IPv6 er, at klienterne laver parallelle DNS-opslag til hhv. IPv4 og IPv6 for den nærmeste Open Connect Appliance, som klienterne må hente videodata fra. Så forsøger klienten at hente data via IPv6, og hvis det fejler, forsøger klienten i stedet på IPv4.

I praksis betyder det, at Netflix-kunder med fungerende IPv6 henter deres videodata via IPv6, mens Netflix-kunder uden IPv6 henter videodata via IPv4.

Ud af Netflix' danske kunder er det kun ca. 3 %, der på nuværende tidspunkt henter videodata via IPv6.

IPv6-only hos Orange i Polen

Efter en kort pause kom næste taler på podiet. Tomasz Kossut fra Orange Poland fortalte, hvordan Orange i Polen har bygget et IPv6-only mobilnetværk til deres mere end 2 millioner brugere.

På nuværende tidspunkt kan den slags kun lade sig gøre, hvis man kan konvertere IPv4-trafik til IPv6 på den sidste strækning ud til kunden, og Orange gør dette ved at anvende NAT64.

NAT64 er på mange måder et hack, idet man lader en DNS-server hos internetudbyderen udføre et man-in-the-middle-attack på den enkelte brugers DNS-forespørgsler.

En forespørgsel, der normalt ville returnere en gyldig IPv4-adresse, returnerer i stedet en IPv6-adresse, der i udbyderens netværk routes til en NAT64-gateway. Gateway'en oversætter så IPv6-adressen til en tilsvarende IPv4-adresse på internettet og videresender klientens forespørgsel til denne.

Fordi IPv6 har et enormt adresserum, kan hele IPv4-internettet mappes til blot et enkelt /96-net i IPv6. Til sammenligning får hver eneste Kviknet-kunde tildelt et /48 IPv6-scope, hvilket svarer til 2^48 /96-scopes.

Ved at have et IPv6-only netværk slipper Orange Poland for at skulle vedligeholde et parallelt IPv4-net, men det kræver, at samtlige apps hos brugerne understøtter IPv6, og det er udelukket at anvende IPv4 literals, da man derved bypasser DNS-opslaget, der mapper IPv4-adresser til IPv6.

Derudover kræver NAT64 heftig brug af application layer gateways (ALG), som fortolker trafikken og hjælper med at få fx SIP og P2P-protokoller til at virke.

Af samme årsag har vi hos Kviknet valgt at køre dual stack, hvor det kan lade sig gøre, dvs. både IPv4 og IPv6 hos den enkelte kunde - det letter vores kundesupport, og på grund af TDC's manglende IPv6-support på coax-nettet er vi under alle omstændigheder nødt til at vedligeholde et IPv4-netværk.

Alle har IPv6 - men ikke alle ved det

Senere på dagen var der et indlæg fra Telia, hvor Kristoffer Larsen fortalte om Telias indførsel af IPv6 tilbage i 2011. Telia er i dag den eneste af de store gamle internetudbydere i Danmark, som tilbyder IPv6 til DSL-brugere.

Henrik Kramshøj gav en præsentation om sikkerhed på IPv6, hvor han gennemgik en lang række angrebsvektorer på internettet, hvoraf mange er fælles for både IPv4 og IPv6.

En ikke uvæsentlig pointe er, at alle brugere i dag har IPv6, idet samtlige styresystemer til computere, tablets og telefoner i dag har IPv6-support. I mange tilfælde er der ikke IPv6-support på internetforbindelsen, medmindre man anvender en internetudbyder, som tilbyder dette, men der vil under alle omstændigheder være en IPv6 link-local-adresse på maskinen, og derved kan den nås via IPv6 fra andre maskiner på samme netværk.

IPv6 er derfor noget, alle IT-administratorer og superbrugere skal forholde sig til.

Henrik Kramshøj kom også med en anbefaling af en række pentest-værktøjer, man kan bruge til test af sit netværk, hvoraf størstedelen nok er en fordel at have liggende på en krypteret harddisk, man ikke kan huske kodeordet til.

Sidste indlæg på IPv6 Day Denmark kom fra RIPE's Nathalie Trenaman, der fortalte om sit arbejde med at udbrede interessen for IPv6 blandt de europæiske internetudbydere.

Ikke overraskende er konklusionen, at den store driver for IPv6-udrulning på nuværende tidspunkt er mangel på IPv4-adresser, og heri findes også forklaringen på de danske udbyderes fodslæben - flere af de store udbydere har raget til sig af IPv4-adresser, mens tid var, og derfor føler de ikke, at de behøver at bidrage til udrulningen af fremtidens internet. Hat tip til Telia for at være undtagelsen, der bekræfter reglen.

Nathalies sidste slide indeholdt følgende appel, som vi hos Kviknet bakker fuldt op om:

Lad os få Danmark tilbage på kortet.

Kommentarer (42)
Dan Villiom Podlaski Christiansen

I min boligforening har vi fået fibernet gennem Fibia/Waoo. Sammenlignet med andre udbydere har de valgt en interessant tilgang: Eftersom de ikke har IPv4 adresser nok, kører de carrier-grade NAT, og eftersom de generelt er uduelige har de heller ikke IPv6. (Vi taler om et firma som ikke har online selvbetjening, ikke oplyser kunderne om priser på hjemmesiden, og som blev overraskede over at trådløst internet i etageejendomme er ikketrivielt.) Som de fleste andre beboere her ser jeg frem til at kunne skifte til en udbyder der rent faktisk træffer valg…

Jeg tror det er ganske sigende om de fleste udbydere i Danmark at selv dem der rent faktisk mangler adresser tror de har nok, og ikke overvejer alternativet.

Jesper Lund

Som dokumentets titel antyder, indeholder det en diskussion af hvilke prefix sizes en operatør skal vælge at give sine kunder, og anbefalingen fra Jan Žorž er, at man udelukkende uddeler statiske prefixes - dvs. i praksis indfører faste IPv6-adresser for alle IPv6-brugere.

Argumenterne for dette i rapporten er

1) Undgå lokale problemer med forkerte IPv6-adresser på tilsluttede enheder ved strømafbrydelser og reboot af CPE. Det er næppe det store issue i et land som Danmark.

2) Mindsker behovet for logning for at overholde lovgivningsmæssige forpligtelser. I EU er logning blevet erklæret ulovligt med Tele2-dommen, så eventuelle love om dette må forventes at blive ophævet snarest. Tildeling af statistiske IP-adresser vil derimod efter gældende lovgivning give politiet endnu lettere adgang til abonnentoplysninger, fordi det ikke kræver dommerkendelse (telelovens § 13, og tilsvarende i andre EU-lande pga. direktivet om den europæiske efterforskningskendelse).

3) Mulighed for salg af value-added DNS-tjenester, så enheder hos abonnenten kan få et domænenavn (camera.username.ispname.com). Det kan også gøres uden statistiske adresser, jf. det utal af dyndns-tjenester som der findes. Og langt fra alle kunder ønsker at gøre dette.

Jeg er med på at IPv6 giver en række tekniske fordele for den (lille) delmængde af trafikken, hvor NAT skaber end-to-end problemer, og at ISP'er med IPv6 kan spare penge på enten IPv4-adresser eller CG-NAT servere, men hvis ovenstående anbefalinger følges, vil det være på bekostning af borgernes privatliv. Staten vil elske at presse statiske IPv6-adresser ned over alle borgere for at øge overvågningen. Kommercielle aktører vil tilsvarende elske at kunne lave device-fingerprinting ud fra IP-adressen.

Det eneste modtræk vil være at sende trafikken gennem VPN-tjenester, så den direkte forbindelse mellem IP-adresse og en person brydes.

GC-NAT med IPv4 giver i praksis en ret god privacy-beskyttelse, selvom det ikke er formålet. Den bedste dokumentation for dette må være den evindelige strøm af klager fra Europol m.fl. over CG-NAT. Se fx dette hemmelige rådsdokument, hvor man lige efter Tele2-dommen foreslår nye ulovlige logningskrav til CG-NAT for at kunne overvåge flere borgere..

Lasse Mølgaard

Helt enig.

Har selv Fibia og alene det faktum at de ikke engang har en selvbetjening på deres hjemmeside, men helt bogstaveligt ALT skal død-og-pine gå igennem en kundeservicemedarbejder, gør at der mange oplagte quick wins, som gør at man næsten i ren protest får lyst at søge uopfordret en stilling som IPv6 integrator hos dem.

Nok har jeg kun begrænset erfaring, men det slår stadigvæk hvis udgangspunktet er ingen erfaring.

Lige omkring Netflix/HBO kan det faktisk være en ulempe at have ipv6 igennem en tunnel, som f.eks. Hurricane Electrics tunnelbroker, fordi når man vil streame film via IPv6, så tror den at man befinder sig i USA, hvilket betyder, at man får ikke lov til at se filmen på grund af forkerte rettigheder.

... og det til trods for at jeg er koblet på et europæisk knudepunkt.

Så derfor skal man lave nogle grimme DNS hacks, hvor man basalt set laver man-in-the-middle angreb på Netflix, hvor man sletter AAAA records på Netflix og lignende sites, før man kan tilgå disse sites.

Jesper Lund

Europol leverer med denne pressemeddelelse en total komisk reklame for IPv6.

Det kan godt være at internetudbyderne har være fodslæbende med IPv6 i mange år (af forskellige årsager), men de oplever formentlig et pres fra staten for at øge brugen af IPv6 i disse tider, hvor alt hvad borgerne laver helst skal overvåges af staten.

I den forbindelse kan man frygte, at IPv6 vil blive udrullet på en måde, som udsætter borgerne for mere overvågning og giver dem mindre privatliv. Aftaler om statiske prefixes, hvad enten kunderne ønsker dette eller ej, vil være et eksempel på dette.

Yoel Caspersen Blogger

Staten vil elske at presse statiske IPv6-adresser ned over alle borgere for at øge overvågningen. Kommercielle aktører vil tilsvarende elske at kunne lave device-fingerprinting ud fra IP-adressen.

Husk på, at det kun er de første 64 bits af en IPv6-adresse, der er statiske. De sidste 64 bits skifter med jævne mellemrum pga. EUI-64 med privacy extensions. Derved vil man kunne identificere den enkelte husstand, men ikke den specifikke bruger.

Det er 100 % analogt til ikke-delte IPv4-adresser i dag.

Man kan sige, at CGN fra visse udbydere giver dig et midlertidigt pusterum fra logningen - men jeg gætter på, at et lovmæssigt krav om sessionslogning vil blive resultatet. Fordi børnepillere og jihadier.

Se fx situationen i Danmark, hvor de store teleselskaber med myndighedernes vidende og velsignelse anvender sessionslogning på deres CGN, som anvendes i mobilnettene, selv om det givetvis er ulovligt jf. EU-dommen i den svenske Tele2-sag.

Se også det faktum, at justitsministeren har afvist at følge EU-dommen herhjemme og beordrede mobilselskaberne til at fortsætte den uhæmmede logning af lokationsdata på ubestemt tid.

Koranklodserne vælter frem overalt i de større byer, og justitsministeren tilsidesætter de ellers hellige afgørelser fra EU-domstolen. Enten er terrortruslen vild og voldsomt overhængende, eller også findes der stærke, totalitære kræfter hos myndighederne, som ønsker die totale Ûberwachung. Måske begge dele.

Det er en grim udvikling uanset hvad, og det ville klæde myndighederne at spille med åbne kort, men jeg har svært ved at se, at IPv6 er værre end en ikke-delt IPv4-adresse, set i forhold til privacy. Tværtimod kan man med IPv6 undgå den sessionslogning, der før eller siden vil blive indført på alle CGN-routere.

Yoel Caspersen Blogger
Lasse Mølgaard

Jeg har tidligere truet med at lave en IPv6 tunnel server, så danskere uden adgang til IPv6 kan få en dansk IPv6-adresse. Måske skulle jeg få gjort noget ved det...

Den er en lille smule mere spidsfindig end det hos Netflix.

Hvis de kan se både din ipv4 og din ipv6 adresse, så tjekker de også at begge adresser tilhører samme AS-nummer. Hvis de ikke er ens, antager de at du besøger deres site fra en VPN server - og det vil de ikke have!

En anden ting er at det vil give dig et voldsom mængde transit trafik, såeh...

Hoster du samtidig en kopi af Netflix filmkatalog via deres Openconnect løsning?

Jesper Lund

Det er en grim udvikling uanset hvad, og det ville klæde myndighederne at spille med åbne kort, men jeg har svært ved at se, at IPv6 er værre end en ikke-delt IPv4-adresse, set i forhold til privacy.

Mine kommentarer går primært på statistiske IPv6 prefix, ikke på IPv6 vs IPv4 som sådan.

Og på mobiltelefoner, der kun skal bruge en enkelt IP-adresse på det mobile netværk (3G/4G), kan statiske prefix være statistiske adresser. Så vil både staten og et antal kommercielle overvågningsaktører klappe i hænderne..

Yoel Caspersen Blogger

En anden ting er at det vil give dig et voldsom mængde transit trafik, såeh...

Hoster du samtidig en kopi af Netflix filmkatalog via deres Openconnect løsning?

Lige nu og her gør vi ikke. Men en kombination af en Open Connect Appliance og en tunnel-server vil øge vores transit-trafik - men primært i udgående retning, hvor vi i forvejen har masser af kapacitet.

Man kan evt. null-route Netflix' IPv4-space som en del af opsætningen på klientens tunnel-interface, men alternativt skal man lave en decideret VPN-server med både IPv4 og IPv6. Det er dog noget, der lige skal testes lidt på, før man kan sige, hvor meget ekstra transit, det vil give.

Christian Halgreen

Lige omkring Netflix/HBO kan det faktisk være en ulempe at have ipv6 igennem en tunnel, som f.eks. Hurricane Electrics tunnelbroker, fordi når man vil streame film via IPv6, så tror den at man befinder sig i USA, hvilket betyder, at man får ikke lov til at se filmen på grund af forkerte rettigheder.


Kan man ikke opsætte tunnel, således at man kun anveder tunnellen til servere, der er rene IPv6,men anvender sin native IPv4 overfor servere, der som Netflix, YouTube - og en gang ad åre også Version2.dk/ing.dk - tilbyder både IPv6 og IPv4?
Det virker som en omvej hvis den trafik skal om ad en tunnel.

Yoel Caspersen Blogger

Kan man ikke opsætte tunnel, således at man kun anveder tunnellen til servere, der er rene IPv6,men anvender sin native IPv4 overfor servere, der som Netflix, YouTube - og en gang ad åre også Version2.dk/ing.dk - tilbyder både IPv6 og IPv4?

Teknisk vil det nok være svært, hvis vi taler en tunnel i almindelig netværks-forstand. En router (eller PC) vil skulle vælge mellem at sende trafikken ud gennem tunnelen eller ej, og på det tidspunkt, hvor netværkslaget modtager pakken er beslutningen allerede truffet - pakken kommer med en IPv6 destinations-adresse og vil ikke kunne routes via IPv4.

Hvis man vil have den efterspurgte adfærd, skal beslutningen foretages i klient-applikationen på computeren, som starter med at foretage et DNS-opslag og herefter skal vælge mellem IPv6 og IPv4.

På Linux kan man sætte en preference for IPv4 ved at rette i /etc/gai.conf og tilføje følgende linie:

precedence ::ffff:0:0/96  100

Det vil virke for applikationer, som anvender API-kaldet getaddrinfo(3). Det er ikke givet, at alle applikationer anvender dette - fx har Google Chrome historisk valgt IPv6, hvis det var muligt, uagtet den satte preference.

Om man kan gøre noget lignende på Windows ved jeg ikke, men det skulle ikke undre mig.

Det går dog imod filosofien bag IPv6 at man aktivt fravælger dette, når det er muligt, og de fleste klienter understøtter da også Happy Eyeballs, som er en standard, der går ud på, at man relativt hurtigt laver fallback til IPv4, hvis en forbindelse på IPv6 timer ud.

Kim Henriksen
Baldur Norddahl

Mine kommentarer går primært på statistiske IPv6 prefix, ikke på IPv6 vs IPv4 som sådan.

Nej din kommentar går på statiske IP adresser uanset om der er tale om IPv4 eller IPv6. Langt de fleste danske brugere har statiske IPv4 adresser på deres fastnet internet. Der er ingen forskel i forhold til privacy hvis de får statisk IPv6 prefixes i tilkøb eller i stedet for en statisk IPv4 adresse.

Der er en del brugere der ikke officielt har statiske IPv4 adresser men som har det i praksis. De fleste TDC kunder eksempelvis.

Kun på mobiltelefon er CGN normen. Vi har ikke lyst til at det også skal være normen på faste installationer. Den teoretiske privacy fordel kan ikke gøre op for ulemperne, specielt ikke i betragtning af at myndighederne forventes at forlange CGN logning som modtræk.

En begrænset CGN logning der kun går på at logge identitet vil formodentlig blive godkendt af EU domstolen.

Jesper Lund

En begrænset CGN logning der kun går på at logge identitet vil formodentlig blive godkendt af EU domstolen.

Hvad baserer du det på? Det er stadig en udifferentieret datalagringspligt for alle abonnenter, som ikke er baseret på objektive kriterier for om disse personer vil blive involveret i alvorlig kriminalitet.

Kun på mobiltelefon er CGN normen. Vi har ikke lyst til at det også skal være normen på faste installationer. Den teoretiske privacy fordel kan ikke gøre op for ulemperne, specielt ikke i betragtning af at myndighederne forventes at forlange CGN logning som modtræk.

Privacy-fordelen ved at have skiftende IP-adresser er ikke teoretisk (tænk Tor), og det handler om mere end statens overvågning. En statisk IP-adresse på en mobiltelefon vil være en katastrofe, fordi det vil være fuldstændigt umuligt at beskytte sig mod kommerciel profilering via device fingerprinting ud fra IP-adressen.

Jeg bliver i øvrigt virkelig bekymret, når ISPer laver frivillig registrering og datalagring om abonnenterne ud fra argumenter om, at hvis de ikke gør det, kommer der et (formentlig ulovligt) modtræk fra staten. Just saying..

Yoel Caspersen Blogger

Kun på mobiltelefon er CGN normen. Vi har ikke lyst til at det også skal være normen på faste installationer.

Ikke desto mindre bliver CGN normen, også på faste installationer - det bruges allerede i dag til dette formål af adskillige udbydere på det danske marked.

Og ja, flere af de store gamle udbydere har masser af IPv4-adresser, men markedskræfterne dikterer, at de vil blive skudt af, når salgsprisen for en IPv4-adresse krydser den kritiske masse for IPv6-udrulning. RIPE dokumenterede på IPv6 Day Denmark, at det danske overskud af IPv4-adresser mindskes, idet der sendes flere IPv4-adresser ud af landet end den modsatte vej.

Og selv hvis udbyderne beholder deres IPv4-adresser, vil de blive udlejet til høj pris, og dem der ikke vil betale pga. manglende behov, kommer bag et CGN.

CGN skal selvfølgelig kombineres med IPv6 i en overgangsfase - og der er endda en RFC for dette. Men med stadigt flere mennesker på internettet for hver dag er der ikke nok IPv4-adresser til alle, og markedskræfterne vil sørge for, at de gamle danske udbyderes overskud af IPv4-adresser stille og roligt forsvinder gennem frasalg og udlejning.

Der er kun en løsning, og det er IPv6 overalt.

Yoel Caspersen Blogger

Vi har ikke en dom på at den generelle logning af abonnementsoplysninger er ulovlig. Hvis de kan kræve at vi logger hvem der har en given statisk IP adresse, så kan de også kræve at vi logger hvem der har en IP+port kombination.

Spørgsmålet er, om det egentlig er så vigtigt, hvad EU-domstolen synes i dette spørgsmål. Vi kan jo se, at Justitsministeriet indtil videre har ignoreret EU-domstolens afgørelse i Tele2-sagen den 21. december 2016, og i sidste ende er det danske myndigheder, der regulerer danske internetudbydere.

Jesper Lund

Vi har ikke en dom på at den generelle logning af abonnementsoplysninger er ulovlig. Hvis de kan kræve at vi logger hvem der har en given statisk IP adresse, så kan de også kræve at vi logger hvem der har en IP+port kombination.

Vi har en dom (flere domme) om generelle datalagringsforpligtelser, som staten ønsker at pålægge private virksomheder.

I forhold til Tele2-dommen er forskellen konkret mellem trafikdata (herunder dynamisk tildelte IP-adresser), som er omfattet af e-databeskyttelsesdirektivet 2002/58, og abonnementsoplysninger som ikke er trafikdata i forhold til 2002/58.

Tele2-dommen handler om datalagringsforpligtelse via undtagelsen i artikel 15, stk. 1 i e-databeskyttelsesdirektivet (TL;DR af Tele2: en undtagelse ikke må blive hovedreglen), ikke om oplysninger som er registreret i forbindelse med den kommercielle aftale mellem kunden og dennes ISP. Denne aftale kan for nogle kunder omfatte tildeling af en bestemt (statisk) IP-adresse, som derved bliver en abonnementsoplysning.

En aftale om at abonnenten på en eller anden "best effort" basis tildeles den samme "faste" IP-adresse fra en DHCP-pool hele tiden vil næppe gøre det til en statisk IP-adresse i den forstand, at det er en del af kundens abonnementsoplysningerne (modsat trafikdata). Men der er givetvis en gråzone her (som bliver af meget større betydning, når adgang til lagrede trafikdata herunder dynamisk tildelt IP-adresse kun kan ske i sager om alvorlig kriminalitet, og at kravet ikke blot som i dag er en editionskendelse, som politiet kan trække i en automat).

Et antal stater i Europa arbejder for tiden ihærdigt på at udvide omfanget af hvad der er abonnementsoplysninger, samt på at lette myndighedernes adgang til disse oplysninger. Dette arbejde sker på flere niveauer: nationalt (fx den svenske betænkning om logning fra oktober 2017, som er helt ekstrem på dette punkt), EU-Kommissionen (e-evidence), og Europarådet (i regi af Cybercrimekonventionen).

Yoel Caspersen Blogger

CG-NAT logning med efterfølgende 12 måneders datalagring er det oplagte eksempel her. Der er ikke noget lovkrav om dette.

Præcis, og derfor logger vi heller ikke sessioner i dag. Men jeg ser skriften på væggen og forventer, at det vil blive et lovkrav en dag - idet det ikke er realistisk at forbyde CGN. Er der nogen anden måde at tolke udmeldingerne fra Europol og de nationale justitsministerier på?

Er der efter din mening en realistisk chance for, at CGN i EU får lov at bestå som et helle for folk, der ønsker anonymitet på nettet?

... og forstå mig ret: Jeg tror vi er fuldstændig enige, når det kommer til hvad vi gerne vil opnå, men jeg tillader mig at være lidt kynisk omkring min forventning til hvad der i praksis vil ske.

Jesper Lund

Præcis, og derfor logger vi heller ikke sessioner i dag. Men jeg ser skriften på væggen og forventer, at det vil blive et lovkrav en dag - idet det ikke er realistisk at forbyde CGN. Er der nogen anden måde at tolke udmeldingerne fra Europol og de nationale justitsministerier på?

Europol vil gerne pushe IPv6 for at øge sporbarheden (overvågningen) på internettet, ingen tvivl om det. Belgien fremhæves ofte af Europol på grund af den høje andel af abonnenter med IPv6 og en aftale/konsensus blandt belgiske ISP'er om at der max må være 16 abonnenter per IPv4-adresse med CG-NAT.

Selv med IPv6-udrulning er det, som du skriver, nødvendigt med enten dual-stack og CG-NAT eller konvertering fra IPv4 til IPv6 med NAT64. Der er visse websites, fx Justitsministeriet og Rigspolitiet, som ikke har en AAAA record.

Spørgsmålet er så om man kan tvinge et logningskrav ned over den del af trafikken, som ikke er fuldt sporbar fordi der benyttes IPv6 med statiske prefix? (logning af dynamisk tildelte IPv6 adresser og CG-NAT logning for IPv4 eller NAT64).

I forhold til Tele2-dommens præmisser burde det falde på, at der er tale om en generel (udifferentieret) datalagringspligt uden nogen objektiv sammenhæng mellem de lagrede data og om personerne kan være involveret i alvorlig kriminalitet. Tele2-dommens præmis 110 kræver specifikt, at personkredsen skal være afgrænset. Jeg vil på den baggrund mene, at kravet om målrettet logning også gælder isoleret set for IP-adresser (hvis de er trafikdata) og CG-NAT information.

Jeg vil nødigt (offentligt) spekulere over hvad Justitsministeriet i Danmark har tænkt sig at gøre, men Justitsministeren har på samrådet i marts udtalt, at de danske logningsregler skal ændres (målrettes). Samtidig gav han sig selv en frist på et år (som er til ikrafttræden, hvis man nærlæser den højesteretsdom han henviste til), og det er jo snart..

Baldur Norddahl

En aftale om at abonnenten på en eller anden "best effort" basis tildeles den samme "faste" IP-adresse fra en DHCP-pool hele tiden vil næppe gøre det til en statisk IP-adresse i den forstand, at det er en del af kundens abonnementsoplysningerne

Mig bekendt står der intet om "statisk IP-adresse" i loven. Der står bare at man skal gemme hvilken abonnement der har en given IP adresse uanset hvordan den er tildelt. Tilsvarende så tildeler CGN serveren en IP+port til en bruger. Brugeren beholder denne tildeling i et tidsrum (på Linux så vidt jeg husker minimum 5 minutter).

Jesper Lund

Mig bekendt står der intet om "statisk IP-adresse" i loven.

Ikke logningsbekendtgørelsen, men teleloven (lov om elektroniske kommunikationsnet og -tjenester).

Fra forarbejderne til telelovens § 13 (uddrag). Needless to say, indsat i forbindelse med terrorpakke II..

Til § 13
Bestemmelsen er en uændret videreførelse af den gældende lovs § 15 c.
Bestemmelsen giver politiet adgang uden retskendelse til oplysninger om en slutbrugers adgang til kommunikationsnet og -tjenester, der ikke er indeholdt i 118-databasen, jf. den foreslåede § 31, stk. 2, og som udbyderen er i besiddelse af. Den udbyder, der har slutbrugerforholdet, vil således være forpligtet til at udlevere oplysninger om en slutbrugers adgang til kommunikationsnet og -tjenester til politiet, herunder oplysninger om slutbrugerens adgang til internettet (IP-adresser og e-mail-adresser), uden at betingelserne for edition skal være opfyldt.

Der er således alene tale om oplysninger om adresser eller numre, som udbyderen af elektroniske kommunikationsnet eller -tjenester har tildelt slutbrugeren som led i en konkret tjeneste, og som således kan benyttes til at identificere den pågældende slutbruger.

Heraf følger, at der ikke er tale om oplysninger om betalingsmidler el. lign. Det skal bemærkes, at der både er tale om, at navn til et bestemt nummer oplyses, og omvendt at nummer til et bestemt navn oplyses. Det skal endvidere bemærkes, at bestemmelsen alene omfatter statiske oplysninger, idet registrering af dynamiske IP-adresser med videre vil ske i medfør af logningsforpligtelsen i retsplejeloven. Udlevering af dynamiske IP-adresser med videre skal ske i medfør af retsplejeloven.

Christian Schmidt

Privacy-fordelen ved at have skiftende IP-adresser er ikke teoretisk (tænk Tor), og det handler om mere end statens overvågning. En statisk IP-adresse på en mobiltelefon vil være en katastrofe, fordi det vil være fuldstændigt umuligt at beskytte sig mod kommerciel profilering via device fingerprinting ud fra IP-adressen.


Enig.

Med dynamiske IP-adresser kombineret med passende logning kan man sikre myndighederne samme muligheder for at identificere borgeren bag et givet IP-nummer på et givet tidspunkt som ved en statisk IP-adresse. Men en statisk IP-adresse gør det svært at bevare anonymiteten over for alle andre.

Det er heller ikke så meget de kommercielle interesser, der bekymrer mig. Det er de andre med endnu mindre legitime interesser i at spore dig.

På det sorte web er der sikkert nogen, der har udarbejdet reverse-lookup-lister over IP-numre, så man kan se navn og adresse på personen bag et givet IP-nummer. Med adgang til en sådan liste, kan du som ejer af et pornosite eller et informationssite for alkoholikere let finde identiteten på en stor del af dine besøgende, også dem der bare kom tilfældigt forbi uden at afgive personlige oplysninger. Det samme gælder efterretningstjenester i fremmede lande, også dem vi ikke bryder os om.

Derfor vil jeg klart foretrække at have en dynamisk IP-adresse derhjemme.

Yoel Caspersen Blogger

Tja, fx en gang om dagen vil være fint. En gang om måneden er for sjældent, men det er da bedre end ingenting.

Det er da i hvert fald en ide til en ny produktvariant. Jeg har aldrig hørt nogen specifikt efterspørge dynamiske IP-adresser før, netop fordi man stadig bliver registreret i forhold til myndighederne - og i praksis er dynamiske IP-adresser hos de fleste udbydere statiske, medmindre man slukker sit udstyr i længere perioder.

Men ideen er sat på listen, og det kunne egentlig være interessant at høre, hvad andre version2-læsere synes om den. Er der behov for, at man kan bede sin internetudbyder skifte IP-adressen dagligt?

Baldur Norddahl

Det skal endvidere bemærkes, at bestemmelsen alene omfatter statiske oplysninger, idet registrering af dynamiske IP-adresser med videre vil ske i medfør af logningsforpligtelsen i retsplejeloven. Udlevering af dynamiske IP-adresser med videre skal ske i medfør af retsplejeloven.

Der står at dynamiske IP-adresser skal udleveres ifølge retsplejeloven, hvilket indirekte betyder at de nødvendigvis må logges. Derudover er bemærkningen ikke længere relevant hvis loven der henvises til i "idet" ikke længere er gældende.

Lovteksten i telefonen er meget generisk:

"§ 13. Udbydere af elektroniske kommunikationsnet eller -tjenester til slutbrugere skal på begæring af politiet udlevere oplysninger, der identificerer en slutbrugers adgang til elektroniske kommunikationsnet eller -tjenester".

Lige nu kan man måske slippe afsted med at sige, beklager den information er ukendt for os, for vi undlod at logge, da vi mener at Logningsbekendtgørelsen er ulovlig. Myndighederne vil fortsætte med at flytte sig en lille millimeter og få det prøvet igen. En dag får de medhold.

Jeg kan sagtens se at EU domstolen når frem til at formålet i §13 er ok og at det er rimeligt at kræve logning af IP eller IP+port så at dette formål kan opretholdes. Der er forskel på at logge {tid; src IP; src PORT, dst IP; dst PORT} og {tidsinterval; src IP; src PORT}. Det sidste er nok til §13.

Jesper Lund

Jeg kan sagtens se at EU domstolen når frem til at formålet i §13 er ok og at det er rimeligt at kræve logning af IP eller IP+port så at dette formål kan opretholdes. Der er forskel på at logge {tid; src IP; src PORT, dst IP; dst PORT} og {tidsinterval; src IP; src PORT}. Det sidste er nok til §13.

Intet skal logges efter telelovens § 13. Der er tale om at teleselskaber skal udlevere visse stamdata om kunden (abonnementsoplysninger) på begæring af politiet. Det gælder selvsagt kun, hvis teleselskabet har registreret disse oplysninger. Hvis du fx sælger mobiltelefoni med taletidskort, kender du ikke kunderne navne og adresser.

Hvis en statisk IP-adresse er en del af disse stamdata, skal denne oplysning udleveres efter telelovens § 13. Det kunne f.eks. være hvis du sælger internetadgang til en kunde, som har sit eget IP-range i RIPE. Som nævnt vil der givetvis være en gråzone i forhold til telelovens § 13 af hvad der er en statisk IP-adresse, specielt hvis abonnenten modtager en "fast" DHCP-tildelt adresse.

Denne distinktion mellem statiske og dynamiske IP-adresser findes også i andre EU-lande, og den bruges bl.a. i direktivet om den europæiske efterforskningskendelse, hvor der er en bestemmelse vedr. abonnementsoplysninger som minder om telelovens § 13.

Som nævnt er der hos visse parter (regeringer og politimyndigheder, the usual suspects) en interesse i at udvide definitionen af hvad der er abonnementsoplysninger, men det kommer ret hurtigt til at skabe en konflikt med definitionen af trafikdata i 2002/58 og præmisserne i Tele2-dommen. Se eventuelt side 6-8 om subscriber information i denne analyse af professor Douwe Korff.

Borgere og teleselskaber kommer til at høre meget mere om dette emne i de kommende år, hvad enten de vil eller ej. Statens har et nærmest umætteligt ønske om at indsamle oplysninger om borgerne..

Jesper Lund

Det er jeg med på. Men i sidste ende er det politikere der har magten, også i EU. Hvis man er utilfreds med afgørelser fra domstolene, så kan man lave loven om.

Helt så simpelt er det ikke, fordi Tele2-dommen først og fremmest er afsagt på grundlag af primær EU-lovgivning (direktiver og forordninger er sekundær lovgivning), mere specifikt Charter om Grundlæggende Rettighededer artikel 7, 8 og 11. Legalisering af en generel logningspligt, som i dag er ulovlig, vil derfor forudsætte en traktatændring, hvor menneskerettighederne skrives ud af EU-traktaten.

Claus Krogsgaard-Mattsson

Jeg har tidligere truet med at lave en IPv6 tunnel server, så danskere uden adgang til IPv6 kan få en dansk IPv6-adresse. Måske skulle jeg få gjort noget ved det...

Det ville da være lækkert! Det får YouSee kunder dog ikke meget ud af. Sagem 3890 ser ud til, udover at være totalt defekt, at blokerer indgående trafik via IP protokol 41 IPv6 capsulering over IPv4... :/

Baldur Norddahl

Det ville da være lækkert! Det får YouSee kunder dog ikke meget ud af. Sagem 3890 ser ud til, udover at være totalt defekt, at blokerer indgående trafik via IP protokol 41 IPv6 capsulering over IPv4... :/

Det burde ellers være muligt for udbyderen at levere en 6rd opsætning via DHCP til routeren og dermed omgå TDCs IPv6 blokkering på kabel TV nettet. Langt de fleste moderne routere implementerer 6rd.

Det er DHCP option 212:

https://tools.ietf.org/html/rfc5969

Jeg har hørt rygter om at der er blevet spærret for 6rd i den påtvungne router fra YouSee. Men det kan der næppe være noget rationelt argument for, så de burde kunne presses til at åbne op for det.

Ulempen ved 6rd er at brugeren får en lidt mindre MTU på IPv6 og det giver problemer på nogle få sites, hvor administratoren ikke helt har forstået at det er forkert at blokkere for MTU path discovery pakker i firewallen.

Claus Krogsgaard-Mattsson
Log ind eller Opret konto for at kommentere