Ipv6 gedachten draadje

[Dr.Z]

Tjonge jonge, de bezuiniging slaat toe, een tekort aan IPv4 addressen op die manier oplossen, dat is lekker......

Daar was IPv6 toch voor bedoeld? Of zijn zij er achter gekomen dat Ipv6 een gigantisch beveiligingsprobleem is?

 

[Black Tiger]

als ik buitenshuis ben kan ik via die tunnel overal bij, dus ook mijn camera's zijn gewoon te benaderen via het interne adres.

Ik zou wel eens willen weten hoe dat werkt, nog nooit zelf een VPN tunnel gemaakt. Misschien kun je me in een nieuw topic daar eens wat uitleg over geven hoe je dat moet doen. Als je wilt en tijd hebt.

CGNat op ipv4? Man, man, man.... wat een zootje, hoe komen ze op het idee.

dat Ipv6 een gigantisch beveiligingsprobleem is?

Want?

 

[Dr.Z]

@Black Tiger , dat was een vraag.

 

[Black Tiger]

@Dr.Z dat van mij was daarom een vraag aan jou.
Want? Oftewel... IPv6 is een gigantisch beveiligingsprobleem want?.... Want je zinsbouw van de vraag lijkt er op alsof jij denkt dat het een beveiligingsprobleem is en zij daar nu achter gekomen waren misschien. Maar je vroeg je dat dus gewoon zelf af of het een beveiligingsprobleem is?

 

[Dr.Z]

Nu ik het teruglees komt de vraag inderdaad wat raar over, maar het was bedoeld als grap.
Het probleem van de veiligheid zou dan zitten in de luiheid van systeembeheerders en niet in IPv6 zelf....

Enfin, IPv6 zou het probleem van het tekort aan IP adressen moeten opvangen maar het feit dat IPv6 na 25 jaar nog steeds geen mainstream is kan te maken hebben met de complexiteit van het 128bits systeem.

IPv10 zou de oplossing moeten zijn omdat deze kan communiceren tussen IPv4 en IPv6 en deze complexiteit op vangen, maar ook dat komt niet op gang.
Overigens denken veel mensen dat IPv10 een grap is vanwege de optelsom IPv4 + IPv6 = IPv10, maar dat is meer een nerd grapje dan een werkelijke grap.
IPv10 is wel degelijk serieus.

Zelf schakel ik IPv6 uit, maar dat komt eigenlijk omdat ik het lastig vind te onthouden en ik veel apparaten met de hand toewijs aan de router/firewall.
Mijn tv heeft bijvoorbeeld IPadres 192.168.10.234 en dat is makkelijker te onthouden dan "2023:1234:58b1:0000:2219:7e2e:0000:2444" of "2023:1234:58b1::2219:7e2e::2444" want de nullen kun je weglaten.
Ik heb zomaar wat genomen en weet niet eens of een dergelijk IPv6 adres wel correct is... Dus, de groeten met de IPv6.

 

[Black Tiger]

IPv10 is wel degelijk serieus.

Klopt, maar dat gaat dan nog wel eens minstens een decennium duren want dan moeten alle routers zowel ipv6 alsook ipv4 routering hebben.
Het probleem met ipv6 is inderdaad dat het wel handig is, maar lastig te onthouden, alhoewel het eigenlijk voor jou zelf alleen om de laatste 4 octets gaat. Maar ik ben er ook nog mee bezig en zit met hetzelfde euvel. Teveel cijfertjes en lettertjes.

Feit is wel dat ALS je ipv6 hebt, ook alle communicatie primair over ipv6 gaat met andere systemen die ipv6 ondersteunen.
Dat geeft het "leuke" resultaat dat als je een .htaccess hebt waar je toegang wilt beperken tot 1 ip adres voorheen alleen 1 ipv4 voldoende was.
Door de werking en opbouw van je ip adres thuis moet je nu een hele range opgeven om dat te excluden. Oke het is wel je thuis range maar het is toch irritant. Bijkomende zaak is dat je dan echt nog wel 2x dubbele punt voor het subnet moet zetten, bijvoorbeeld 2023:1234:58b1:0000:2219::/64 om bij jouw voorbeeld te blijven. Dit omdat je interne ip bijv. van de pc wat gebruikt wordt om naar buiten te communiceren steeds veranderd.

 

[Dr.Z]

Nu ik de grap heb gemaakt over de mindere veiligheid van IPv6 ten opzichte van IPv4 omdat systeembeheerders lui zijn en dergelijke, schijnt er in mijn opmerking een kern van waarheid te zitten welke op de website van AVG benadrukt wordt:

Beveiliging: IPv4 versus IPv6​

Het feit dat de poort op uw pc er één in een zee van 340 sextiljoen IP-adressen is, is niet voldoende om uw IP-adres te verbergen. Hackers zijn erin getraind menselijk gedrag te voorspellen. Patronen in de ordening van gegevens blijven bij IPv6-adressen net zo goed herkenbaar.


Niemand wordt automatisch beter beveiligd door IPv6 te gebruiken. In feite is het op de korte termijn misschien zelfs minder veilig. IPv6 is betrekkelijk nieuw en onbekend, en dat geldt ook voor het configuratieproces. Zolang de meeste mensen nog niet precies weten hoe het werkt, kunnen hackers en cybercriminelen profiteren van kwetsbaarheden in het netwerkprotocol.


Met IPv6 is het nog steeds even belangrijk om de beveiliging van uw computer te verbeteren. Hackers vinden steeds nieuwe manieren om gegevens te stelen en geld te verdienen. Met AVG Secure VPN weet u zeker dat uw IP-adres en uw internetactiviteiten beschermd blijven tegen iedereen die probeert te achterhalen wie u bent of wat u aan het doen bent.

Ik heb mijzelf "even" verdiept in het IPv6 verhaal, maar qua configuratie op een prive netwerk is het misschien toch wel handig.
Zo kun je je eigen ID geven aan alle apparaten, bijvoorbeeld:
2023:a001:2021:0001::9c35:5b5f:4cd7

Netwerk aangelegd in 2023 : apparaat nummer 1 : apparaat bouwjaar 2021 : switchpoort 1 , en de laatste 3 digits is het mac-adres van het bewuste apparaat, dus 9c:35:5b..enz... en er zit nog een 0000 in wat dus : wordt.
Voor de systeembeheerders is dit wellicht een goede tip om toch met IPv6 te gaan werken.

 

[Tech]

Leuk voorbeeld maar stel dat iemand in de wereld automatisch hetzelfde adres toegewezen krijgt, zorgt er wel voor dat het dan geen uniek adres kan zijn….
dat is wel de achterliggende gedachte van IPv6 (niet dat dat gaat lukken)

 

[Dr.Z]

Dit is uiteraard voor het lokale prive netwerk als voorbeeld. Waarschijnlijk heb je op het IPv6 adres op het www geen invloed of zeggenschap.

 

[Black Tiger]

Zo kun je je eigen ID geven aan alle apparaten, bijvoorbeeld:
2023:a001:2021:0001::9c35:5b5f:4cd7

Ja zet dat maar fijn uit je hoofd, dat gaat zo niet werken.
De eerste 4 octetten worden namelijk door je provider aan jou toegewezen. Je kunt pas zelf gaan rotzooien vanaf je ULA. Daar kun je dan in zetten waar je wilt.

Zo kun je inderdaad alle devices iets geven wat je zelf leuk vindt maar zoals ik al schreef alleen vanaf de laatste 4 (of hooguit 5) kwartetten (om het zo even te noemen).
En dan gebeurt wat ik eerder beschreef. Jij hebt dus een apparaat op die manier een bepaald ip toegewezen, maar vergeet dus maar dat hij met dat ip naar de grote boze buitenwereld gaat, dat is dus niet het geval. Dat is alleen lokaal.

En nee ipv6 is niet minder veilig, standaard is dat net zo veilig als ipv4. Alleen moet degene op de stoel voor de pc niet zomaar dingen gaan open zetten waar hij geen verstand van heeft of met ULA's en die dingen gaan spelen.

Leuk voorbeeld maar stel dat iemand in de wereld automatisch hetzelfde adres toegewezen krijgt, zorgt er wel voor dat het dan geen uniek adres kan zijn….

Hoe kom je op het idee dat dit zou kunnen gebeuren? Je bent namelijk voor de eerste cijfers (prefix dacht ik) afhankelijk van je provider.
Bij Ziggo kun je zoiets bijvoorbeeld zien:
2001:1c05:
met vaak nog een vast getal daarachter. Daarna komt pas je eigen ULA prefix van je router en de dingen die je dan zelf kunt veranderen.

En als je dan in je PC gaat kijken dan zie je vaak dat het kan zijn dat je 3 ipv6 ip adressen hebt. Die met je eigen ULA prefix, een die begint met FE80 wat elk device krijgt, volgens mij voor lokale configuratie en dan nog een random ipv6 adres waarmee je op internet "gezien" wordt en wat je dus ook te zien krijgt bij "watzijnmijnips.nl" en dergelijke sites.

Met ipv4 had je 1 extern ip. Dus ook je sat ontvanger had extern hetzelfde ipv4. Dat gaat hem met ipv6 dus nooit worden, omdat elk device zijn eigen ipv6 krijgt waar ie mee naar internet toe gaat. Tenminste als ik alles goed begrepen heb.

Waarschijnlijk heb je op het IPv6 adres op het www geen invloed of zeggenschap.

Exact, en op je lokale netwerk dus ook maar deels. Als je het wilt doen zoals jij wilt met de laatste 4 kwartetten zul je alles op vaste ip adressen moet gaan zetten want dat gaat je met DHCP nooit lukken.

 

[Black Tiger]

Ik heb er even een aparte thread van gemaakt, kunnen we lekker rommelen zonder de originele thread te verstoren want ipv6 is toch wel een apart verhaal op zich.

 

[Dr.Z]

Exact, en op je lokale netwerk dus ook maar deels. Als je het wilt doen zoals jij wilt met de laatste 4 kwartetten zul je alles op vaste ip adressen moet gaan zetten want dat gaat je met DHCP nooit lukken.

Dus ook het lokale adres wordt deels door de provider bepaald? Dat betekent dus dat de IPv6 NAT anders werkt dan de IPV4 NAT?
Ik heb dus totaal geen ervaring met IPv6 dus je kunt mij van alles vertellen, maar vind het steeds interessanter worden.
Ook met de laatste 4 'kwartetten' is het niet lastig te onthouden want in feite hoeft men met IPv4 doorgaans alleen de laatste 3 digits te onthouden in het lokale netwerk, dus een cijfertje meer is ook geen probleem.
Ik ken weinig mensen die meer dan 15 apparaten in huis hebben, dus alleen systeembeheerders in grotere bedrijven hebben wat meet werk om alles te onthouden.

Kleine anekdote: Ik ben ooit eens bij iemand in huis geweest die op elk slim apparaat en cijfer had geplakt.
Ik vroeg aan de beste techneut waar die cijfertjes voor waren en hij vertelde mij dat dit een geheugensteuntje is voor de ranglijst in het netwerk. De koelkast had bijvoorbeeld het cijfer 15, wat in zijn geval correspondeerde met 10.0.0.15 .

Enfin terugkomend op dit verhaal, ik kan zelf niet experimenteren met IPv6 omdat mijn provider en modem een beperking heeft, dus helaas houdt het voor mij hier op bij de theorie.

 

[Black Tiger]

Dus ook het lokale adres wordt deels door de provider bepaald?

Nou niet per sé. Dat is net het ingewikkelde van ipv6, afhankelijk van hoe je het gebruikt en de mogelijkheden van je router, kun je dat ook zelf bepalen.
Je hebt sowieso een lokaal FE:80:xx adres.

Moet ik even zien of ik het goed onthouden heb.
Als je nu zelf DHCPv6 kunt draaien (weet ik alleen niet meer of dat dan zonder SLAAC moest) kun je zelf je eigen ipv6 ip reeks gebruiken, maar dan dus sowieso alleen lokaal.
Maar dat gaat dan ook gewoon niet naar buiten toe, dat blijft op je eigen LAN zoals bijv. de 192.168.x.x met ipv4.

Daarnaast krijg je nog een ipv6 wat naar buiten gaat, het boze internet op, daar zit een deel van de provider bij en dan als laatste heb je nog dat lokale FE80 adres.
Dus feitelijk krijg je meerdere ipv6 adressen als ik het allemaal zelf goed begrepen heb.

Ik weet alleen niet exact hoe dit dan gaat met forwarden, volgens mij kun je alleen naar dat ipv6 forwarden of liever gezegd alleen dat ipv6 open zetten voor internet, wat dus deels bestaat uit getallen van je ISP.
Want ipv6 heeft geen NAT meer. Je zet poorten open of niet, forwarden is er niet meer bij want ipv6 is rechtstreeks benaderbaar vanuit de boze buitenwereld. Daarom staat normaliter op elke router alles van ipv6 standaard gewoon dicht.

Zoals gezegd weet ik zelf ook niet alles en ben ook nog hard bezig het te leren, maar het is inderdaad wel interessant. Alleen dat meerdere ipv6 adressen op je pc aanwezig zijn maakt het wel iets ingewikkelder. En dan is er nog DHCPv6 en SLAAC en je kunt dat ook nog in combinatie gebruiken. Is wel even wat ingewikkelder dan ipv4.

Er is best heel veel op internet over te vinden. Ook in het Nederlands.
Het binaire gebeuren gaat mij veel te ver, maar er is ook wat meer eenvoudigere uitleg.

Deze hier (klik) vind ik best goed en geeft veel uitleg. Er zijn meer NL-talige sites te vinden trouwens.

 

[sat-ed]

Allemaal leuk maar ipv6 was toch bedacht omdat er niet genoeg ip 4 adressen waren?
Begrijp ik nu goed dat er zelfs intern spul een extern ip6 kan krijgen?
Met al dat domme slimme spul ben je ook zo door die ip6 adressen heen.
Ooit zei men ook dat we nog wel ff vooruit konden met ip4 ens hoelang geleden is dat geweest?

 

[Black Tiger]

Allemaal leuk maar ipv6 was toch bedacht omdat er niet genoeg ip 4 adressen waren?

Ja dat klopt, omdat ze schaars begonnen te worden.

Met ipv6 kun je inderdaad intern een extern ipv6 krijgen omdat er eigenlijk geen prive netwerk meer is zoals de 3 ranges bij ipv4, daarom is er ook geen NAT meer nodig.

Met ipv4 heeft men de fout gemaakt teveel ip adressen te geven en gebruiken waar ze niet voor nodig waren.
Met ipv4 kun je 4.294.967.296 ip adressen maken. Dat zou voldoende moeten zijn maar oke, blijkt van niet alhoewel er nog steeds vrije ipv4 adressen zijn.

Bij ipv6 verschilt die benaming, sommigen zeggen sextiljoen, elders lees ik weer undeciljoen, maar het komt hierop neer: 340.282.366.920.938.463.463.374.607.431.768.211.456 adressen.
Succes met opmaken.

 

[Black Tiger]

Van de andere kant, er worden veel /64 adressen uitgedeeld...
Dat zijn 18,446,744,073,709,551,616 losse ipv6 adressen maximaal, dan kan het toch weer relatief snel gaan.
Achja... boeien.