RIPE doet dringende oproep tot migratie naar IPv6

De argumenten dat IPv6 zou helpen tegen DDoS doordat iedere site een eigen ip zou hebben vind ik waardeloos. Als netwerk-provider ontvang je nl. nog steeds als het verkeer voor dat IP-adres, waardoor de verbindingen kunnen vollopen of in ieder geval vertragen. Ook als het betreffende IP uit de lucht gehaald wordt (requests blijven binnenkomen).

De reden waarom ipv6 nog niet gebruikt wordt is volgens mij dat je als kleine ISP die niet zelf RIPE-LIR is, geen (kleine) IPv6-reeks kunt krijgen (PI). Daarnaast ondersteund bijna geen enkele access-ISP native IPv6 (voornamelijk het laatste deel tussen de pc van de klant en de router bij de ISP).

Het blijft natuurlijk een kip-en-ei-verhaal: als hosters geen IPv6 gebruiken, doen access-ISP's niets met IPv6, en andersom ook.

Het aanvragen van een [url=http://www.ssl.nu]SSL Certificat[/url] is op dit moment echt geen probleem! De de Ripe moet de webhoster namelijk een ipv4 adres toekennen als de klant deze wil gebruiken voor een SSL Website.

De herkenning van SSL komt pas echt zodra er meer websites gebruik gaan maken van een [url=www.ev-certificaten.nl][b]EV SSL Certificaat[/b][/url]!

Ons netwerk is klaar voor ipv6, helaas zijn er nog maar weinig transit providers voor ipv6 en is het dus erg moeilijk om ipv6 redundant in productie te nemen.

[quote]Hoe vaker de bezoeker https en het slotje onderaan in zijn browser ziet, hoe bewuster deze zich hier van wordt en phishers sneller door heeft.[/quote]

Zelfs het slotje en https hebben niet al te veel meer te zeggen. Zo ging er een poosje geleden een virus rond waarbij je op de site van de Postbank keurig een slotje zag, je zag keurig het adres https://mijn.postbank.nl/internetbankieren/SesamLoginServlet echter werd direct na inloggen (in het slecht Nederlands) om een 10-tal TAN-Codes gevraagd.

Bij het klikken op het slotje werd keurig een SSL certificaat weergegeven, echter niet die van de Postbank. Het virus wist het url vrijwel onzichtbaar om te lijden naar een kopie van de Postbank site.

Arnout, zou je je zelf niet beter de vraag kunnen stellen waarom mensen niet overstappen?

Dus mijn vraag aan de ISP'S: Waarom zijn jullie nog niet overgestapt op IPv6?

Door het gebrek aan IPV6 ondersteuning bij transit providers. Het is allemaal nog vrij beperkt.

Ik denk dat, als de grote jongens goede ondersteuning bieden, het erg snel kan gaan.

[quote]Bij het klikken op het slotje werd keurig een SSL certificaat weergegeven, echter niet die van de Postbank. Het virus wist het url vrijwel onzichtbaar om te lijden naar een kopie van de Postbank site.[/quote]

Dit kan dus wel voorkomen worden met een [url=http://www.ev-certificaten.nl/]EV SSL Certificaat[/url], aangezien je dan niet kan werken met een domain vatted SSL Certificaat en de naam van de website eigenaar in de adres wordt weergegeven.

Als PI space binnen IPv6 nou makkelijk verkrijgbaar was dan was het al meer in gebruik geweest. Zelf gaan wij in januari 2008 volgens planning IPv6 erbij naast aanbieden.

Bedoel je hier dan PI binnen IPv6 makkelijker dan PI binnen IPv4? Ik zie geen reden waarom dit voor de Ripe een probleem zou moeten zijn.

Maar er moet wel een goede reden blijven om PI space aan te vragen, het zou een gekkenhuis worden als iedereen maar PI space ging gebruiken.

@Paul:
In dit geval doel ik op net zo makkelijk als bij IPv4 (dit zou geen probleem mogen zijn mijn inziens). Tot op heden is het lastiger/onmogelijk voor zover ik heb begrepen.

Jesper heeft gelijk, er zijn maar weinig grote transit providers die ipv6 ondersteunen, dit komt grotendeels weer door het vraag/aanbod verhaal.

Wij hebben nagevraag gedaan bij Abovenet, maar daar geld het zelfde voor, niet genoeg vraag, dus nog niet aanbieden.

Arnout heeft wel een paar puntjes, voor shared hosting worden SSL certs dan mogelijk omdat elke vhost een eigen ip adres kan krijgen. (hoef je ook niet van die EV SSL certs aan te schaffen voor een groen kleurtje, sluipreclame--)

Ook ddosjes zullen (niet altijd) makkelijker geblokkeerd kunnen worden.

Het is voor ons (hosting providers) dus afwachten wat de transits doen..

@Japje
[quote]Arnout heeft wel een paar puntjes, voor shared hosting worden SSL certs dan mogelijk omdat elke vhost een eigen ip adres kan krijgen. (hoef je ook niet van die EV SSL certs aan te schaffen voor een groen kleurtje, sluipreclame–)[/quote]

Waarom zou je dan geen [url=http://www.ev-certificaten.nl/]EV SSL Certificaat[/url] hoeven aan te schaffen? Dit heeft niets met de ip-adressen te maken maar met het stuk van Arnout waar hij het heeft over de herkenning van het SSL slotje in de browser!

Enige wat Arnout zegt is dat een SSl cert aanvragen kan met een dedicated ip, en laat shared hosting dat nou niet kunnen leveren....

ipv6 zorgt voor een dedicated ip per vhost = SSL op "shared" (alleen nog hardware, geen ip addr) accounts. Verder zit er geen link tussen... en is het voornamelijk reclame voor een EV cert voor een groene balk in IE 7.

Neemt niet weg dat het een hels karwei is elke vhost een eigen IP te geven.

Wij draaien 20.000 websites in een cluster omgeving, dat zou betekenen dat je 20.000 entry's in je loadbalancer moet zetten.

Ook draaien er op grote clusters soms wel 3.000 websites, zie je het al voor je als je ifconfig intypt op je machine?

Ik wil zo snel mogelijk IPV6 aanbieden, maar ga echt niet elke shared-hosting een eigen IP geven.

Daarnaast is er nog genoeg apparatuur waar IPV6 er even naast IPV4 in gegooid is, bijvoorbeeld de Cisco ASA firewalls.

@Japje:
[quote]
Enige wat Arnout zegt is dat een SSl cert aanvragen kan met een dedicated ip, en laat shared hosting dat nou niet kunnen leveren….
[/quote]
Nee dit was ook niet waar mijn reactie op gedoeld was Arnout schreef namelijk:

[quote]
Met IPv6-adressen kan elke website zonder problemen een eigen IP-adres krijgen. Hoe vaker de bezoeker https en het slotje onderaan in zijn browser ziet, hoe bewuster deze zich hier van wordt en phishers sneller door heeft.
[/quote]

Het gaat hier dus om dat het slotje niet veel meerwaarde heeft en dat 90% van de gebruikers niet eens wat wat het slotje is, dat hij er is of laat staan wat het in houd. Als elke site standaard een eigen IP heeft zullen er vast sites bij zijn welke sneller een SSL Certificaat zullen gaan gebruiken maar het zal niet helpen om phishers tegen te gaan tenzij ze dus een EV SSL Certificaat gebruiken. (en ja dit dan natuurlijk meteen een stukje reclame voor EV, maar is niet mijn doelstelling van deze post)

[quote]
Dus mijn vraag aan de ISP’S: Waarom zijn jullie nog niet overgestapt op IPv6?
[/quote]

Nog helemaal niet nodig voor ons, ze zullen ook eens een keer naar ISP's moeten kijken die niet zorgvuldig met hun space omgaat (EN DAT IS/ZIJN ER VEEL).

Alsof de access-providers al IPv6 ondersteunen.
Kan alles wel op ipv6 zetten, grote kans dat ik allemaal telefoontjes ga krijgen :)

Het komt nu over als "We've got them, let's use them!". Is het nu gelijk de bedoeling, dat we alle ipv6 ipadressen gaan gebruiken ? Ik zie daar het nut niet van in. Het is wel de bedoeling dat men over 10 jaar nog steeds ipv6 adressen hebben. Het zijn er dan wel een heel stuk meer, maar daarom hoeven we toch niet elke website 1 ipadres te geven?

[quote]Ik zie daar het nut niet van in. Het is wel de bedoeling dat men over 10 jaar nog steeds ipv6 adressen hebben.[/quote]

Als we alle mensen op aarde iedere seconde honderd miljard nieuwe IPv6 adressen geven, dan duurt het nog meer dan tien miljard jaar voordat alle adressen op zijn. Dus dat zuinig zijn is écht niet nodig ;)

Wat nou als we interplanetair gaan werken in de aankomende 50 jaar? ;)

******* met je linkspam paul

er zijn meer ipv6 adressen dan zandkorrels op aarde.

Wordt alleen zo moeilijk, een IPv6 adres onthouden :)

@Drew:
Weer een voordeel van DNS/rDNS.

@Drew:

Valt opzich wel mee hoor, met IPv4 moet je 4 groepen van maximaal 3 getallen onthouden.

En met IPv6 zijn het maximaal 8 groepen van 4 hexadecimale getallen.

En als je dan een reeks hebt met meerdere groepen van 4 nullen hoef je steeds minder te onthouden.

Dus ik zie 't probleem niet, het is even wennen denk ik.

ik claim hierbij 1337.1337.1337.1337.1337.1337.1337.1337

@Randy: Mail ripe even met die claim.

@Mark je moet de RIPE mailinglist even volgen, daar zijn wat discussies aan de gang omtrent IPv6 PI space. PI space is op dit moment NIET mogelijk.

Er zijn discussies aan de gang en het zal niet lang meer op zich laten wachten tot dat PI space beschikbaar is voor IPv6.

Het hele uitrollen van IPv6 ligt niet denk ik grotendeels aan de uitgifte van PI space. Meer aan administratieve-configureer-installeer-ellende die het met zich meebrengt wat o.a. Wido zegt. Geen enkele beheerder zit te wachten op zon rompslomp.

Plus dat veel devices die native prima op IPv4 functioneren gewoon dikke vinger zeggen tegen IPv6. Tevens kan je straks dus krijgen dat je hosts op IPv4 en IPv6 beschikbaar moeten zijn (probleem x2?) En dan nog eens moet gaan wachten op alle Access ISPs totdat die eindelijk een keer hun infra naar IPv6 over hebben...

Wat mij betreft; Herzie maar eens de uitgifte van addressen om alvast eens mee te beginnen. Sommige bedrijven of instanties in Amerika hebben een complete /16.. voor wat? 3x nix... Als iemand mij kan vertellen waarom een Melkfabriek een /16 heeft (aan public IPs!).. be my guest.

Iedere koe een IP Gijs..

@Robbert:
Op welke mailinglijst van RIPE is dat? Ik zie namelijk dat ze er meerdere hebben.

@Randy:
Dan is het toch 1337:1337:1337:1337:1337:1337:1337:1337

Voor onze frikandellen freak dan maar:
f00d:f00d:f00d:f00d:f00d:f00d:f00d:f00d

http://www.ripe.net/fcgi-bin/whois?form_type=simple&full_query_string=&searchtext=f00d:f00d:f00d:f00d:f00d:f00d:f00d:f00d

Het hele probleem van uitrollen van IPv6 blijft erbij dat de 2 netwerken niet naast elkaar kunnen functioneren. Je kan echt zo never, zo goed als bijna never een dergelijke migratie uitrollen.

Het is goed dat alle zgn. leiders van RIPE etc. zeggen dat we over moeten op IPv6, maar... 99,99% van alle devices die ik nog gezien heb (Routers, Switches) etc. supporten niet of nauwelijks IPv6.. daar ligt het gehele probleem.

Natuurlijk zal ik zelf alles eraan doen om mee te werken met IPv6 en het te implementeren, maar vooralsnog heb ik er een heel hard hoofd in..