1

IPv6 Nieuwsbrief – 9 oktober 2012

Deze nieuwsbrief mag gratis en onbeperkt verspreid worden, maar is in eerste instantie bedoeld om de IT-managers, projectleiders en netwerkverantwoordelijken van de Belgische Federale Overheidsdiensten te informeren over de nieuwe ontwikkelingen en de technische mogelijkheden van IPv6.

Bart Hanssens,Deskundige interoperabiliteitFedict (DG Systeemarchitectuur & Standaarden)

Inhoud

DNS configuratie

DNS records

Reverse DNS

Mogelijke impact op firewall

Welk protocol krijgt voorrang ?

Als een server zowel een A- als een AAAA-record heeft

Server: DNS whitelisting wordt afgeraden

Client: IPv6 en fall-back naar IPv4

Client: Happy Eyeballs

Testsite en javascripts

Rekenhof bereikbaar via IPv6

De invoering van IPv6 bij de Belgische federale overheid

Beslissing van de Ministerraad

Verantwoordelijkheden

Ondersteuning

Voor IT-medewerkers van de FOD's / POD's

Voor IT-managers van de FOD's / POD's

IPv6 nieuwsbrief – 9 oktober 2012

2

DNS CONFIGURATIE

DNS records

DNS-servers houden het IPv4-adres van een machine bij in een “A-record”, terwijl een (4 keer langer) IPv6-adres worden bijgehouden in een “AAAA-record”. Deze records kunnen naast elkaar bestaan, en kunnen zowel over IPv4 als over IPv6 opgevraagd worden.

Een systeem kan (niet verplicht) dus tegelijk een IPv4-adres als een IPv6-adres hebben, en de inhoud van een “AAAA-record” kan zowel over IPv4 als IPv6 verstuurd worden.

Reverse DNS

Reverse DNS, waarbij de DNS-server gevraagd wordt om een machinenaam te geven die bij een IP-adres hoort, wordt door spamfilters soms gebruikt als controle.

Net zoals bij IPv4 is het mogelijk om “PTR-records” voor IPv6 aan te maken: deze zijn eveneens een stuk langer maar vallen onder het “ip6.arpa” domein, in plaats van “in-addr.arpa”.

Mogelijke impact op firewall

DNS-opvragingen gebeuren vaak over UDP, wat efficiënter is dan opvragingen via TCP. Doordat de IPv6-adressen langer zijn, kan het gebeuren dat het resultaat van zo'n opvraging langer is dan de oorspronkelijk voorziene 512 bytes 1, waardoor de opvraging kan mislukken.

Netwerkbeheerders doen er dan ook goed aan om “Extension Mechanism for DNS” (EDNS0) 2 in te schakelen, een optie die overigens ook noodzakelijk is voor het implementeren van DNSSEC-beveiliging 3 (dat op zich niets met IPv6 te maken heeft).

Mogelijk moet hierbij ook de configuratie van de firewall aangepast worden.

1 http://tools.ietf.org/html/rfc1035 2 http://tools.ietf.org/html/rfc2671 3 http://tools.ietf.org/html/rfc4033

IPv6 nieuwsbrief – 9 oktober 2012

3

WELK PROTOCOL KRIJGT VOORRANG ?

Als een server zowel een A- als een AAAA-record heeft

Als een server zowel een A- als een AAAA-record heeft, is het in de praktijk niet te voorspellen welk protocol een client zal gebruiken om deze server aan te spreken: dit is namelijk afhankelijk van de netwerkomgeving, het besturingssysteem en de applicatie waarmee de gebruiker werkt.

Server: DNS whitelisting wordt afgeraden

Het “DNS-whitelisting” systeem, waarbij een DNS-server de AAAA-records enkel verstuurt naar omgevingen die zeker met IPv6 overweg kunnen, wordt afgeraden omdat het extra onderhoud vraagt en op termijn de invoering van IPv6 eerder tegenwerkt dan verderhelpt.4

Client: IPv6 en fall-back naar IPv4

Om het gebruik van IPv6 te promoten, geven bepaalde systemen de voorkeur aan IPv6 als de netwerkomgeving geconfigureerd is om zowel IPv4 als IPv6 te gebruiken.

In een klein aantal gevallen kan er toch iets mis lopen met de IPv6-verbinding en wacht de applicatie de TCP time-out af voordat een IPv4-verbinding wordt gestart. Afhankelijk van het systeem, kan het wachten enkele seconden tot enkele minuten duren, wat vooral in het geval van websites erg hinderlijk is voor de eindgebruiker.

Het is moeilijk te bepalen hoeveel gebruikers met dit probleem geconfronteerd zullen worden. Grote providers en internetbedrijven als Facebook, Yahoo, Google... rapporteerden dat 0,02 % à 0,1% van hun gebruikers te maken kreeg met “IPv6-brokenness”. Dit was dan vooral te wijten aan bugs in specifieke systemen en verkeerd geconfigureerde netwerkomgevingen.

Client: Happy Eyeballs

Om dit fenoneem tegen te gaan, gebruiken enkele browsers het “Happy Eyeballs”-systeem 5 waarbij het meest geschikte protocol wordt geselecteerd door de beschikbaarheid en snelheid van IPv4 en IPv6 effectief te testen.

Als zo'n browser zowel een A als een AAAA-record toegestuurd krijgt, zal deze proberen om (bijna) tegelijk een IPv6 als een IPv4-verbinding tot stand te brengen. Het protocol dat “wint” wordt tijdelijk onthouden, en zal de volgende keer meteen gebruikt worden om (één) verbinding te maken.

Het grote voordeel is dat de gebruiker hier niets van merkt (dus ook geen vertraging), het nadeel is dat er iets meer (nutteloze) verbindingen worden gemaakt met de server.

4 http://tools.ietf.org/html/rfc6589 5 http://tools.ietf.org/html/rfc6555

IPv6 nieuwsbrief – 9 oktober 2012

4

TESTSITE EN JAVASCRIPTS

Technische gebruikers die via een browser snel willen testen of hun internetconfiguratie klaar is voor IPv6, kunnen http://test-ipv6.com/ bezoeken. Op deze site worden (via Javascript) automatisch een aantal tests uitgevoerd en eventuele problemen gerapporteerd, met daarbij een korte beschrijving van de mogelijke oorzaken en suggesties voor oplossingen.

Het is natuurlijk ook mogelijk om zo'n testscript (al dan niet in aangepaste vorm) op een eigen website te plaatsen, daarvoor kan men de code gebruiken van http://code.google.com/p/falling-sky/ of http://www.getipv6.info/index.php/Warning_broken_users_with_JavaScript.

REKENHOF BEREIKBAAR VIA IPV6

Sinds begin oktober is de website van het Rekenhof (http://www.ccrek.be) ook bereikbaar via IPv6. Voor meer informatie kunt u terecht bij Bart Vermoesen.

IPv6 nieuwsbrief – 9 oktober 2012

5

DE INVOERING VAN IPV6 BIJ DE BELGISCHE FEDERALE OVERHEID

Beslissing van de Ministerraad

De Ministerraad van 22 juni 2012 heeft beslist dat de federale overheidsdiensten binnen 2 jaar IPv6 moeten ondersteunen6.

Hierbij moet voorrang worden gegeven aan websites en (web)diensten die gebruikt worden door burgers, bedrijven en andere overheidsdiensten. Er is een transitieperiode voorzien, waarbij diensten zowel via IPv4 als IPv6 beschikbaar zullen worden gesteld.

Verantwoordelijkheden

Fedict kan als dienstenintegrator een coördinerende rol spelen, maar de verantwoordelijkheid voor het invoeren van IPv6 ligt bij de overheidsdiensten zelf.

Om het economische belang van IPv6 te onderstrepen, zal de FOD Economie een werkgroep voorzitten, waarin ook het BIPT vertegenwoordigd zal zijn.

ONDERSTEUNING

Voor IT-medewerkers van de FOD's / POD's

Fedict heeft een IPv6-werkruimte aangemaakt op beConnected, het beveiligde platform voor het uitwisselen van documenten tussen de verschillenden overheidsdiensten.

De informatie in deze werkruimte is vooral bedoeld voor IT-managers, netwerkverantwoordelijken en (IT-) projectleiders.

Contacteer de beConnected-verantwoordelijke van uw dienst als u nog geen toegang heeft tot dit platform. Indien u wel al toegang heeft tot beConnected, dan kunt u op eenvoudig verzoek toegang krijgen tot de IPv6-werkruimte.

Voor IT-managers van de FOD's / POD's

Naast de werkruimte op beConnected, kunnen de IT-managers van de FOD's en POD's ook terecht bij de Permanente ICT Stuurgroep (PICTS).

6 http://presscenter.org/nl/pressrelease/20120622/strategisch-plan-voor-de-invoering-van-ipv6-in-belgi%C3%AB?setlang=1

IPv6 nieuwsbrief – 9 oktober 2012