IPv6 news-nl-20121009
Click here to load reader
-
Upload
bart-hanssens -
Category
Technology
-
view
123 -
download
0
Transcript of IPv6 news-nl-20121009
1
IPv6 Nieuwsbrief – 9 oktober 2012
Deze nieuwsbrief mag gratis en onbeperkt verspreid worden, maar is in eerste instantie bedoeld om de IT-managers, projectleiders en netwerkverantwoordelijken van de Belgische Federale Overheidsdiensten te informeren over de nieuwe ontwikkelingen en de technische mogelijkheden van IPv6.
Bart Hanssens,Deskundige interoperabiliteitFedict (DG Systeemarchitectuur & Standaarden)
Inhoud
DNS configuratie
DNS records
Reverse DNS
Mogelijke impact op firewall
Welk protocol krijgt voorrang ?
Als een server zowel een A- als een AAAA-record heeft
Server: DNS whitelisting wordt afgeraden
Client: IPv6 en fall-back naar IPv4
Client: Happy Eyeballs
Testsite en javascripts
Rekenhof bereikbaar via IPv6
De invoering van IPv6 bij de Belgische federale overheid
Beslissing van de Ministerraad
Verantwoordelijkheden
Ondersteuning
Voor IT-medewerkers van de FOD's / POD's
Voor IT-managers van de FOD's / POD's
IPv6 nieuwsbrief – 9 oktober 2012
2
DNS CONFIGURATIE
DNS records
DNS-servers houden het IPv4-adres van een machine bij in een “A-record”, terwijl een (4 keer langer) IPv6-adres worden bijgehouden in een “AAAA-record”. Deze records kunnen naast elkaar bestaan, en kunnen zowel over IPv4 als over IPv6 opgevraagd worden.
Een systeem kan (niet verplicht) dus tegelijk een IPv4-adres als een IPv6-adres hebben, en de inhoud van een “AAAA-record” kan zowel over IPv4 als IPv6 verstuurd worden.
Reverse DNS
Reverse DNS, waarbij de DNS-server gevraagd wordt om een machinenaam te geven die bij een IP-adres hoort, wordt door spamfilters soms gebruikt als controle.
Net zoals bij IPv4 is het mogelijk om “PTR-records” voor IPv6 aan te maken: deze zijn eveneens een stuk langer maar vallen onder het “ip6.arpa” domein, in plaats van “in-addr.arpa”.
Mogelijke impact op firewall
DNS-opvragingen gebeuren vaak over UDP, wat efficiënter is dan opvragingen via TCP. Doordat de IPv6-adressen langer zijn, kan het gebeuren dat het resultaat van zo'n opvraging langer is dan de oorspronkelijk voorziene 512 bytes 1, waardoor de opvraging kan mislukken.
Netwerkbeheerders doen er dan ook goed aan om “Extension Mechanism for DNS” (EDNS0) 2 in te schakelen, een optie die overigens ook noodzakelijk is voor het implementeren van DNSSEC-beveiliging 3 (dat op zich niets met IPv6 te maken heeft).
Mogelijk moet hierbij ook de configuratie van de firewall aangepast worden.
1 http://tools.ietf.org/html/rfc1035 2 http://tools.ietf.org/html/rfc2671 3 http://tools.ietf.org/html/rfc4033
IPv6 nieuwsbrief – 9 oktober 2012
3
WELK PROTOCOL KRIJGT VOORRANG ?
Als een server zowel een A- als een AAAA-record heeft
Als een server zowel een A- als een AAAA-record heeft, is het in de praktijk niet te voorspellen welk protocol een client zal gebruiken om deze server aan te spreken: dit is namelijk afhankelijk van de netwerkomgeving, het besturingssysteem en de applicatie waarmee de gebruiker werkt.
Server: DNS whitelisting wordt afgeraden
Het “DNS-whitelisting” systeem, waarbij een DNS-server de AAAA-records enkel verstuurt naar omgevingen die zeker met IPv6 overweg kunnen, wordt afgeraden omdat het extra onderhoud vraagt en op termijn de invoering van IPv6 eerder tegenwerkt dan verderhelpt.4
Client: IPv6 en fall-back naar IPv4
Om het gebruik van IPv6 te promoten, geven bepaalde systemen de voorkeur aan IPv6 als de netwerkomgeving geconfigureerd is om zowel IPv4 als IPv6 te gebruiken.
In een klein aantal gevallen kan er toch iets mis lopen met de IPv6-verbinding en wacht de applicatie de TCP time-out af voordat een IPv4-verbinding wordt gestart. Afhankelijk van het systeem, kan het wachten enkele seconden tot enkele minuten duren, wat vooral in het geval van websites erg hinderlijk is voor de eindgebruiker.
Het is moeilijk te bepalen hoeveel gebruikers met dit probleem geconfronteerd zullen worden. Grote providers en internetbedrijven als Facebook, Yahoo, Google... rapporteerden dat 0,02 % à 0,1% van hun gebruikers te maken kreeg met “IPv6-brokenness”. Dit was dan vooral te wijten aan bugs in specifieke systemen en verkeerd geconfigureerde netwerkomgevingen.
Client: Happy Eyeballs
Om dit fenoneem tegen te gaan, gebruiken enkele browsers het “Happy Eyeballs”-systeem 5 waarbij het meest geschikte protocol wordt geselecteerd door de beschikbaarheid en snelheid van IPv4 en IPv6 effectief te testen.
Als zo'n browser zowel een A als een AAAA-record toegestuurd krijgt, zal deze proberen om (bijna) tegelijk een IPv6 als een IPv4-verbinding tot stand te brengen. Het protocol dat “wint” wordt tijdelijk onthouden, en zal de volgende keer meteen gebruikt worden om (één) verbinding te maken.
Het grote voordeel is dat de gebruiker hier niets van merkt (dus ook geen vertraging), het nadeel is dat er iets meer (nutteloze) verbindingen worden gemaakt met de server.
4 http://tools.ietf.org/html/rfc6589 5 http://tools.ietf.org/html/rfc6555
IPv6 nieuwsbrief – 9 oktober 2012
4
TESTSITE EN JAVASCRIPTS
Technische gebruikers die via een browser snel willen testen of hun internetconfiguratie klaar is voor IPv6, kunnen http://test-ipv6.com/ bezoeken. Op deze site worden (via Javascript) automatisch een aantal tests uitgevoerd en eventuele problemen gerapporteerd, met daarbij een korte beschrijving van de mogelijke oorzaken en suggesties voor oplossingen.
Het is natuurlijk ook mogelijk om zo'n testscript (al dan niet in aangepaste vorm) op een eigen website te plaatsen, daarvoor kan men de code gebruiken van http://code.google.com/p/falling-sky/ of http://www.getipv6.info/index.php/Warning_broken_users_with_JavaScript.
REKENHOF BEREIKBAAR VIA IPV6
Sinds begin oktober is de website van het Rekenhof (http://www.ccrek.be) ook bereikbaar via IPv6. Voor meer informatie kunt u terecht bij Bart Vermoesen.
IPv6 nieuwsbrief – 9 oktober 2012
5
DE INVOERING VAN IPV6 BIJ DE BELGISCHE FEDERALE OVERHEID
Beslissing van de Ministerraad
De Ministerraad van 22 juni 2012 heeft beslist dat de federale overheidsdiensten binnen 2 jaar IPv6 moeten ondersteunen6.
Hierbij moet voorrang worden gegeven aan websites en (web)diensten die gebruikt worden door burgers, bedrijven en andere overheidsdiensten. Er is een transitieperiode voorzien, waarbij diensten zowel via IPv4 als IPv6 beschikbaar zullen worden gesteld.
Verantwoordelijkheden
Fedict kan als dienstenintegrator een coördinerende rol spelen, maar de verantwoordelijkheid voor het invoeren van IPv6 ligt bij de overheidsdiensten zelf.
Om het economische belang van IPv6 te onderstrepen, zal de FOD Economie een werkgroep voorzitten, waarin ook het BIPT vertegenwoordigd zal zijn.
ONDERSTEUNING
Voor IT-medewerkers van de FOD's / POD's
Fedict heeft een IPv6-werkruimte aangemaakt op beConnected, het beveiligde platform voor het uitwisselen van documenten tussen de verschillenden overheidsdiensten.
De informatie in deze werkruimte is vooral bedoeld voor IT-managers, netwerkverantwoordelijken en (IT-) projectleiders.
Contacteer de beConnected-verantwoordelijke van uw dienst als u nog geen toegang heeft tot dit platform. Indien u wel al toegang heeft tot beConnected, dan kunt u op eenvoudig verzoek toegang krijgen tot de IPv6-werkruimte.
Voor IT-managers van de FOD's / POD's
Naast de werkruimte op beConnected, kunnen de IT-managers van de FOD's en POD's ook terecht bij de Permanente ICT Stuurgroep (PICTS).
6 http://presscenter.org/nl/pressrelease/20120622/strategisch-plan-voor-de-invoering-van-ipv6-in-belgi%C3%AB?setlang=1
IPv6 nieuwsbrief – 9 oktober 2012