Dit geeft aan dat security by obscurity - ondanks de meningen van fundamentalisten hierover - een effectieve methode van beveiliging is. Het zal niet de enige beveiligingslaag kunnen zijn, maar het is effectief.

Ik vermoed dat je dichtbij hetzelfde resultaat kunt komen voor IPv4 als voor IPv6 als je de standaard SSH poort verandert in een poort die zelden worden gebruikt. Er zijn weinig aanvallers die alle poorten controleren, dat gebeurt bijna alleen bij een doelgerichte aanval.

Ja duh, omdat servers veelal op IPv4 IP's gescand worden en niet op IPv6. En om dan het ww te veranderen in 'password' noem ik gewoon een super naive experiment.

En dan noemt men zich onderzoekers.

Inderdaad, gênant onderzoek. Als je een bekende IPv6 server beheert (die dus grootschalig bezocht wordt, veel Google verwijzingen, etc.), kom je vanzelf in beeld voor doelgerichte aanvallen. Doordat de adres bereiken veel groter zijn, is het logisch dat daar minder/geen bulk scans op landen. Oftewel, open deur van de dag.

Gehackt door bots ja of scriptkiddies die hydra los laten op poort 22..
Dit wil niks zeggen. De meeste brute force tools ondersteunen blijkbaar nog geen ipv6..

Lijkt wel een verkapte publiciteitsstunt om IPv6 toch nog een beetje positieve aandacht te geven (die het door zijn constructieve en grove ontwerpfouten niet verdient).

Zodadelijk gaan er naar aanleiding van deze open deur nog mensen denken dat IPv6 veiliger is, omdat nog niemand op het idee is gekomen hier agressief op aan te vallen. Dat alle IPv6 adressen standaard vanaf het internet te bereiken zijn, deze juist gebruikt gaan worden voor een enorme massa IOT devices met zero security aan boord, en IPv6 Layer 4 t/m 6 inspectie door een security appliance volledig dwarsboomt, vertellen ze er niet bij. De grote hoeveelheid extra menselijke fouten door de onleesbaarheid van het adres nog niet eens meegerekend.

Eigenlijk zou er een Europees verbod op IPv6 moeten komen.

Je kunt simpel meerdere IPv6 adressen aan je systeem hangen en je SSH toegang op een ander adres draaien dan
de publieke services waar je DNS namen naar wijzen en die iedereen dus kent.

En nu nog met een fatsoenlijke onderbouwing? Mijn router ondersteund IPv6 maar heeft standaard de IPv6 firewall aan staan dus de bewering dat alle IPv6 adressen standaard vanaf het internet te bereiken zijn raakt kant noch wal.

Die onderbouwing staat er toch bij... En wat betreft de firewall, de meeste doorsnee routers hebben niet eens een fatsoendelijke IPv4 firewall, laat staan IPv6 (ivm performance en gebruikersvriendelijkheid). NAT hebben ze wel, maar die vlieger gaat in de praktijk niet op voor IPv6. Op een enkeling na is IPv6 dus een ramp, IPv6 is juist ontworpen om elk device publiek toegankelijk te maken. Het idee is om toegangscontrole op de devices zelf te regelen. Een ernstige denkfout van de ontwerpers.

Nee, IPv6 is vooral ontworpen om veel devices *uniek adresseerbaar* te maken .

Als je wat meer netwerken gezien hebt dan alleen je huisnetwerkje snap je hoe nuttig _uniek adresseerbaar_ is .
Met of zonder publieke bereikbaarheid .

Nu nog een goede onderbouwing.

IPv6 gebruikt namelijk een LAN adresblok en een WAN adresblok in zijn adresruimte wat samen een uniek adres maakt. Dus wel degelijk bedacht met het idee om direct vanaf het grootste WAN op deze planeet adresseerbaar te zijn. Logisch vanuit het IOT perspectief, niet logisch vanuit het perspectief dat het moderne internet een genadeloos slagveld is. Unieke adreseerbaarheid heeft niets te maken met IPv6, dat kan met IPv4 en een thuisnetwerkje namelijk net zo goed, via routing of d.m.v. one-to-one NAT. En ken jij bedrijven die niet genoeg hebben aan een klasse A private range binnen hun LAN?

Enige werkelijke probleem dat IPv4 heeft is het aantal nog beschikbare publieke adressen. Mede dankzij de grote jongens die in de pubertijd van het internet massale IPv4 blokken hebben opgekocht voor een prikkie en het nu vertikken er afstand van te doen.

Misschien is het juist, vanuit beveiligingsperspectief, goed om niet alles een IP adres te gaan geven en grote jongens te dwingen ongebruikte blokken af te staan, dan kan IPv6 snel de prullenbak in; met in het achterhoofd een nieuw protocol dat wel van deze tijd is.

Je snapt echt het probleem niet .

Je denk dat netwerken alleen maar eilandjes zijn die of binnen zichzelf communiceren, of met "het Internet" .
En dat je dus hooguit 1x hoeft te NATten naar "het Internet" en dat binnen je eilandje er altijd een adres authoriteit is die de lokale adressering uniek kan maken.
Bedrijven nemen wel eens bedrijven over. Of splitsen dochters af. En richten joint-ventures op. En hebben connecties met leveranciers . En hebben soms erg autonome onderdelen.
Maar tussen al die entiteiten moet wel connectiviteit zijn - natuurlijk met allerlei wederzijdse firewalls ertussen om alleen toegang te geven die nodig is.

Dan ben je heel blij met (wereldwijd) unieke adressen - die hoeven helemaal niet publiek - als in internet announced - te zijn.
1:1 NAT is echt beperkt , en nog veel meer als je de spelletjes met verschillende DNS zones moet gaan spelen om het 'juiste' antwoord te geven .


Dat is precies wat IPv6 biedt, een grotere adresruimte .
Verder is deze quote een klok-klepel verhaal . "Verkocht voor een prikkie" is niet hoe adresuitgifte door de registries ging (of gaat) .


Oplossingen bedenken gaat beter als je het probleemlandschap snapt.

Volgens mij hebben we het dan niet over hetzelfde probleemlandschap.

Meer adressen gaan een versnipperde DNS en meervoudige NAT niet oplossen. Dat is een bestaand constructieprobleem. Wil je elk device een uniek adres gaan geven? Dat is alleen noodzakelijk voor systemen die connecties moeten accepteren of als je firewall rules per device wil aanmaken, niet voor groepen (thin) clients en mobile devices die ook achter een NAT met hun eigen autoriteit zitten. Als jouw DNS config en routes kloppen dan maakt het niet uit hoe ver het doelnetwerk verwijderd is.

Je hebt een punt dat het beheer met meer adressen gemakkelijker wordt bij het ontwerpen van nieuwe, grote netwerken.

Echter wat ik bedoel het volgende, door de constructie van IPv6 zul je straks het volgende gaan zien: fabrikanten van allerlei apparaten gaan de opties en onuitputtelijke voorraad van IPv6 misbruiken om hun apparaten massaal vanaf het internet toegankelijk te maken met de geïntegreerde IPSec functionaliteit uiteraard, waardoor beheerders alleen nog de keuze hebben alles doorlaten of volledig blokkeren. Een zeer onwenselijke en gevaarlijksituatie die min of meer los staat van de situatie die jij omschrijft.

Overigens als miljardenbedrijf M, miljoenenbedrijf X (inclusief een enorm blok ongebruikte IPv4 adressen) overneemt voor een bepaald bedrag, hoe kun je dat niet opkopen noemen dan..?

Volgens mij hebben we het dan niet over hetzelfde probleemlandschap.

Meer adressen gaan een versnipperde DNS en meervoudige NAT niet oplossen. Dat is een bestaand constructieprobleem. Wil je elk device een uniek adres gaan geven? Dat is alleen noodzakelijk voor systemen die connecties moeten accepteren of als je firewall rules per device wil aanmaken, niet voor groepen (thin) clients en mobile devices die ook achter een NAT met hun eigen autoriteit zitten. Als jouw DNS config en routes kloppen dan maakt het niet uit hoe ver het doelnetwerk verwijderd is.

Je hebt een punt dat het beheer met meer adressen gemakkelijker wordt bij het ontwerpen van nieuwe, grote netwerken.

Echter wat ik bedoel het volgende, door de constructie van IPv6 zul je straks het volgende gaan zien: fabrikanten van allerlei apparaten gaan de opties en onuitputtelijke voorraad van IPv6 misbruiken om hun apparaten massaal vanaf het internet toegankelijk te maken met de geïntegreerde IPSec functionaliteit uiteraard, waardoor beheerders alleen nog de keuze hebben alles doorlaten of volledig blokkeren. Een zeer onwenselijke en gevaarlijksituatie die min of meer los staat van de situatie die jij omschrijft.

Overigens als miljardenbedrijf M, miljoenenbedrijf X (inclusief een enorm blok ongebruikte IPv4 adressen) overneemt voor een bepaald bedrag, hoe kun je dat niet opkopen noemen dan..?

Wat je bereikt met voldoende (wereldwijd) unieke adressen is dat je netwerken kunt koppelen zonder NAT en DNS views - zonder dat de gekoppelde netwerken onder een enkele interne adres authoriteit hoeven te vallen.
Dat is een reeële situatie, en een reeël probleem waarvoor NAT/split DNS alleen in relatief simpele situaties een workaround zijn. Als het complexer wordt en geen van de partijen beheer/controle heeft in "het andere" domein is dat gewoon erg onwerkbaar .


Dat mag jammer zijn, "bereikbaar maken vanaf internet" is wat ze nu al met kludges doen die helaas relatief lastig te controleren zijn voor een home router/firewall .

Vanuit 'home device maker' perspectief is "internet connectiviteit vanachter een NAT router" echt een opgelost probleem.
Via UPNP , of anders STUN wordt de NAT mapping gemaakt en open gehouden .
Lelijk, niet helemaal foolproof, maar meer dan genoeg om de consument z'n cam te laten benaderen vanaf "overal" zonder massale klachten dat "het niet werkt" .

De reusachtige DDoS op krebsonline vanaf 'IOT' devices als camera's en recorders lijkt me afdoende illustratie , die dingen hangen echt niet massaal aan pure ongeNATte aansluitingen .

IPv6 gaat dat niet echt verslechteren - en ik hoop eigenlijk ietwat verbeteren omdat direct ongeNATte connecties beter inzichtelijk en firewall-baar zijn (ook voor home routers) dan de voodoo poorten die via UPNP/STUN open gezet worden.

Of de consument/ huis beheerder ook kiest om hierin voorzichtiger te zijn is misschien twijfelachtig, maar uiteindelijk zie ik er tenminste geen verslechtering in.


De "IPSec build in" van IPv6 is een erg dode feature . Ik weet dat het altijd genoemd wordt in de FAQs en netwerk boeken, maar het is nogal de dodo .
Tsja, en voor IPv4 gaat en kan van alles via HTTPS (ook niet-webverkeer ).


Je stelde dat de early adopters grote blokken voor een prikkie gekocht hadden.
De prefixen die GE, HP, MIT, Apple, Level3 (BBN, GTE, Genuity,nu L3) , IBM , HP (Dec -> Compaq -> HP) en bv Surfnet etc hebben zijn niet 'gekocht voor een prikkie' , maar überhaupt niet gekocht. -(De lidmaatschapskosten van een registry hebben geen relatie met het aantal adressen ).

Pas nu de adressen vrijwel op zijn is de situatie ontstaan waarbij partijen die adressen hebben ze (evt via een broker) kunnen verkopen aan een andere partij . Voordat adressen schaars waren hadden ze vrijwel geen (financiële) waarde voor de eigenaar en werden ze dus niet verhandeld .

IPv6 is de enige manier, nu bekend, om de toestroom van IP-apparaten te kunnen handhaven. De IPv4 address space is niet voldoende groot.

Simpele rekensom: We zijn met 7 miljard mensen. Er zijn maar ruim 4 miljard IPv4 adressen. Gemiddeld gebruikt de westerse / oosterse wereld 8-10 IP adressen per persoon. Dat is al 40 miljard adressen in gebruik. Met de komst van IoT wordt dit nog veel meer. Misschien wel 100 adressen per persoon.

Een SoHo router kan niet oneindig Nat'en. Gewoon geen capaciteit. Tevens gaan steeds meer apparaten internet connective vereisen. Dan ook nog het feit dat de helft van de wereld (in oppervlakte) maar 80% van de bevolking (in aantal) geen IPv4 adressen heeft....,

Kortom, ga je verdiepen in IPv6 en bereidt je voor. IPv6 is niet eng, het is gewoon net iets anders.

En voor de NAT club: waarom ben je dan niet gewoon op token ring gebleven? Werkte ook goed en is tegenwoordig super veilig.

Nou ik moet toegeven dat de pro IPv6 poster hierboven moeite doet en met goede argumenten over de brug komt. Als con IPv4 kun je daar ook wel weer een tegenargument op verzinnen. Misschien is IPv6 niet slecht maar zijn de fabrikanten slecht die het misbruiken op een manier zoals het niet bedoeld is, zoals ze nu met IPv4 / NAT & UPNP doen (gelukkig staat dit tegenwoordig standaard uit). Maar IPv6 lost dit niet op en geeft ze weer een nieuwe kans om door te blijven prutsen. Als je IPv6 accepteerd als beheerder werk je hier onbedoeld aan mee. Als iedereen het vertikt is er misschien nog een kans snel een opvolger goed te keuren die maatregelen aan boord heeft tegen fabrikanten die schijt hebben aan netwerkbeheer. Bij IPv4 en HTTPS valt veel beter te bepalen of dat niet overbodig is; een VoIP toestel hoeft niet via HTTPS vanaf je WAN beschikbaar te zijn, maar als de IPv6-IPSec ingezet gaat worden dan wordt het wel heel obscuur wat de apparatuur op je netwerk aan het uitvreten is. Samsung gaat hiervan smullen bijvoorbeeld.

De schaarste van IPv4 kun je als een nadeel zien, maar ook als een voordeel: men moet nu afwegen wat men wel en niet een publiek IP geeft. Bij IPv6 kan men helemaal door gaan schieten. LEGO blokjes, Barbie poppen, fietsenbanden, wc-rol houders, etc kunnen nu een eigen IP adres krijgen. Hoe ga je dit soort idiote praktijken met IPv6 voorkomen?

Steekhoudende argumenten. Echter moet je afstappen van het netwerk heeft alleen maar computers en servers idee. Er gaat van alles opkomen en het meerendeel zal je niet kunnen beheren. Ook die Samsung TV niet. Dat ie een IPSEC tunnel gebruikt is niet erg. Als ie maar niet gaat kletsen met andere apparaten op je netwerk en de verbinding alleen met Samsung is. Dus zal je je netwerk op gedrag moeten gaan bewaken. Ook de nieuwere encryptie en tunneling technieken staan ook niet meer toe dat er iets in het midden zit. Perfect tegen een MiTM, maar funest voor "meekijken". Dus een andere kijk op Security waarbij endpoint controle niet meer zaligmakend is. We staan aan de vooravond van grote veranderingen op de netwerken. Best wel leuk. Het was immers al een hele tijd hetzelfde.

Daar ben ik het niet mee eens. Als ik een apparaat koop dan moet dat apparaat in mijn dienst staan. Of dat nu een tv, thermostaat of een alarmsysteem is: ik bepaal welke informatie de deur uit gaat, want het is mijn apparaat. Je vergeet namelijk dat deze apparatuur allerlei sensoren bevat die informatie over jouw leven de deur uit sturen, vaak naar een waardeloos beveiligde cloud van een fabrikant. Een smart TV die je alleen voor HTTP buienradar gebruikt, hoeft niet met Samsung te babbelen tenzij jij een firmwareupdate goedkeurt.

Dat gedrag kun je dan namelijk niet meer bewaken. Jouw gezin kan b.v. door Samsung gefilmd worden en de data doorverkocht worden aan Facebook. Dus ook al praat je tv alleen met Samsung, toch blijft het ongewenst.

O ja... Stel je eens voor je heb van die apparaten in je bedrijfsnetwerk. Dat kunnen de ogen en oren en antennes zijn van een aanvaller, terwijl jij niets verdachts ziet omdat het apparaat alleen met de 'fabrikant' praat. Ondertussen leest het wachtwoorden, hoort het gebruikersnamen en probeert het via WiFi en Bluetooth in te breken door bv WPA handshakes naar huis te sturen om te brute forcen. En jij weet niet wat er allemaal over die VPN gaat...

Facepalm.

Volgende week: Auto's die niet op slot zitten worden in Amsterdam Osdorp veel sneller gestolen dan op de zuidpool, EN: Als je een feest geeft en je nodigt niemand uit, dan hoef je veel minder op te ruimen! Ik kan niet wachten op meer van deze fantastische onthullingen.

Er zit geen mens op native IPv6. Tuurlijk, een aantal sites werkt wel over IPv6 maar zolang je dual-stack moet draaien is IPv6 zinloos en daarom is het tot nu toe dus nog niks geworden. Dat is een open deur. Als je eeb beetje dom bent dan is het, in het verlengde daarvan, nuttig om security through obscurity op deze manier te propageren. Bullshit nieuws.