image

Europol wil einde aan Carrier Grade NAT bij internetproviders

dinsdag 17 oktober 2017, 12:11 door Redactie, 45 reacties

Europol wil dat er een einde komt aan het gebruik van Carrier Grade NAT (CGN) door internet- en telecomproviders, omdat dit de opsporing van criminelen hindert. Via deze technologie delen meerdere abonnees één ip-adres. Volgens Europol kunnen soms duizenden abonnees zo één ip-adres delen.

Daardoor is het technisch onmogelijk geworden voor internetproviders om aan gerechtelijke bevelen te voldoen om individuele abonnees te identificeren, zo stelt de Europese politiedienst. Die waarschuwt dat dit ervoor kan zorgen dat onschuldige personen ten onrechte worden onderzocht omdat ze hun ip-adres met anderen delen. Ook zou dit de privacy in gevaar brengen omdat het de autoriteiten dwingt om meer personen te onderzoeken dan anders nodig was geweest.

Europol heeft zich eerder dit jaar al tegen Carrier Grade NAT uitgesproken en bracht het onderwerp vorige week opnieuw bij Europese beleidsmakers onder de aandacht, waaronder EU-voorzitter Estland. Volgens Europol zal Estland de problemen met CGN een prioriteit maken en met de commissie voor operationele samenwerking en binnenlandse veiligheid bespreken.

"CGN-technologie heeft voor een serieus gat gezorgd in de online mogelijkheden van opsporingsdiensten om misdrijven te onderzoeken en toe te kennen. Het is met name alarmerend dat individuen die via mobiele telefoons verbinding met internet maken om criminele activiteiten te faciliteren niet kunnen worden geïdentificeerd omdat 90 procent van de mobiele internetproviders een technologie heeft uitgerold waardoor ze niet aan de gerechtelijke verplichtingen kunnen voldoen om individuele abonnees te identificeren", aldus Europol-directeur Rob Wainwright, die blij is dat Estland binnen de EU naar een oplossing voor het probleem zoekt.

Reacties (45)
17-10-2017, 12:16 door Anoniem
Goh, dat ik het toch nog eens met die jongens eens zou zijn...
Maar CGN is inderdaad een hinderlijk stukje, vooral als je behalve van huis naar internet ook nog terug wilt komen ;)
17-10-2017, 12:25 door MathFox
Europol, levert U de Nederlandse telco's een klasse A netwerk aan IP adressen? En ook een paar handenvol aan Duitsland, Frankrijk, ... ?
17-10-2017, 12:28 door Anoniem
Maar de IPv4 adressen zijn op. Snapt Europol dit probleem niet?

Anders gezegd: Er zijn te weinig IPv4 adressen voor iedereen in het hele 'Europol' gebied. Als je ze ergens weghaalt, zijn er elders weer tekort.

Dit probleem leidde tot de ontwikkeling van IPv6 in de jaren negentig, maar is kennelijk nog niet algemeen bekend bij deze organisatie.
17-10-2017, 12:29 door Anoniem
Zou me niets verbazen als hun interceptie-methonden ook geen IPv6 snappen ...
17-10-2017, 12:47 door Anoniem
Door MathFox: Europol, levert U de Nederlandse telco's een klasse A netwerk aan IP adressen? En ook een paar handenvol aan Duitsland, Frankrijk, ... ?

Dat hoeft helemaal niet, we hebben al lang en breed IPV6 ;)
Carrier Grade NAT is juist ontstaan omdat al die providers het verdommen om fatsoenlijk IPV6 te implementeren.

Ziggo is in NL de grootste misbruiker in deze
17-10-2017, 12:51 door Anoniem
Leuk broodje aap verhaal. Want binnen de netwerken is er wel degelijk de mogelijkheid om te loggen middels meerdere taps en via Netflow. Puur een kwestie van geld uitgeven. Dus de kosten voor het aftapbaar maken met behoud van IP adres proberen de providers op deze manier neer te leggen bij de overheid.

Verder lijkt het er meer op dat hun big data analysis bemoeilijkt wordt doordat ze de originele IP adressen niet meer zien. Dat is waarschijnlijk de werkelijke reden. Wederom weer een onzinverhaal omdat echte criminelen eenvoudig middels VPN structuren hun verkeer ergens in het buitenland het internet op flikkeren zodat ze ontraceerbaar zijn. Het overgrote deel van de communicatie (99,99999%) die men monitored heeft niets te maken met criminaliteit. Dus staat het monitoren daarvan in geen verhouding tot de problematiek. Los van het feit dat het ook niet ervoor zal zorgen dat communicatie van criminelen die ook maar 2 seconden hebben nagedacht niet via eenvoudige verkeersanalyse op ip adressen te volgen zijn.

Lijkt erop dat de burger weer flink voorgelogen wordt....
17-10-2017, 12:57 door Anoniem
Criminelen werken hoogst waarschijnlijk via een VPN dus Carrier Grade NAT verbieden heeft geen enkele zin. En zoals MathFox al zegt: de IP adressen zijn schaars.
17-10-2017, 13:07 door Anoniem
Ze moeten bij Europol niet zoveel zeuren.
17-10-2017, 13:09 door Anoniem
Door CGN valt dus het hele sleepnet in duigen. Goed om te horen.
17-10-2017, 13:11 door Anoniem
Tja, het sleept niet zo handig, eigenlijk zou iedereen een fixed IPv4 adres moeten hebben en een fixed prefix voor IPv6.

Kijk, dan kan je pas echt gaan slepen.
17-10-2017, 13:15 door Anoniem
Door Anoniem: Maar de IPv4 adressen zijn op. Snapt Europol dit probleem niet?

Anders gezegd: Er zijn te weinig IPv4 adressen voor iedereen in het hele 'Europol' gebied. Als je ze ergens weghaalt, zijn er elders weer tekort.

Dit probleem leidde tot de ontwikkeling van IPv6 in de jaren negentig, maar is kennelijk nog niet algemeen bekend bij deze organisatie.

Anders gezegd: providers zijn te laks met de uitrol van IPv6 geweest. En Europa heeft ze er niet op gewezen dat ze hun taak hebben verzuimd...
17-10-2017, 13:31 door Anoniem
Door Anoniem: Leuk broodje aap verhaal. Want binnen de netwerken is er wel degelijk de mogelijkheid om te loggen middels meerdere taps en via Netflow. Puur een kwestie van geld uitgeven. Dus de kosten voor het aftapbaar maken met behoud van IP adres proberen de providers op deze manier neer te leggen bij de overheid.

Verder lijkt het er meer op dat hun big data analysis bemoeilijkt wordt doordat ze de originele IP adressen niet meer zien. Dat is waarschijnlijk de werkelijke reden. Wederom weer een onzinverhaal omdat echte criminelen eenvoudig middels VPN structuren hun verkeer ergens in het buitenland het internet op flikkeren zodat ze ontraceerbaar zijn. Het overgrote deel van de communicatie (99,99999%) die men monitored heeft niets te maken met criminaliteit. Dus staat het monitoren daarvan in geen verhouding tot de problematiek. Los van het feit dat het ook niet ervoor zal zorgen dat communicatie van criminelen die ook maar 2 seconden hebben nagedacht niet via eenvoudige verkeersanalyse op ip adressen te volgen zijn.

Lijkt erop dat de burger weer flink voorgelogen wordt....
Dat klopt wat je zegt. Wanneer logging wordt ingesteld valt het probleem inderdaad weg.
De reden waarom de Providers Carrier Grade NAT inzetten is vanwege het IPv4-tekort.
Dus een verbod dat Europol wil is vrij zinloos.
17-10-2017, 13:51 door Anoniem
Door Anoniem: Carrier Grade NAT is juist ontstaan omdat al die providers het verdommen om fatsoenlijk IPV6 te implementeren.
Het is ook niet echt lekker te implementeren. Wat dat betreft is IPv6 gewoon een onding. Leuk geprobeerd, maar het is het gewoon net niet. Dat zie je ook aan dat het al zo'n 20 jaar oud is en niemand het blieft. Nouja, wat rare geeks ergens.

Het helpt natuurlijk ook niet dat veel mensen NAT als "beveiliging" gingen zien, wat het niet is, en zich valselijk wel lekker veilig voelen achter dat scherm (van papier).

Door Anoniem: Leuk broodje aap verhaal. Want binnen de netwerken is er wel degelijk de mogelijkheid om te loggen middels meerdere taps en via Netflow. Puur een kwestie van geld uitgeven. Dus de kosten voor het aftapbaar maken met behoud van IP adres proberen de providers op deze manier neer te leggen bij de overheid.
Daar zijn in Nederland al regels over, al een hele tijd zelfs. Alle providers hebben een voorgeschreven aantal "zwarte dozen" waar ze geen controle over hebben in hun netwerk, maar waar ze wel voor mogen betalen. Maar CGNAT is een extra stap, een extra reden voor iemand om te zeggen "ik was het niet, dus het moet wel iemand anders zijn geweest", het kost medewerking van de provider, en er gaat informatie verloren voor de buitenkant dus aangiften zijn ook gelijk een stuk vager. En het is ook een reden om bijvoorbeeld te roepen om dataretentie maar weer in te voeren, zodat europol achteraf kan kijken wie het dan wel geweest is, daar achter dat CGNAT. Dat is nou niet echt munitie die ik europol wil geven.

Door Anoniem: Anders gezegd: providers zijn te laks met de uitrol van IPv6 geweest. En Europa heeft ze er niet op gewezen dat ze hun taak hebben verzuimd...
"Het werkt toch?"
17-10-2017, 14:00 door Anoniem
Door Anoniem: Tja, het sleept niet zo handig, eigenlijk zou iedereen een fixed IPv4 adres moeten hebben en een fixed prefix voor IPv6. Kijk, dan kan je pas echt gaan slepen.

De meeste apparaten gebruiken als lokaal deel van het IPv6-adres (de laatste 64 bits) een adres dat rechtstreeks is afgeleid van het hardware-adres. Dit stuk van het adres blijf je dan gebruiken ook al 'verhuis' je naar een ander netwerk. Kortom: je kan zo over de hele wereld gevolgd worden. Handig voor Google en (andere) inlichtingendiensten.
17-10-2017, 14:01 door Anoniem
Door Anoniem: Leuk broodje aap verhaal. Want binnen de netwerken is er wel degelijk de mogelijkheid om te loggen middels meerdere taps en via Netflow. Puur een kwestie van geld uitgeven. Dus de kosten voor het aftapbaar maken met behoud van IP adres proberen de providers op deze manier neer te leggen bij de overheid.

Geen broodje aap waarschijnlijk.

Als je zoektocht begint met het externe IP (op een gehackte server, van een foute uploader e.d.) en het is CGN dan kan de ISP er niet altijd een unieke aansluiting / NAW aan koppelen als justitie aanklopt .

Om daar iets aan te doen moet het standaard worden om naast IP en timestamp ook de source port van de connectie te loggen (in webserver, firewall etc logs).
Als de CGN logs compleet zijn is daarmee wel de aansluiting uniek te herleiden.

Andersom - als je een taplast voor een bepaalde aansluiting op NAW aanlevert zal CGN het probleem niet zijn.

Waarom vind je het eigenlijk normaal dat de ISPs moeten opdraaien voor werk dat de overheid vraagt ?
17-10-2017, 14:02 door Anoniem
"Ook zou dit de privacy in gevaar brengen omdat het de autoriteiten dwingt om meer personen te onderzoeken dan anders nodig was geweest."

Maar in Nederland moeten we vooral niet miepen over de sleepnet wetgeving?

Heerlijk om te zien hoe de Europese spindoctoren zo pro-privacy zijn ;)
Als we VPN en/of TOR gebruiken zijn we ook weer lastig.

In het gelinkte eerdere artikel uit februari stond ook de toevoeging:
"en voor een uitgebreidere Europese bewaarplicht pleit"

Dus schermen met onze privacy wordt lekker selectief toegepast.
Sorry, ik vind het gewoon fearmongering!
Privacy van alle end-users wordt juist versterkt door CGN, helaas dat criminelen dat ook snappen.
Tja... De echte grote jongens vang je toch niet via 'surface web'! Hooguit wat laaghangend fruit.
Is het wel zo goed als instanties (incl. brein?) heel doelgericht kunnen bepalen welke eindgebruiker stout is geweest...
17-10-2017, 14:11 door Anoniem
ipv6 schijnt onveilig te zijn
europol wil daarom graag dat alle gebruikers overstappen naar ipv6
om misbruik van criminelen maar voorsl ook europol en nlpol te voorkomen blijven gebruikers mogelijk veel liever op ipv4 zitten
europol heeft al jarenlang de oorlog aan de burger verklaard, encryptie zit europol ook in de weg, en privacy, en ipv4 en ....
17-10-2017, 15:13 door Anoniem
Ik maak me wel een beetje zorgen over Europol.

Google kan mijn device al traceren, NSA kreeg zelfs data uit firmware van harddisks. Alle grote verhalen dat ze "altijd" mee kunnen kijken.

Nu Europol heeft al moeite als een telecomprovider 1x nat toepast?
17-10-2017, 15:14 door Anoniem
Door Anoniem: Door CGN valt dus het hele sleepnet in duigen. Goed om te horen.
Nee, maar als anderen op internet iets gedaan hebben, loop je nogal het risico dat ze jou ook gaan doorlichten als je toevallig hetzelfde IP-adres had.
17-10-2017, 15:30 door Anoniem
Door Anoniem: ipv6 schijnt onveilig te zijn

Uit eigen onderzoek, napraten of heb je een bron?
17-10-2017, 16:05 door Anoniem
Ongelooflijk dat in het artikel (behalve de comments) het begrip IPV6 niet voorkomt.
17-10-2017, 16:11 door Anoniem
Europol heeft nog nooit over IPv6 gehoord zekers ?
17-10-2017, 16:13 door Anoniem
Tsjein, mijne baas heeft altijd gezegd: "NAT is geen security-maatregel". Europol vind blijkbaar van wel.
17-10-2017, 16:15 door Anoniem
Ik hoor ze allang afkomen: binnenkort zegt Europa: IPv4 buiten en alle overheidsinstanties en bedrijven verplicht (!) overstappen naar IPv6, net zoals ze al jaren doen in USA. Misschien dat we dan eindelijk terug mee zijn met de rest van de wereld :-)
17-10-2017, 16:34 door Anoniem
IPv6 is een investering (in aanpassingen en nieuwe spullen) en alles van iedereen loggen kost bakken met database.
Ik zie de abonnementsverhogingen al weer komen...
Nogmaals: de burgers betalen om te kunnen worden gemonitord.
17-10-2017, 16:44 door Anoniem
Door Anoniem:
Door Anoniem: Tja, het sleept niet zo handig, eigenlijk zou iedereen een fixed IPv4 adres moeten hebben en een fixed prefix voor IPv6. Kijk, dan kan je pas echt gaan slepen.

De meeste apparaten gebruiken als lokaal deel van het IPv6-adres (de laatste 64 bits) een adres dat rechtstreeks is afgeleid van het hardware-adres. Dit stuk van het adres blijf je dan gebruiken ook al 'verhuis' je naar een ander netwerk. Kortom: je kan zo over de hele wereld gevolgd worden. Handig voor Google en (andere) inlichtingendiensten.

Dat is wel een vaak gehanteerde methode maar absoluut niet noodzakelijk. Je kan dat prima zelf configureren.
17-10-2017, 16:47 door Anoniem
Door Anoniem: IPv6 is een investering (in aanpassingen en nieuwe spullen) en alles van iedereen loggen kost bakken met database.
Ik zie de abonnementsverhogingen al weer komen...
Nogmaals: de burgers betalen om te kunnen worden gemonitord.

Als je nu nog apparatuur hebt staan die geen IPv6 aan kan moet je je toch eens afvragen of die nog wel veilig is, daar krijg je namelijk al 15 jaar geen updates meer voor.
17-10-2017, 19:10 door Anoniem
Door Anoniem: Want binnen de netwerken is er wel degelijk de mogelijkheid om te loggen middels meerdere taps en via Netflow. Puur een kwestie van geld uitgeven.
Het is ook een kwestie van afwegen. Het kan goedkoper zijn om van CGNat af te stappen als de politie daarmee geholpen is.

Verder lijkt het er meer op dat hun big data analysis bemoeilijkt wordt doordat ze de originele IP adressen niet meer zien. Dat is waarschijnlijk de werkelijke reden. Wederom weer een onzinverhaal omdat echte criminelen eenvoudig middels VPN structuren hun verkeer ergens in het buitenland het internet op flikkeren zodat ze ontraceerbaar zijn.
Stoppen met CGNat is niet gelijk aan gebruik van static adressen. De politie ziet zonder CGNat dan ook niet de originele IP adressen. Dat echte criminelen vpn zouden gebruiken is eerder een fabeltje. Een crimineel is in beginsel al niet slim bezig door crimineel te doen. Die gebruiken dus waarschijnlijk makkelijk naar middelen waar ze minder van hoeven te snappen of ze echt veilig zijn of ze zijn niet voorzichtig. Gelegenheid maakt de dief, niet het verstand.
17-10-2017, 20:28 door johanw
Door Anoniem: Door CGN valt dus het hele sleepnet in duigen. Goed om te horen.
Nog een argument tegen IPv6.
18-10-2017, 07:49 door Anoniem
En zoals gebruikelijk hobbelt de Roverheid achter de techniek aan en probeert prima werkende oplossingen de nek om te draaien omdat het hen niet past. Leven nog steeds in de tijd dat men denkt dat je met een IP address iemand kunt identificeren.
18-10-2017, 09:15 door spatieman
niet zeuren, Europol heeft enkel haar broek op het verzoek van de NSA laten zakken.
de data honger van de NSA is niet te stillen.
18-10-2017, 09:18 door Anoniem
Door Anoniem:

Het overgrote deel van de communicatie (99,99999%) die men monitored heeft niets te maken met criminaliteit.

Benieuwd naar waar jij deze cijfers vandaan haalt.
18-10-2017, 09:30 door Anoniem
IPv6 is een investering (in aanpassingen en nieuwe spullen) en alles van iedereen loggen kost bakken met database.

Wat dacht je van investeringen in kennis ? De meeste netwerk componenten zijn al lang en breed IPv6 ready ;)
18-10-2017, 09:32 door Anoniem
Nu Europol heeft al moeite als een telecomprovider 1x nat toepast?

Hangt er vanaf of die provider wel/geen logging beschikbaar heeft op basis waarvan je kan bepalen wie op welk moment welk NAT ip gebruikte. Vrij logisch, is het niet ?
18-10-2017, 10:52 door Anoniem
Door Anoniem:
Het is ook niet echt lekker te implementeren. Wat dat betreft is IPv6 gewoon een onding. Leuk geprobeerd, maar het is het gewoon net niet. Dat zie je ook aan dat het al zo'n 20 jaar oud is en niemand het blieft. Nouja, wat rare geeks ergens.
Vreem dat mensen nog steeds dat beeld hebben. Als je als ISP IPv6 aanzet voor je eindgebruikers is in 1x meer dan de helft van het verkeer IPv6. Da's ok niet zo gek... de grote contentproviders doen allemaal IPv6. Facebook, youtube, netflix, apple, akamai ...
18-10-2017, 11:33 door Anoniem
Bron, waarbij wel degelijk over IPv6 wordt gesproken:

https://www.europol.europa.eu/newsroom/news/are-you-sharing-same-ip-address-criminal-law-enforcement-call-for-end-of-carrier-grade-nat-cgn-to-increase-accountability-online
18-10-2017, 15:15 door Anoniem
Door Anoniem:
Door Anoniem:
Het is ook niet echt lekker te implementeren. Wat dat betreft is IPv6 gewoon een onding. Leuk geprobeerd, maar het is het gewoon net niet. Dat zie je ook aan dat het al zo'n 20 jaar oud is en niemand het blieft. Nouja, wat rare geeks ergens.
Vreem dat mensen nog steeds dat beeld hebben. Als je als ISP IPv6 aanzet voor je eindgebruikers is in 1x meer dan de helft van het verkeer IPv6. Da's ok niet zo gek... de grote contentproviders doen allemaal IPv6. Facebook, youtube, netflix, apple, akamai ...

github en fastly nog niet :(
18-10-2017, 17:45 door Anoniem
Het lijkt mij het handigst wanneer iedere Europeaan alleen nog het WWW op kan via een abonnement bij Europol, dan haal je de rotte appels er al snel uit en als je niets hebt te verbergen...
18-10-2017, 20:49 door Anoniem
CGN is nu eenmaal de meest logische keuze: je hebt maar weinig IPv4 adressen nodig, port forwarding heb je bij mobieltjes niet nodig en het grote voordeel is dat je geen IPv6 hoeft te gebruiken, wat een inherent onveilig gedrocht van een mislukt protocol is (en overigens maatregelen aan boord heeft om DPI te verhinderen, wat zowel de providers als europol niet leuk gaan vinden). Er is niet alleen geen zinvol alternatief, een IP adres is ook geen betrouwbaar identificatiemiddel. Zelfs bij Ziggo kun je elke week een ander adres hebben als je dat wil; met het risico dat jij een adres krijgt waar anderen iets mee uitvraten en jij doelwit wordt van een organisatie die denkt de persoon achter het malafide (DHCP) adres te pakken te hebben.

Men moet eens uit de bureaustoel klimmen en het probleem bij de bron aanpakken ipv telkens maar goed doordachte IT te willen manipuleren om er een automatische-boevenvang-machine van te maken. Internet is daar niet voor ontworpen, net zoals het niet is ontworpen om geld te beheren en bejaarden te verzorgen.

Oplossing: darkfibers naar elk huishouden voor specifieke dienstverlening (1. zorg & financiën & overheid, 2. lan-of-things & commercie 3. reserve) en niemand heeft nog internet nodig / beschikbaar. Laat Facebook het project betalen en als het ligt, hun fiber blokkeren omdat alleen Facebook nog gebruikt kan worden door criminelen. Of zeer hoge belasting heffen op de Facebook fiber waardoor je visvijver een stuk kleiner wordt en normale mensen weer met elkaar gaan praten.
18-10-2017, 22:50 door Anoniem
Door Anoniem:
Door Anoniem:
Het is ook niet echt lekker te implementeren. Wat dat betreft is IPv6 gewoon een onding. Leuk geprobeerd, maar het is het gewoon net niet. Dat zie je ook aan dat het al zo'n 20 jaar oud is en niemand het blieft. Nouja, wat rare geeks ergens.
Vreem dat mensen nog steeds dat beeld hebben. Als je als ISP IPv6 aanzet voor je eindgebruikers is in 1x meer dan de helft van het verkeer IPv6. Da's ok niet zo gek... de grote contentproviders doen allemaal IPv6. Facebook, youtube, netflix, apple, akamai ...
Dat kan wel zijn, maar "aanzetten" en "implementeren" zijn niet hetzelfde. "Als het allemaal werkt dan zie je ook IPv6 verkeer" is dus ook niet echt een argument tegen "het werkend krijgen is nog geen sinecure".

IPv4 heeft een heel hoog "we weten hoe we dit aanzwengelen"-gehalte. IPv6 heeft dat niet, maar heeft wel een hoop last van het "second system effect"[1] en zelfs het een en ander aan "creationism"[2].

[1] http://catb.org/jargon/html/S/second-system-effect.html
[2] http://catb.org/jargon/html/C/creationism.html


Door Anoniem: CGN is nu eenmaal de meest logische keuze: je hebt maar weinig IPv4 adressen nodig, port forwarding heb je bij mobieltjes niet nodig [...]
Dit is wel de crux van heel CGNAT (als het even kan afkortingen niet nog een keer afkorten): Je kan je klantjes niet alleen per algemene voorwaarden verbieden servertjes te draaien. Als ze achter CGNAT zitten, kun je het ineens ook per techniek zonder allerlei poortblokkades waar klanten over gaan klagen. Er zit dus een element van "consumerisering" in.

Natuurlijk als eerste op mobiele netwerken want het "internet" dat je daar krijgt is toch al een half web-only internet.org-wangedrocht. Maar ondertussen ook al op vaste internetverbindingen, nog niet zoveel hier maar wel veel in Oost Europa bijvoorbeeld.

Men moet eens uit de bureaustoel klimmen en het probleem bij de bron aanpakken ipv telkens maar goed doordachte IT te willen manipuleren om er een automatische-boevenvang-machine van te maken. Internet is daar niet voor ontworpen, net zoals het niet is ontworpen om geld te beheren en bejaarden te verzorgen.
Mee eens. Modulo dat ik niet denk dat het echt allemaal zo doordacht is.

Oplossing: darkfibers naar elk huishouden voor specifieke dienstverlening (1. zorg & financiën & overheid, 2. lan-of-things & commercie 3. reserve) en niemand heeft nog internet nodig / beschikbaar.
Wie had je gedacht is het met je eens dat dat een goed idee is?

[...] en normale mensen weer met elkaar gaan praten.
Die beslissing moeten ze toch zelf nemen.
19-10-2017, 02:46 door Anoniem
Door Anoniem:
Door Anoniem: ipv6 schijnt onveilig te zijn

Uit eigen onderzoek, napraten of heb je een bron?
Waarom wil Europol ons aan de IPv6 eigenlijk hebben kan je jezelf afvragen.Als je hun corebusiness ziet dan snap jij toch ook wel dat IPv6 veel onveiliger is. De wikipedia zegt het volgende:
https://nl.wikipedia.org/wiki/Internet_Protocol_versie_6
Naast een groot adresbereik kent IPv6 nog een aantal verbeteringen:

- Betere routing en netwerk-autoconfiguratie.
- Overbodig maken van NAT.
- Gegevensbeveiliging op IP-niveau.
- Ondersteuning van mobiele nodes.

Zover ik het dus begrijp is dat je ip adres bij IPV6 dus publieke key wordt en dat ze dan alleen nog een private key nodig hebben.
NAT is niet meer nodig bij IPV6 dus verzoek tot toegang... dan hoeft daar Europol dan ook niet meer de systeembeheerder voor uit zijn bed te bellen. Dit is dan ook bij de IPV6 wet vastgelegd en vergemakkelijkt het datagraaien.
De voordeeltjes betere routing en ondersteuning mobiele nodes zal dan wel weer betrekking hebben op de implementering van snuffel tooltjes.

Kortom IPV6 uitschakelen.
Ik vind het al verdacht als die partijen dergelijke verzoeken uitten.
19-10-2017, 10:39 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Het is ook niet echt lekker te implementeren. Wat dat betreft is IPv6 gewoon een onding. Leuk geprobeerd, maar het is het gewoon net niet. Dat zie je ook aan dat het al zo'n 20 jaar oud is en niemand het blieft. Nouja, wat rare geeks ergens.
Vreem dat mensen nog steeds dat beeld hebben. Als je als ISP IPv6 aanzet voor je eindgebruikers is in 1x meer dan de helft van het verkeer IPv6. Da's ok niet zo gek... de grote contentproviders doen allemaal IPv6. Facebook, youtube, netflix, apple, akamai ...
Dat kan wel zijn, maar "aanzetten" en "implementeren" zijn niet hetzelfde. "Als het allemaal werkt dan zie je ook IPv6 verkeer" is dus ook niet echt een argument tegen "het werkend krijgen is nog geen sinecure".
(andere anoniem hier)

Nee, maar je mag van ISPs, fabrikanten van netwerkapparatuur en zo verwachten dat ze "wat rare geeks ergens" in dienst hebben en dit gewoon kunnen. Heel veel van wat ze doen is geen sinecure, en dat is geen excuus, wie high-tech produkten of diensten aanbiedt moet wat hij aanbiedt aankunnen. Voor consumenten moet het een kwestie van aanzetten zijn (of zelfs dat niet), voor de aanbieders mag je de lat wel degelijk hoog leggen.

Dat het noodzakelijk wordt om op een gegeven moment IPv6 te ondersteunen is al vele, vele jaren duidelijk. Dat de een daar eerder mee klaar is dan de ander is geen verrassing, maar dat bijvoorbeeld een reus als Ziggo nog steeds niet zo ver is dat het aan alle klanten standaard wordt geleverd terwijl er providers zijn die het al jaren voor elkaar hebben vind ik eigenlijk vrij schokkend.
20-10-2017, 20:28 door marcod
Door Anoniem:
Het is ook niet echt lekker te implementeren. Wat dat betreft is IPv6 gewoon een onding. Leuk geprobeerd, maar het is het gewoon net niet. Dat zie je ook aan dat het al zo'n 20 jaar oud is en niemand het blieft. Nouja, wat rare geeks ergens.

Daarin kon je je nog wel eens lelijk vergissen. IPv6 is prima te implementeren (met wat goede wil) en daarvan bestaan genoeg bewijzen. Vrijwel alle Google diensten, inclusief Youtube, zijn beschikbaar via IPv6, maar ook NetFlix, Facebook, Wikipedia, LinkedIn, Tweakers, tal van overheidssites zoals Digid, Rabobank, CNN, AD.nl, Volkskrant, NOS, Dumpert, RTLnieuws, Instagram en ga zo maar door. Wereldwijd heeft meer dan 20% van de mensen de beschikking over een IPv6 verbinding (bron: Google, APNIC en worldipv6launch.org) in België is dit zelfs meer dan 50%, een percentage dat in 2018 ook in de VS bereikt zal worden. T-Mobile USA en Verizon Wireless USA zitten op ongeveer 90% adoptiegraad bijvoorbeeld. In Nederland blijven we achter, maar groeit het gestaag. Uiteraard met XS4ALL als koploper.

Niks rare geeks dus ;-)
20-10-2017, 20:50 door marcod
Door Anoniem:
Zover ik het dus begrijp...

Hier wringt hem de schoen; je lijkt er juist heel weinig van begrepen te hebben. Je zoekt er veel te veel bij. Waar zal ik beginnen? Een IPv6 adres is gewoon een IP-adres, net als IPv4, maar dan uit een adresseringsschema met veeeeeel meer adresruimte. Maak het dus vooral niet moeilijker dan dat.

NAT is feitelijk bij IPv4 ook niet nodig, oorspronkelijk deden we dan ook geen NAT. Totdat bleek dat er eigenlijk veel te weinig IPv4 adressen zijn. NAT is geen security-feature, zoals verderop ook wordt betoogd. Voor de beveiliging hebben we firewalls.

Lang verhaal kort; IPv6 aanzetten dus. Het Internet is er dringend aan toe. En het Europol-argument, wat je daar ook van mag vinden, doet daar niets aan af.
20-10-2017, 20:53 door marcod
Door Anoniem:
De meeste apparaten gebruiken als lokaal deel van het IPv6-adres (de laatste 64 bits) een adres dat rechtstreeks is afgeleid van het hardware-adres. Dit stuk van het adres blijf je dan gebruiken ook al 'verhuis' je naar een ander netwerk. Kortom: je kan zo over de hele wereld gevolgd worden. Handig voor Google en (andere) inlichtingendiensten.

Is allang wat op bedacht: IPv6 privacy extensions. Werkt als een tierelier!

https://tools.ietf.org/html/rfc4941
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.