IPv6
TechnologieInternet Protocol versie 6. IPv6 maakt communicatie van data tussen ICT-systemen binnen een netwerk, zoals Internet, mogelijk. De standaard bepaalt dat ieder ICT-systeem binnen het netwerk een uniek nummer (IPv6-adres zoals 2002:4aab:3490:0000:0000:b93f:0481:2289) heeft. Hierdoor kunnen ICT-systemen elkaar herkennen en onderling data uitwisselen. IPv6 heeft een veel grotere hoeveelheid beschikbare IP-adressen ten opzichte van de voorganger IPv4. Dit maakt verdere groei en innovatie van het Internet mogelijk. IPv4 wordt nog steeds meer gebruikt dan IPv6.
IPv6 (Internet Protocol versie 6) is de opvolger van IPv4 en biedt een vrijwel onuitputtelijke adresruimte van 340 undeciljoen unieke adressen, tegenover de slechts 4,3 miljard adressen van IPv4 die al jarenlang volledig uitgeput zijn. IPv6 is in de jaren negentig ontwikkeld om het groeiende adrestekort structureel op te lossen en bevat verbeterde functies voor security, routering en automatische netwerkconfiguratie. Voor cybersecurity brengt de transitie naar IPv6 zowel kansen als risico's met zich mee die actief beheerd moeten worden. De uitgebreide adresruimte maakt traditionele netwerkscans lastiger voor aanvallers, maar de complexiteit van dual-stack omgevingen waar IPv4 en IPv6 naast elkaar draaien, creëert nieuwe aanvalsoppervlakken die veel organisaties onderschatten. Volgens het NCSC vereist IPv6 specifieke aandacht in het beveiligingsbeleid van elke organisatie die de transitie maakt of waar IPv6 al ongemerkt actief is op het netwerk.
Hoe werkt IPv6?
IPv6 gebruikt 128-bits adressen in plaats van de 32-bits adressen van IPv4, weergegeven als acht groepen van vier hexadecimale tekens gescheiden door dubbele punten, bijvoorbeeld 2001:0db8:85a3:0000:0000:8a2e:0370:7334. Deze adresnotatie is complexer dan de bekende decimale IPv4-notatie zoals 192.168.1.1, maar biedt een adresruimte die groot genoeg is om elk apparaat op aarde meerdere eigen unieke adressen te geven zonder de noodzaak voor Network Address Translation (NAT) die bij IPv4 standaard wordt gebruikt om het chronische adrestekort op te vangen en meerdere apparaten achter een enkel publiek adres te verbergen.
IPv6 bevat ingebouwde ondersteuning voor IPsec, het protocol voor het versleutelen en authenticeren van netwerkverkeer op de netwerklaag. Waar IPsec bij IPv4 een optionele toevoeging is die apart geconfigureerd moet worden, was het oorspronkelijk bedoeld als verplicht onderdeel van elke IPv6-implementatie. In de praktijk is IPsec-ondersteuning in IPv6-implementaties aanwezig maar niet standaard geactiveerd, wat betekent dat organisaties het bewust moeten configureren en inschakelen om van de beveiligingsvoordelen te profiteren die het protocol biedt.
Stateless Address Autoconfiguration (SLAAC) is een belangrijke functie van IPv6 waarmee apparaten automatisch een geldig IPv6-adres genereren zonder dat een DHCP-server nodig is. Het apparaat combineert het netwerkprefix dat de router adverteert met een zelfgegenereerd host-deel, vaak gebaseerd op het MAC-adres van de netwerkkaart. Dit vereenvoudigt netwerkbeheer aanzienlijk maar heeft security-implicaties: zonder aanvullende maatregelen kan elk apparaat zichzelf een adres toekennen en op het netwerk verschijnen, wat ongeautoriseerde toegang mogelijk maakt als er geen Network Access Control is geïmplementeerd die nieuwe apparaten valideert voordat ze daadwerkelijke netwerktoegang krijgen.
Wanneer heb je IPv6 nodig?
De transitie naar IPv6 is geen vraag van of maar van wanneer voor elke organisatie. De IPv4-adresruimte is al jaren volledig uitgeput en nieuwe IPv4-adressen zijn alleen beschikbaar via dure secundaire markten of steeds complexere NAT-constructies die extra latentie, beheerlast en troubleshooting-complexiteit toevoegen aan het netwerkbeheer. Grote cloudproviders, content delivery networks en mobiele netwerken ondersteunen IPv6 al volledig, en steeds meer internetdiensten vereisen IPv6-connectiviteit voor optimale prestaties en volledige bereikbaarheid.
In Nederland ligt de IPv6-adoptie achter bij andere Europese landen, hoewel er verbetering zichtbaar is. Volgens metingen van Google gebruikt ongeveer een derde van de Nederlandse internetgebruikers IPv6, wat lager is dan landen als België, Duitsland en Frankrijk. SIDN, de beheerder van het .nl-domein, benadrukt dat de transitie naar IPv6 een kantelpunt heeft bereikt en dat organisaties die de overstap blijven uitstellen steeds meer risico lopen op connectiviteitsproblemen en hogere beheerkosten door het in stand houden van verouderde IPv4-workarounds die steeds moeilijker en duurder te onderhouden zijn.
Voor organisaties met IoT-apparaten is IPv6 bijzonder relevant omdat elk apparaat een eigen specifiek adres kan krijgen zonder NAT. Dit vereenvoudigt de communicatie en het beheer van grote aantallen apparaten aanzienlijk, maar vergroot ook het aanvalsoppervlak omdat elk apparaat direct vanaf internet bereikbaar kan zijn als de firewall niet correct is geconfigureerd. Een doordachte IPv6-implementatie met strikte firewallregels en segmentatie is daarom essentieel voor IoT-omgevingen waar honderden tot duizenden apparaten op het netwerk aanwezig zijn en communiceren.
Voordelen en beperkingen van IPv6
Het grootste voordeel van IPv6 is de enorme adresruimte die NAT overbodig maakt voor adresbesparing. Zonder NAT is echte end-to-end connectiviteit mogelijk, wat peer-to-peer applicaties, VoIP, videoconferencing en IoT-communicatie vereenvoudigt en verbetert. De ingebouwde IPsec-ondersteuning biedt een solide basis voor netwerkbeveiliging op protocolniveau, en de vereenvoudigde header-structuur van IPv6-pakketten maakt routering efficiënter wat de netwerkprestaties ten goede komt bij grote hoeveelheden verkeer.
De grootste beperking is de complexiteit van de transitiefase waarin de meeste organisaties zich op dit moment nog bevinden. Dual-stack omgevingen waarin IPv4 en IPv6 naast elkaar draaien, hebben een groter aanvalsoppervlak dan pure IPv4- of IPv6-netwerken. De NSA waarschuwt expliciet dat dual-stack netwerken extra beveiligingsrisico's met zich meebrengen omdat aanvallers het minder goed beveiligde protocol kunnen exploiteren als de organisatie haar security-maatregelen niet consistent en gelijkwaardig op beide protocollen toepast. Veel security-tools, firewalls en monitoringsystemen zijn historisch ontwikkeld voor IPv4 en bieden nog geen volledige of gelijkwaardige IPv6-ondersteuning.
Een bijkomend risico is dat IPv6 vaak al actief is op apparaten en besturingssystemen zonder dat de IT-afdeling dit weet of bewust heeft ingeschakeld. Moderne besturingssystemen zoals Windows, macOS en Linux schakelen IPv6 standaard in, wat betekent dat apparaten IPv6-verkeer kunnen genereren en ontvangen zelfs als de organisatie nog geen officiële IPv6-implementatie heeft uitgerold. Dit onbeheerde IPv6-verkeer kan buiten de bestaande security-monitoring vallen en een gevaarlijke blinde vlek creëren die aanvallers kunnen exploiteren om verkeer te routeren buiten het zicht van de beveiligingstools die alleen IPv4-verkeer monitoren en analyseren.
Veelgestelde vragen over IPv6
Is IPv6 veiliger dan IPv4?
IPv6 heeft ingebouwde ondersteuning voor IPsec, wat een beveiligingsvoordeel biedt ten opzichte van IPv4 waar IPsec optioneel is, maar IPv6 is niet inherent veiliger. De veiligheid hangt af van de configuratie en implementatie. Slecht geconfigureerd IPv6 kan juist onveiliger zijn dan goed geconfigureerd IPv4, vooral in dual-stack omgevingen waar het minder bekende protocol onvoldoende aandacht krijgt.
Moet ik IPv6 uitschakelen als ik het niet actief gebruik?
Nee, het uitschakelen van IPv6 wordt door het NCSC en andere autoriteiten afgeraden omdat steeds meer diensten en protocollen IPv6 vereisen voor optimale werking. In plaats van uitschakelen is het beter om IPv6 bewust te configureren en te beveiligen met dezelfde zorgvuldigheid als IPv4, inclusief firewallregels, monitoring en logging voor al het IPv6-verkeer.
Wat zijn de beveiligingsrisico's van dual-stack netwerken?
Dual-stack netwerken draaien IPv4 en IPv6 gelijktijdig, wat het totale aanvalsoppervlak vergroot. Aanvallers kunnen het protocol exploiteren dat minder goed beveiligd is. Veel security-tools monitoren alleen IPv4-verkeer, waardoor IPv6-gebaseerde aanvallen onopgemerkt kunnen blijven. De NSA adviseert om beide protocollen altijd consistent en gelijkwaardig te beveiligen.
Hoe ver is Nederland met de IPv6-transitie?
Nederland loopt achter bij buurlanden. Ongeveer een derde van de Nederlandse internetgebruikers bereikt Google via IPv6 volgens recente metingen van Google. SIDN stimuleert de adoptie actief en biedt ondersteuning aan organisaties. Grote Nederlandse providers en cloudleveranciers ondersteunen IPv6 volledig, maar veel bedrijfsnetwerken zijn nog niet gemigreerd naar het nieuwe protocol.
Heeft IPv6 impact op mijn complianceverplichtingen?
Ja, dat heeft het zeker. Als IPv6-verkeer actief is op je netwerk maar niet wordt gemonitord of beveiligd, kan dit een compliance-risico vormen onder NIS2 en de AVG. Je bent verantwoordelijk voor de beveiliging van alle netwerkverkeer, ongeacht het protocol. Zorg dat je security-monitoring, logging en firewallregels ook IPv6-verkeer volledig afdekken.
Beveilig je netwerk bij de IPv6-transitie. Vergelijk Firewalls & WAF aanbieders op IBgidsNL.