Blog
Tags:
AI-aanvallen houden van voorspelbare netwerken
De gevaarlijkste aanvaller is niet degene die je firewall sloopt.
Het is degene die hem in seconden vindt.
Dat is precies waarom IPv4 steeds ongemakkelijker wordt.
Veel organisaties draaien nog op IPv4 omdat het werkt. Of beter gezegd: omdat we het werkend hebben gehouden. Met NAT, PAT, subnetten, firewalls, policies, uitzonderingen en steeds meer slimme tussenlagen. Technisch knap. Praktisch begrijpelijk. Maar ook: complex, oud en voorspelbaar.
En voorspelbaarheid is precies waar moderne aanvallen van houden.
Zeker nu AI aanvallen sneller, slimmer en goedkoper maakt. Waar een menselijke aanvaller vroeger tijd nodig had om een netwerk te verkennen, kan AI razendsnel patronen herkennen, kwetsbaarheden combineren en aanvalspaden testen. Niet één keer. Niet handmatig. Maar continu, op schaal en met steeds betere timing.
In een IPv4-omgeving is die verkenning relatief overzichtelijk. De adresruimte is klein. Scannen is haalbaar. Segmenten zijn vaak herkenbaar. Apparaten, firewalls en services laten zich sneller vinden. En als een aanvaller eenmaal binnen is, wordt zijdelings bewegen een stuk aantrekkelijker.
IPv6 verandert dat speelveld fundamenteel.
Niet omdat IPv6 alles automatisch veilig maakt. Dat doet het niet. Slechte configuratie blijft slechte configuratie. Maar IPv6 heeft wel eigenschappen die het werk van een aanvaller veel lastiger maken. De adresruimte is gigantisch. Een netwerk volledig scannen is praktisch onhaalbaar. Ook voor AI. Quantumcomputers veranderen daar weinig aan, want sneller rekenen maakt het netwerk zelf niet onbeperkt sneller.
Daarmee verdwijnt een belangrijk voordeel van de aanvaller: snel overzicht krijgen.
Dat is cruciaal. Want moderne cyberaanvallen draaien niet alleen om binnenkomen. Ze draaien om vinden, begrijpen, bewegen en toeslaan. IPv6 maakt vooral die verkenningsfase zwaarder. Minder zichtbaar. Minder voorspelbaar. Minder scanbaar.
En dat is geen detail meer.
In een wereld waarin firewalls, VPN’s en security appliances zelf regelmatig doelwit zijn, wil je niet dat je infrastructuur zich makkelijk laat aanwijzen. Wat niet snel gevonden wordt, is niet automatisch veilig. Maar het ligt ook niet meer als gratis routekaart klaar.
IPv6 is daarom geen moderniseringsproject voor later.
Het is een verdedigingslaag die veel organisaties nu te lang negeren.
Waarom AI stukloopt op IPv6
Groter adresbereik: vooral heel veilig
IPv6 heeft niet gewoon “meer adressen”.
IPv6 heeft zóveel adressen dat het aanvalsspel fundamenteel verandert. Eén standaard IPv6-netwerk bevat al meer adressen dan het volledige wereldwijde IPv4-internet.
Laat dat even inzinken.
Het hele IPv4-internet is sneller te scannen dan één enkel IPv6-netwerk. Een standaard IPv4-netwerk scan je in minder dan een seconde. Het volledige IPv4-internet in ongeveer een minuut.
Bij IPv6 wordt dat een ander verhaal.
Een standaard IPv6-netwerk kost honderden jaren om volledig te scannen. Reken op ongeveer 584 jaar. Het hele IPv6-internet scannen duurt langer dan de leeftijd van het universum.
Daar kan geen AI-magie tegenop.
Een AI-aanval kan slimmer zoeken, sneller combineren en beter prioriteren. Maar hij kan geen 18 triljoen adressen even “proberen” zonder op te vallen. Voordat ook maar een fractie is geraakt, staan je detectiesystemen al te loeien en wordt de bron geblokkeerd.
Dat is het veiligheidsverschil.
IPv4 geeft aanvallers een kaart.
IPv6 geeft ze mist, afstand en tijdverlies.
En in cybersecurity is tijdverlies vaak precies wat je nodig hebt.
Waarom NAT geen veiligheidsstrategie is
“Maar Hugo, we hebben toch private addressing in IPv4? Dat is toch veilig?”
Ja. Een beetje.
Private addressing met NAT heeft IPv4 lang overeind gehouden. En eerlijk is eerlijk: het schermt interne adressen af voor de buitenwereld. Maar het is geen veiligheidsarchitectuur. Het is vooral een slimme noodoplossing die we zijn gaan behandelen alsof het een verdedigingslinie is.
Daar begint het gedoe.
Want zodra interne devices via NAT naar buiten mogen, kunnen ze na een succesvolle besmetting nog steeds verbinding maken met een command-and-controlserver. Dan hoeft een aanvaller niet meer naar binnen te breken. Het geïnfecteerde device belt zelf naar buiten. Daarna wordt het gebruikt als opstapje om verder je netwerk in te kruipen.
Met PAT wordt het nog rommeliger. Interne diensten kunnen via poortvertalingen alsnog direct bereikbaar worden vanaf internet. Eén vergeten regel. Eén oud apparaat. Eén verkeerd gepubliceerde beheerinterface. En je hebt weer een ingang cadeau gedaan.
IPv6 pakt dit principiëler aan.
Niet ieder apparaat hoeft een wereldwijd routeerbaar adres te hebben. IPv6 werkt met adres-scoping. Je bepaalt op welk niveau een adres geldig is. Global adressen zijn bereikbaar binnen het IPv6-internet. Site local adressen blijven binnen je eigen infrastructuur. Link-local adressen werken alleen op het lokale netwerksegment.
Dat is geen cosmetisch verschil. Dat is controle.
Een apparaat dat alleen lokaal hoeft te praten, geef je geen wereldwijde route. Een sensor, printer, controller, meetpunt of intern systeem hoeft niet zichtbaar te zijn voor het internet om zijn werk te doen. Dus maak je het ook niet zichtbaar.
Dat is belangrijker dan ooit.
Want elk extra device aan je netwerk is een extra mogelijke ingang. Niet omdat het apparaat “slecht” is. Maar omdat alles wat bereikbaar is, uiteindelijk getest wordt. Door mensen. Door scripts. Door AI.
IPv6 laat je veel scherper bepalen wie waar mag praten.
Niet achteraf dichttimmeren.
Vanaf het adres zelf begrenzen.
Wat malware niet ziet, kan het niet aanvallen
Een firewall hacken wordt vrijwel onmogelijk als je hem niet kunt vinden.
Dat is precies waar IPv6 interessant wordt. Netwerkapparatuur hoeft niet overal zichtbaar te zijn om gewoon zijn werk te doen. Routers en firewalls kunnen via link-local adressen verkeer afhandelen. Ze zijn dan alleen bereikbaar binnen het netwerksegment dat ze bedienen.
Niet vanaf internet.
Niet vanaf een ander netwerk.
Niet vanaf de laptop van iemand die net op een phishingmail heeft geklikt.
Dat laatste is belangrijk.
Want veel aanvallen beginnen niet bij je firewall. Ze beginnen bij een gebruiker. Een mail. Een bijlage. Een vergeten klik. Daarna probeert malware verder te kijken. Welke systemen reageren? Welke beheerinterfaces staan open? Welke netwerkapparatuur kan worden benaderd?
Met IPv6 kun je die route veel harder afsluiten.
Zelfs de koppeling met je internetprovider kan zo worden ingericht. Onze eigen externe firewall is op IPv6 vanaf internet niet zichtbaar en niet benaderbaar. Beheer loopt alleen via speciaal ingerichte beheernetwerken.
Wat niet gevonden wordt, wordt niet aangevallen.
Waarom dual stack niet veilig is
“Maar Hugo, als ik dual stack draai, vallen ze me toch gewoon via IPv4 aan?”
Precies.
Dat is ook het probleem.
Dual stack klinkt als een nette tussenfase. Je draait IPv4 en IPv6 naast elkaar op dezelfde devices, zodat de migratie rustig kan verlopen. Technisch comfortabel. Strategisch half werk.
Want zolang IPv4 actief blijft op alles wat ertoe doet, blijft je oude aanvalsoppervlak gewoon bestaan. Je hebt dan wel IPv6 toegevoegd, maar je hebt IPv4 niet uitgeschakeld. De deur die je wilde sluiten, staat nog steeds open. Alleen hangt er nu een moderner bordje naast.
Dat is geen veiligheidswinst. Dat is extra complexiteit.
Wie IPv6 serieus inzet als verdedigingslaag, moet dus niet eindeloos in dual stack blijven hangen. Er zijn migratiestrategieën waarbij je IPv4 op het grootste deel van je interne netwerk direct uit bedrijf neemt. Dan profiteer je vanaf het begin van de grotere adresruimte, betere adres-scoping en minder zichtbare netwerkapparatuur.
Met technieken als NAT64 en DNS64 blijven externe IPv4-diensten gewoon bereikbaar. Je interne netwerk praat IPv6. De vertaling gebeurt gecontroleerd aan de rand.
Ook je eigen bereikbaarheid vanaf het IPv4-internet kun je veilig regelen, zonder je hele interne netwerk aan IPv4 vast te ketenen.
Dual stack voelt als veilig migreren.
Maar als je het goed aanpakt, kun je die onveilige tussenfase overslaan.
Van IPv4-gedoe naar IPv6-regie
IPv6 migratie hoeft geen jarenproject te zijn.
En ook geen technische survivaltocht waarbij je maandenlang met dual stack, uitzonderingen en halve oplossingen blijft zitten.
Met de juiste strategie kun je snel over. Zonder verstoring. Zonder onnodige complexiteit. En vooral: met directe veiligheidswinst.
Wij zijn zelf al acht jaar over. Niet omdat het hip was, maar omdat het beter werkt. Veiliger. Overzichtelijker. Simpeler te beheren.
Wil je weten hoe dat er voor jouw omgeving uitziet?
Maak een vrijblijvende afspraak met mij. Dan kijken we samen naar een praktische roadmap voor jouw IPv6 migratie.
Zonder gedoe. Direct veiliger.