Stockholm Waterfront 25-26 november 2019

Myndigheter ignorerar IPv6 – snart är läget akut

Ingen kan ha undgått att den sista IPv4-adressen snart  har delats ut. Vi har levt med adressbristen  i 15 år men när det händer blir bristen akut istället för bara den plåga den är idag. Det finns mycket att läsa på  ipv6formum.se och ipv6actnow.org. Douglas Adams beskriver i ”Liftarens Guide till Galaxen” den billigaste och effektivaste metoden att göra något osynligt; Det är att bestämma sig för att det är ”Någon Annans Problem” eller NAP om man förkortar. Detta är ett synsätt som skrämmande väl stämmer in på den offentliga sektorns sätt att se på adressbristen på Internet. ”Det är inte vårt problem – om vi struntar i det försvinner det nog!”

Den enda långsiktigt vettiga lösningen idag heter IPv6, en teknik som funnits i många år men som få börjat använda. Vi funderade lite på hur väl förberedda den offentliga sektorn är inför IPv6? Vi pratade  med en person som jobbar med IT-upphandlingar och denne kände inte till någon enda upphandling  som krävt stöd för IPv6 under de senaste åren. Varför är det så kan man undra över. En förklaring är att Kammarkollegiet, som sköter upphandlingar åt offentliga sektorn idag,  inte har färdigställt sina upphandlingskrav då SOU 2009:86  E-delegationens ”Strategi för myndigheternas arbete med e-förvaltning” fortfarande är ute på remiss. Förhoppningsvis, men långt ifrån säkert, kommer denna utredning att tydligt peka på behovet av IPv6 och andra tekniker som ett baskrav för ett framtida stabilt och tillgängligt Internet i även framtiden!

Låt dem inte komma undan med några vaga löften till hösten!

Vi har några förslag till den offentliga sektorn som jag vill att de tar till sig för att inte bli tagna på sängen den dagen då det Internet vi är van vid förändras drastiskt: Kräv IPv6 av din Internetleverantör. Enligt en undersökning i oktober 2009 klarar bara 15 procent av Internetleverantörer i Sverige av att leverera IPv6. De som inte kan det ska diskvalificeras vid en upphandling med automatik och ni som kund måste sätta press på dem genom att kräva att de aktiverar IPv6 direkt vid installation. Låt dem inte komma undan med vaga löften om ”till hösten”! Klarar de inte IPv6 nu har de inget på marknaden att göra!

Det finns även de som uppger sig kunna leverera IPv6, men när man hårdgranskar dem är det tydligen inte så enkelt som de lovar! Så kräv referenser inom samma anslutningstyp och geografiskt område som ert eget innan några avtal skrivs under. Ett bra exempel är Telia som tog ungefär fyra månader på sig från beställning till leverans av IPv6. De kan heller inte leverera native IPv6 utan bara tunnlad…

Se till att all utrustning och operativsystem stödjer IPv6. Exempel på externa system som ska stödja IPv6:

Brandvägg

  • Många  ledande leverantörer av brandväggar har support för IPv6. Om ni sitter på långa avtal med brandvägg(ar) som bara stödjer IPv4 – köp en till och placera den bredvid den gamla och kör all IPv6 i den. Ni kommer inte att behöva samma omfattande regelverk eller prestanda i en separat brandvägg om den bara gör IPv6! För 10000 kronor får ni en som ni kan komma igång och lära med!

Webbservrar

  • De flesta på marknaden förekommande system har inga problem att konfigurera IPv6. Börja gärna med webben som första tjänst! Google har under ett antal år testat IPv6 genom att ha sin vanliga söktjänst tillgänglig över IPv6 fast på en annan adress. Så kan även ett företag göra. Det ger minimal inverkan på den befintliga driftmiljön men möjlighet att testa och lära sig det nya protokollet.
    E-postsystem
Många kör idag någon sorts form av ”tvätt” av e-post för antispam och antivirus innan meddelandena släpps in i de interna systemen. Kräv att alla e-postservrar som tar emot era meddelanden från andra även skaacceptera IPv6 för inkommande och utgående e-post.

Operativsystem

  • Tro’t eller ej; Microsoft är en klart lysande stjärna när det gäller stöd för IPv6 och ligger klart före de fria operativsystemen som är baserade runt Linux och BSD. Framförallt är Windows Vista och Windows 7 utmärkta exempel på system med fullt IPv6-stöd men även gamla Windows XP tar sig fram relativt bra! Här kan det vara ide att IT-avdelningen börjar testa och själva använda IPv6 så de hinner skaffa erfarenhet inför en bredare utrullning!

DNS

  • För att kunna visa resten av Internet att de kan nå era tjänster via IPv6  behöver givetvis er DNS peka ut vilka tjänster som har IPv6-adresser. Men även DNS-servrarna i sig själva bör vara nåbara över IPv6! Om ni har DNS-servrar hos er ISP eller på annat håll – hör med dem om de är redo och fundera över att anlita någon som är om inte!

Utbilda er

Utbildningssteget som krävs att få igång IPv6 är enligt min åsikt kort. Kan man sin IPv4 är det enkelt att komma igång med IPv6! Samla gärna ihop personal från flera kommuner eller de myndigheter ni samarbetar med och hyr in någon erfaren tekniker och kör praktiska workshops så ni blir lite varma i kläderna innan ni lägger stora pengar på utbildning. Utbildning fungerar alltid bäst om man har viss förkunskap!

Annan infrastruktur som behöver uppmärksamhet

DNSSEC

  • Det är givetvis så att vi fokuserar på IPv6 då det är ett av våra huvudintressen. Det finns dock flera väldigt viktiga områden  där det offentliga skulle kunna gå före! Ett av dem är en säkrare infrastruktur för DNS som allmänt kallas DNSSEC. För ett par år sedan visade en forskare hur enkelt det var att styra om den som ville till en viss webbplats eller e-postserver till en annan illasinnad. Idag har uppgraderingar gjort det lite svårare men det är fortfarande möjligt. Med DNSSEC hos DNS-operatörer, företag och ISP:er så skulle detta hål täppas igen. Även här har standarden funnits med ett tag men införandet gått trögt.

E-legitimation

På E-legitimationer återstår också viktiga beslut. Den modell som funnits i Sverige ett antal år lider av flera brister. Här är det viktigt att krav ställs på att systemet ska vara;

  • baserad på öppna standarder,
  • ge ett fullgott skydd av den personliga integriteten,
  • teknikneutralt,
  • tillgängligt för aktörer i alla delar av samhället.

Även rollerna som registerförare och utgivare av legitimation bör förtydligas och särskiljas. Dagens system lider också av att endast privatpersoner kan identifiera sig. Bolag, myndigheter och föreningar bör givetvis också gå att identifiera! Här är det viktigt att staten öppnar sina register på ett sätt som både öppnar möjligheter men också skyddar integriteten

Kör jag redan IPv6?
Moderna operativsystem har IPv6 aktiverat som standard. Det betyder att ni kanske kör IPv6 redan utan att veta om det. Testa mot test.ipv6.tk så ser ni om ni gör det eller inte! Resultatet kan variera med samma dator om ni sitter på jobbet eller hemma beroende på brandväggar och annat.

Slutsats?
Sidorna kommunermedipv6.se och myndighetermedipv6.se visar att det är mycket litet som händer – tyvärr. Det måste till ett krav ”uppifrån” för att det offentliga skall prioritera detta inom sin IT-verksamhet. Samtidigt är det inte några monumentala uppgifter! Det handlar om arbetsdagar per myndighet och inte ett antal manår.