Sinds kort kunnen klanten van Keytrade over een ipv6-connectie zaken doen, naadloos, zonder problemen of opzien baren.

Ipv6 – alias Internet Protocol v. 6 – werd al sinds 1992 besproken (toen nog IP Next Generation) als opvolger van ipv4, de huidige standaard voor de adressering van systemen in het internet. De nieuwe versie zou een aantal problemen moeten oplossen, onder meer door betere securityvoorzieningen en een uitermate veel groter aantal adressen. In totaal kunnen immers 2128(*) adressen worden toegekend, wat ruim voldoende is om alle mogelijke toestellen van een adres te voorzien, en vervolgens nog alle waarneembare sterren in het heelal te bedienen (overigens zullen stukken van het 128-bit lange adres voor bijkomende functies worden aangewend, zodat het totaal aantal beschikbare adressen wel kleiner is). Maar ondanks de ondertussen eerbiedwaardige leeftijd van ipv6, is de verspreiding ervan in dagelijkse productieomgevingen nog steeds uitermate zeldzaam. Die geringe doorbraak heeft verschillende redenen, niet het minst omdat het grootste probleem – de uitputting van ipv4 adressen – zich pas nu, vele jaren later, ietwat acuut begint voor te doen (en dan nog overwegend in het Verre Oosten). Voorts blijft er ook een algemeen onbehagen dat ipv6 implementaties niet meteen makkelijk zijn, met heel wat mogelijkheden tot problemen.

Toch biedt Keytrade sinds begin april de mogelijkheid aan klanten om over ipv6 een connectie tot stand te brengen. “Om 9 uur zijn we ermee gestart, en om 9 u. 20 was er al een connectie,” herinnert Arnaud de Prelle, network & security engineer bij Keytrade zich dat moment, “geheel transparant voor de klant.” Een moment om trots op te zijn, maar ook met de vraag waarom Keytrade zo nodig de inspanning wou leveren?

Inspanning viel mee

Een en ander begon in 2008, wanneer Keytrade zijn ipv6 adresblok kenbaar maakte via het BGP (het protocol dat de link met de netwerken van andere internetleveranciers mogelijk maakt). Nadien werd met ipv6 verder gegaan, niet zozeer met het oog op een specifieke ‘return’, maar omdat het een behoorlijk makkelijk haalbare kaart bleek. “De investering was relatief laag,” aldus Didier Loomans, cio bij Keytrade. Immers, “we hebben zowel de ontwikkelings- als de infrastructuur in eigen huis, inclusief de ipv6 expertise.” Overigens werd niet alles naar ipv6 omgezet, wat de nodige inspanningen binnen de perken hield.

Het initiatief en de beslissing werden eertijds door het ict-departement genomen, nog door de voorganger van Didier Loomans. Geheel in een geest van innovatie stond Keytrade open voor ipv6, in tegenstelling tot het ‘ongeloof’ dat vaak remmend werkt in andere organisaties. “Bij Keytrade was er medewerking, in plaats van weerstand!” aldus de Prelle. Er werd wel wat gevreesd dat de businesskant van het bedrijf het waarom van de oefening niet zou inzien, want qua functionaliteit veranderde er immers niets. Toch werd ipv6 als een kernfunctionaliteit gezien, want Keytrade is nu eenmaal een online en innovatieve bank, die deze inspanning aan zijn eer verplicht was, klinkt het. Meer nog, mocht een andere online bank hen zijn voor geweest, zou Keytrade dat als een smaad hebben gezien. Een bijkomend voordeel was overigens de betere veiligheid door het ingebouwde ipsec (in tegenstelling tot ipv4 waar ipsec een extra is). En natuurlijk ontsnapt Keytrade zo aan de druk van een tekort aan adressen.

Inventaris als start

Er werd gestart met een inventaris van het aanwezige materiaal bij Keytrade, in functie van ipv6 ondersteuning. Ondanks de prille jeugd van het ict-materiaal, bleek daar toch nog heel wat non-ipv6 materiaal bij te zitten (zoals de load balancers, die een nieuwe oplossing vereisten). Gewoonlijk kon de opstap naar ipv6 wel worden gezet in het doorlopend proces van upgrades nodig door de groei bij Keytrade. De functionaliteit werd eenvoudigweg opgenomen als onderdeel van de rpf voor de nieuwe toestellen. Vaak betrof het overigens een softwareupgrade, zodat de investering goeddeels beperkt bleef tot de personeelskost. Die was veeleer in de ordegrootte van ‘persoonsweken’ te berekenen, en dat zonder een beroep te moeten doen op externen.

Natuurlijk waren er soms wel wat perikelen met de leveranciers (zoals voor beschikbaarheid van voldoende redundante oplossingen), maar ondertussen is een en ander wel verbeterd, aldus Loomans. Ook lopen een aantal internet service providers nog wat achterop wat betreft het leveren van ipv6 ‘native’ connecties.

En het gevaar van hardcoded ipv4 verwijzingen in toepassingen? Dat was niet zo erg, en als het zich voordeed, viel de oplossing wel mee. Immers, de meeste software werd toch in-huis ontwikkeld, waarbij het hielp dat het hele framework al klaar was voor ipv6. Overigens bleken de databases nog voor het meeste werk te zorgen. En voorts was het ook een kwestie van de ontwikkelaars meer bewust te maken van ipv6 en hen desgewenst op peil te brengen. “Ze denken allicht vaak dat het te ingewikkeld is, maar dat is niet het geval,” aldus Loomans.

Voorbije jaar

Het grootste deel van het werk werd in het voorbije jaar verricht, met als eerste stap het DNS die als eerste service live ging met ipv6 (met wat hulp voor de registrar, die zijn ipv6 compatibiliteit was verloren…). Naarmate het meerjarig project vorderde, werden ook de nodige bijkomende middelen voorzien.

Wat de performantie van het nieuwe ipv6 materiaal betrof, kon die wel niet met een zelfde diepgang worden gecheckt als voor ipv4, “maar het ipv6 verkeer is dan ook nog vrij beperkt. Het zal niet meteen explosief in omvang toenemen, wat ons nog wat tijd laat.” Wel werd alles ‘end to end’ getest, vooraleer de dienst open te stellen naar de klanten (en dat buiten de normale uren van handel, in casu in de periode dat de Aziatische beurzen actief zijn). Bij de introductie bleek alles te werken, want er was geen enkele klacht van een klant, aldus de Prelle. Vanzelfsprekend was er ook een ‘plan-B’, dat voorzag in een terugschroeven naar ipv4 op een paar minuten tijd. Het verkeer werd in de gaten gehouden om eventuele blokkeringen op te sporen en “er was een fall back voor de hele ketting.”

Toekomst

Met deze eerste verwezenlijking onder de riem, is het nu kijken naar toekomstige ipv6-toepassingen. “Als er mobiele betalingen vanaf smartphones worden gedaan, hebben die toestellen een ip-adres nodig, en dan is er nood aan ipv6,” aldus Loomans. De vlot beschikbare ipv6-adressen kunnen dan elk toestel een uniek adres bezorgen, wat een rol kan spelen in het detecteren van het misbruik van een account.

Kortom, resumeert Loomans het eerste ipv6-project bij Keytrade, “de grote les is dat alles behoorlijk positief uitviel, zonder grote obstakels. Het zou iedereen moeten motiveren om de overstap naar ipv6, zelfs gedeeltelijk, te zetten.”

Guy Kindermans

Keytrade is een online en innovatieve bank, die deze inspanning aan zijn eer verplicht was.