RIPE NCC bezemt laatste IPv4-gruis bij elkaar

Providers kunnen nu alleen nog op de markt terecht

Deze maanden worden daadwerkelijk de allerlaatste IPv4-adressen uitgedeeld door RIPE NCC, de Regional Internet Registry (RIR) voor groot Europa en West-Azië. Wie denkt daar nu nog een account te kunnen openen in de hoop op een laatste IPv4-blok komt echter bedrogen uit. Tegen de tijd dat je aanvraag is afgerond, zijn de laatste blokken al vergeven. Vanaf nu moet je voor IPv4-adressen met een goedgevulde portemonnee naar de markt.

De laatste /22 blokken (bestaande uit 1.024 adressen) uit het laatste reguliere 185.0.0.0/8 blok werden begin oktober uitgedeeld. Nieuwe leden (Local Internet Registries, LIR's) krijgen nu adressen toegewezen die RIPE NCC eerder heeft teruggekregen (uit de Recovered pool). Die toekenningen hoeven echter niet langer meer een reeks van 1.024 aaneengesloten adressen (een enkel /22 blok) te zijn, maar kunnen ook bestaan uit meerdere /23 (512 adressen) en/of /24 blokken (256 adressen), wat extra routeringscapaciteit vraagt. Zijn die adressen ook op – naar verwachting nog dit najaar – dan is er alleen nog maar de wachtlijst, waarop teruggekomen adresreeksen na een quarantaineperiode van 6 maanden per 256 stuks worden uitgedeeld.

IPv4-gruis

Op de laatste RIPE NCC Days sprak Anje Roosjen, Internet Resource Analyst bij RIPE NCC, over de consequenties van het opraken van de IPv4-adressen, de zogenaamde run-out. Waar wij stellen dat de IPv4-adressen allang op zijn – CGNAT en andere lapmiddelen leveren voor eindgebruikers immers geen volwaardige internetverbinding op – blijkt uit haar verhaal dat de IPv4-adressen eigenlijk nooit echt helemaal op zullen zijn. Wat RIPE NCC naast de hierboven genoemde adres-pool nog in bezit heeft bestaat uit gereserveerde adressen, adressen die tijdelijk kunnen worden toegekend voor onderzoeken en experimenten, adressen voor Internet exchanges (IXP's), en "IPv4-gruis" (losse adresblokken kleiner dan /24). Naar het zich laat aanzien zullen al deze adressen voor IXP's vrijgemaakt worden, waarmee de exchanges nog ongeveer 10 jaar vooruit kunnen. Voor internetproviders is het inmiddels te laat om via RIPE NCC nog een blok van 1.024 adressen te bemachtigen, zelfs niet meer bestaande uit losse /23 en /24 blokken.

LIR-accounts

Het afgelopen jaar steeg het aantal LIR-accounts van 20 naar 25 duizend, juist omdat men daarmee recht kreeg op een laatste /22 blok. Volgens onderzoeker Rene Wilhelm was het laatste /12 blok waar RIPE NCC in september 2012 (al onder restricties) aan begon de aanleiding voor een sterke groei in het aantal nieuwe accounts.

RIPE-LIRs-20191110

In de jaren daarna nam ook het aantal accounts dat ophield te bestaan (de rode balken) sterk toe. Volgens Wilhelm heeft dat alles te maken met LIR's die meerdere accounts openden om maar in aanmerking te komen voor een /22 toewijzing. Na 2 jaar (de holding period) mochten zij deze blokken overdragen naar hun primaire LIR-account of naar een andere LIR. Om dit tegen te gaan was het vanaf november 2015 niet meer toegestaan om extra LIR-accounts te openen, waarna men natuurlijk aparte juridische entiteiten ging opzetten om toch aan die IPv4-adressen te komen. Omdat RIPE NCC hiermee het zicht op zijn klanten verloor, heeft deze beperking niet lang geduurd: in mei 2016 was het weer mogelijk om als LIR meerdere accounts te openen. De huidige 25 duizend accounts zijn dan ook in het bezit van een kleine 20 duizend klanten. De grootste daarvan heeft maar liefst 70 accounts.

Daling LIR-accounts

Nu de gekte rondom de laatste /22 blokken voorbij is, verwacht Wilhelm dat het aantal LIR-accounts de komende tijd sterk afneemt. Het afgelopen jaar zijn ongeveer 1.500 accounts gesloten – het grootste deel daarvan omdat bedrijven stopten of samengingen met andere. Maar een kwart van deze accounts was van LIR's die daarnaast nog andere accounts aanhielden. Na het verstrijken van de holding period consolideren zij hun adresblokken op hun primaire account. Om een idee te geven van de kosten van een account: vóór 2019 bedroeg het lidmaatschap van RIPE NCC € 1.400,- per jaar, met daarbij € 2.000,- voor de inschrijving. RIPE NCC verwacht dan ook dat de ruim 5.200 secundaire LIR-accounts zo snel mogelijk opgezegd worden. Eind 2021 mogen de laatste hun IPv4-adresblokken overdragen. Tezamen met een natuurlijk verloop van 1.000 accounts per jaar kom je dan op 7.200 opzeggingen. Haal je de nieuwe aanwas daar weer van af, dan is het waarschijnlijk dat RIPE NCC over 2 jaar 4.500 minder accounts heeft dan nu.

Groei IPv4-transacties

Naast de eerdere groei en de verwachte daling in het klantenbestand heeft de IPv4 rush ook gevolgen voor het aantal transacties en de kwaliteit ervan. Roosjens vertelt hoe er een markt voor de handel in IPv4-adresblokken is ontstaan nu RIPE NCC zijn leden wat dat betreft niet meer kan bedienen. Vanaf 2012 werden transfers van adresblokken naar andere LIR-accounts toegestaan, omdat RIPE NCC anders het zicht op de eigenaar kwijt zou raken. Wel is er de holding period voor schaarse assets: IPv4-adressen en 16-bits AS nummers. In de grafiek hieronder kun je zien hoe het aantal IPv4-transacties de afgelopen jaren sterk is gegroeid.

RIPE-Kiev2019-IPv4transfers-screenshot

Verdachte en betwiste transfers

Daarnaast is ook het aantal onderzoeken naar verdachte of betwiste transfers gestegen. De schaarste maakt dat meer mensen proberen om IPv4-blokken buiten de procedures om proberen te bemachtigen, of deze ronduit proberen te stelen. Dat kan bijvoorbeeld door documenten te vervalsen, door blokken te kapen van houders die hun systemen niet goed beveiligd hebben, of door oude blokken die al lang niet gebruikt zijn in te pikken. Dat resulteert vooral in disputen over transfers door mensen die daartoe niet geautoriseerd waren of regelrechte oplichting. Volgens Roosjens gaat het nu om een paar honderd onderzoeken per jaar, maar krijgt alles bij elkaar minder dan één procent van de leden hiermee te maken. De consequenties voor de LIR zijn meestal een al-dan-niet-officiële waarschuwing. Een royement is zeldzaam; tot nu toe gaat het dit jaar om een dozijn gevallen. Net als voor domeinnaamhouders geldt dus dat LIR's hun accounts en databases veilig moeten houden, en dat ze voorzichtig moeten zijn met sponsorships. Roosjens raadt hen aan zich hiervoor te laten leiden door de Know Your Customer (KYC)-principes zoals die in de bankwereld gebruikt worden.

RIPE-Kiev2019-IPv4investigations-screenshot

Op!

Wie nu nog een account bij RIPE NCC denkt te openen om zo nog een laatste IPv4-adresblok te bemachtigen, is daarvoor te laat. Tegen de tijd dat je aanvraag is afgerond zijn de laatste /22 blokken al vergeven. Van deze adresreeksen bestaande uit kleinere blokken waren er begin oktober nog ongeveer één miljoen beschikbaar. Maar met de huidige aanwas van 5.000 nieuwe accounts per jaar, die allemaal aanspraak kunnen maken op 1.024 adressen, is een miljoen zo op. De verwachting is de allerlaatste (gefragmenteerde) adresreeksen eind dit jaar worden toegekend. De wachtlijst lijkt een relatief dure en langdurige route te worden. Dit jaar komt naar verwachting het equivalent van ruim tweeduizend /24 blokken terug naar RIPE NCC. Deze worden dus 6 maanden in quarantaine gehouden en daarna per 256 stuks (samengesteld waar nodig) toegekend aan nieuwe accounts. Je kunt het leeglopen van RIPE NCC's pool van beschikbare IPv4-adressen hier volgen.

RIPE-IPv4 address pool-20191110

IPv4-markt

Niet voor niets verwijst Roosjens internetproviders die meer IPv4-adressen nodig hebben naar de markt. Prijzen daar liggen nu rond de 25 dollar per adres. Maar zelfs als je bereid bent een paar tientjes per adres te betalen, zal het nieuwkomers op de markt niet zomaar meer lukken om grootschalige diensten op IPv4 te introduceren. Eerder betoogden we al dat die marktbelemmering ten koste gaat van ons innovatieklimaat.

RIPE-Kiev2019-IPv4paradigm-screenshot

Roosjens hamert er dan ook op om, terwijl we de laatste IPv4-kruimels bij elkaar vegen, sterk in te zetten op IPv6. Zorgwekkend daarbij is dat volgens Wilhelm de meeste nieuwe LIR's ook een IPv6-blok afnemen, maar dat uit metingen blijkt dat daar in de praktijk maar weinig mee gedaan wordt.

Reacties

  • maandag 23 april 2018

    Over SIDN

    SIDN voor de collegezaal

    Thumb-college

    Cristian Hesselman doceert Security services for the Internet of Things

    Lees meer
  • maandag 29 januari 2018

    Over SIDN

    SIDN host CENTR Marketing Meeting in Leiden

    CENTR-logo

    Kennisuitwisseling tussen de leden

    Lees meer
  • vrijdag 21 december 2018

    .nl-domeinnaam

    ICANN en de WHOIS: gaat de admin-c verdwijnen?

    ICANN

    Eén tijdige, wereldomvattende oplossing is wenselijk

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.