Hallo Herr Strebler, On Mon, 11 Aug 2003 11:01:57 +0000 (UTC) [EMAIL PROTECTED] (Reinhard Strebler) wrote: > Hat eine Menge Mehr an Sicherheit gebracht. Allerdings nur Sicherheit
Gleiches l�sst sich m.E. aber mit entsprechenden Filtern f�r die globalen Adressen auch erreichen. Das Einzige was NAPT tats�chlich leistet, ist das Verbergen der _Kommunikationsbeziehungen_ von Endhosts auf einer Seite. Daf�r braucht man ein Application Level Gateway mit allen Nachteilen (s. RFC 2775). Wer das meint wirklich zu brauchen ist selber schuld, schlie�lich gibt's ja auch noch RFC 3041. Um die Endhosts gegen Angriffe von au�en zu sch�tzen kann man auch normale Filter einsetzen, s.u. > gegen "Welt", nicht Sicherheit gegen "innen". Da die Masse der > Angriffe Das ist in der Tat ein Problem: zentrale FW= harte Schale, weicher Kern. Die Verseuchung kann ja auch von innen per E-Mail oder Laptop kommen. Inzwischen geht anscheinend der Trend eher zur verteilten Firewall, die zwar zentral administriert wird, aber wenigstens jeden Host f�r sich sch�tzt (s.a. http://www.ietf.org/ietf/03mar/defcon.txt). > und Eindringversuche (Code Red, Slammer, Stacheldraht, ...) immer von > aussen kam, hat die "Verbergetaktik" sehr gute Erfolge gebracht. Die Hosts kann man auch hinter einem "normalen" Filter f�r globale Adressen "verbergen", d.h. ich lasse nur externen Verkehr zu registrierten Web-Servern zu etc. > �berwiegend haben wir damit nur die Sicherheitsl�cher in Endsystemen > zugedeckt - akademisch war das nicht. Wenn alle Appelle nichts > nutzen.... Ja, das f�hrt in der Tat dazu, per default relativ viel zu filtern und damit einen Verlust an Diensten, Konnektivit�t und Flexibilit�t. > Ich ging bisher davon aus, dass bei IPv6 private Adressen analog zu > IPv4 nicht kommen (eigener offizielle Adressspace). Site-Local und > Link-Local bieten hier zusammen mit Router-Features (Filter, > route-maps) alle Site-Local-Adressen sind inzwischen und aus guten Gr�nden unerw�nscht... > M�glichkeiten. Ob wir bei IPv6 wieder NAT-Funktionen anbieten werden > ist noch nicht entschieden. Ganz wesentlich h�ngt die Anwort hier ^^^^^^^^^^^^^^^^^^^^^^^^^^ Oje, bitte nicht! NAT f�r IPv6 ist m.E. Irrsinn und wirklich _nicht_ notwendig, da der einzige wirkliche Einsatzgrund f�r NAT Adressraummangel ist. Sicherheit l�sst sich anders besser erzielen und ist einfach ein technisch falsches Argument (aus RFC 2775, sec 3.4): "Note that private address space is sometimes asserted to be a security feature, based on the notion that outside knowledge of internal addresses might help intruders. This is a false argument, since it is trivial to hide addresses by suitable access control lists, even if they are globally unique - indeed that is a basic feature of a filtering router, the simplest form of firewall. A system with a hidden address is just as private as a system with a private address. There is of course no possible point in hiding the addresses of servers to which outside access is required." > davon ab, > welche Filterm�glichkeiten die im Massenbetrieb eingesetzten Router > haben werden. Naja, nach Pr�fixen und Ports sollten die meisten Router schon filtern k�nnen, oder? Beste Gr��e, Roland Bless -- Roland Bless -- e-Mail: [EMAIL PROTECTED] WWW: http://www.tm.uka.de/~bless Institut f�r Telematik, Universit�t Karlsruhe (TH), Germany Zirkel 2, D-76128 Karlsruhe -- Geb. 20.20, 3.OG, Raum 358 Tel.: +49 721 608-6413 Fax: +49 721 388097 _______________________________________________ ipv6 mailing list [EMAIL PROTECTED] http://listserv.uni-muenster.de/mailman/listinfo/ipv6
