Hi! > >Wenn Du in einem Hosting-Umfeld Servern IPs gibt, moechtest > >Du verhindern, dass der Kunde, weil er root auf seiner Maschine > >hat, sich mal die IP des Nachbarn als Alias greift.
> Wie verhinderst Du so etwas unter IPv4? Noch ist das Problem bei uns im v4 Umfeld nicht akut. Die Maschinen betreuen wir selbst... Das wird sich sicher aendern, daher... > >Dazu kannst Du auf Switch-Ebene mit VLANs usw arbeiten, aber das > >reicht nicht (so meine theoretische Denke, an der Praxis fehlt's noch). > Naja, wie Du nun die Rechner aus der gleichen Broadcast-Domain heraus > nimmst oder wie Du genau filterst, ist Jacke wie Hose. Hmm, es laeuft aber darauf hinaus, dass im Housing managed switche und die entsprechenden Portkosten anfallen. Sigh. > >Switch, festgebrannte ether/Port-Maps. Dann: Zwei Server, jeder > >mit /128 fuer sich selbst und /64 fuer virtuelle Server auf > >der Maschine. > Warum die /128? Welchen Sinn macht die? Damit auf dem Router fuer das Webether nicht zig Aliase eingetragen werden muessen. > >Ergebnis: Wenn nicht statisch geroutet, koennte ein Rechner > >jetzt per RA sagen: Das /64 oder eine more-significant-route des > >Nachbarn, > >das schickt Ihr zu mir. > Das kann er doch auch, wenn Du statisch routest. Wenn auch nur einer > der Nachbarn auf RAs lauscht, bist Du sowieso im Gesaess. Naja, deswegen wuerde ich ja sagen: Do not use RA. Wenn's jemand trotzdem tut, ist's sein Problem. > >Bei Dialup bekommen die eh per radius ihre IPs. Die werden den > >Usern dann auch noch per DHCP usw mitgeteilt, aber das ist eher > >"Durchreiche". > Naja, aber der Einwahlkunde bekommt einen /48er-Praefix -- wie vergibt > er denn dann ergonomisch die Adressen in seinem Firmennetz? Das ueberlassen wir ihm selbst. Er muss keinesfalls unseren Mechanismus verwenden. > >Und weil ich *das* unrentabel machen moechte, deswegen will ich > >die Rechner im /32 schoen verteilen. > Da gibt's nichts mehr unrentabel zu machen. Wenn Du ein /64er von aussen > scannen willst, brauchst Du eine Anzahl von Jahren im > Milliarden-Bereich bei einem Ping im Millisekunden-Bereich. ;-) Man wundert sich immer wieder ueber die Kreativitaet der anderen Seite 8-) > >Das machen wir sowieso, es geht aber darum, die Erfolgsquote von Scans > >fuer den Scanner niedriger zu machen, so dass es sich fuer ihn > >einfach nicht lohnt. > Es lohnt sich auch ohne die Massnahmen nicht. Wenn Du alle paar Jahre in > einem Praefix einen Rechner findest, wenn Du das Netz stumpf abscannst, > dann kann man das nicht als effizient bezeichnen. Aber die Diskussion > ueber den Sinn oder Unsinn von Scans in IPv6-Netzen ist muessig, denn wenn > ein Rechner nach aussen hin konsequent geschuetzt wirst, dann ist es > schlicht egal, ob er bei einem Scan gefunden wird. Klar, das ist egal. Mir geht es ja nicht darum, ob er gefunden wird, sondern darum, dass die Scans aufhoeren sollen 8-) Scans kosten Geld (Router-Memory, Speicherplatz fuer Traffic-Accounting, Firewall-Logs, die sich fuellen, Incidents, die analysiert werden muessen, usw). Wenn aufgrund mangelnder Erfolge das Grundrauschen an Scans zurueckgeht, habe ich erreicht, was ich erreichen wollte. > >Na, wenn ich und Kunden in ihrem Ethernet immer dieselbe relative IP > >als GW verwenden (z.B. immer die erste oder immer die letzte > >im Subnetz), dann ist ein Scannen nach genutzten Netzen deutlich > >einfacher (ein /16 Scan findet in einem /32 SubTLA alle aktiven > >Ethernetze). > Und? Ich kann einfach die Gefahr nicht sehen. Wenn das Netz, wie Du ja > selber sagst, vernuenftig geschuetzt ist (Firewall, sinnvolle > Filterregeln), dann gibt es kein Problem. Kosten (s.o.). > >Wenn es nicht trivial ist, die gateway-IPs zu finden, muss der > >Angreifer > >das gesamte /32 scannen, das wird ihm nicht so einfach gelingen. > Ich sehe den Grund fuer diese Art der Vergabe von IPs nicht, aber das > ist Geschmacksache. Wobei ich bleibe, ist: das ist "Security through > obscurity". Ein Netz muss auch dann einem Angriff Stand halten, wenn > man die Obscurity aussen vor laesst. Kein Problem damit, aber Du denkst zu sehr vom Ende her, d.h. ein Scan findet einen Rechner. Ein Scan kostet auch dann Geld/Zeit/Nerven, wenn er nix findet. -- MfG/Best regards, Kurt Jaeger 16 years to go ! LF.net GmbH fon +49 711 90074-23 [EMAIL PROTECTED] Ruppmannstr. 27 fax +49 711 90074-33 D-70565 Stuttgart mob +49 171 3101372 _______________________________________________ ipv6 mailing list [EMAIL PROTECTED] http://listserv.uni-muenster.de/mailman/listinfo/ipv6
