Hi,
On Wed, Jan 14, 2004 at 11:24:12AM +0100, Kurt Jaeger wrote:
> > > > >Switch, festgebrannte ether/Port-Maps. Dann: Zwei Server, jeder
> > > > >mit /128 fuer sich selbst und /64 fuer virtuelle Server auf
> > > > >der Maschine.
> > > > Warum die /128? Welchen Sinn macht die?
>
> > > Damit auf dem Router fuer das Webether nicht zig Aliase
> > > eingetragen werden muessen.
>
> > Ein L3-Interface pro Kunde. Alles andere ist beliebig exploitbar.
>
> Bitte deutlicher erklaeren, was Du damit meinst (L3 pro Kunde) ?
"Ein separat geroutetes Interface (mit Anti-Spoofing-Filtern)"
> - Ich habe einen Router, der z.B. ins webether zeigt.
> - Angeschlossen an einem Switch, jeder Kundenrechner bekommt
> ein VLAN, alle VLANs zeigen auf den Router-Port.
>
> Meinst Du jetzt: Jeder Kunde bekommt einen eigenen Router-Port ?
>
> Oder ist aus Deiner Sicht ein Switch mit VLANs ein L3-Interface
> und damit ausreichend ?
Die VLANs musst Du ja irgendwie routen (ueber einen 802.1q-Trunk zum
Router fuehren und dort routen, oder auf einem Switch mit direkter
Layer3-Routing-Engine). Damit erfuellen die VLANs die Bedingung
"separates L3-Interface pro Kunde".
Ob Du jetzt einem Kunden mit 5 Servern 5 Ports auf dem Switch gibst
(die im selben VLAN sind), oder 1 Port und da dran einen Hub ansteckst,
ist eine Layer2-Frage, und fuer IP-Sicherheit nicht relevant.
Was problematisch ist, ist die Konstellation
- jeder Kunde hat ein eigenes VLAN
- der Router steckt an einem "multi-VLAN-Port" (manche Switches bieten
sowas), d.h., auf dem Router existiert nur *ein* IP-Interface in
Richtung Web-Netz, und die verschiedenen Kunden werden ueber
Secondary-IPs adressiert.
*Das* ist unsicher - bei v4 und bei v6.
[..]
> > [..]
> > > Scans kosten Geld (Router-Memory, Speicherplatz fuer
> > > Traffic-Accounting, Firewall-Logs, die sich fuellen, Incidents,
> > > die analysiert werden muessen, usw). Wenn aufgrund mangelnder
> > > Erfolge das Grundrauschen an Scans zurueckgeht, habe ich erreicht,
> > > was ich erreichen wollte.
>
> > Ich sehe Dein Ziel, aber die Argumentation ist nicht schluessig - wo Du
> > die /48s versteckst, ist relativ egal, wenn man schon *im* /48 die
> > Rechner nicht findet.
>
> Wenn Du beides versteckst, ist das genau dann schluessig, wenn
> die Zahl der Scans zurueckgeht.
Du musst sie im /64 nicht verstecken - das tun sie ganz von alleine,
sobald Du entweder EUI-64 autoconfig oder privacy extentions verwendest.
Der sichere Weg, die Rechner zu finden, ist "nachvollziehbare Schemata
fuer statische Adressierung".
> Allerdings ist das kaum messbar, denn: ein ISP mit linearer Adressvergabe,
> einer mit zufaellig, da gibt's so viel, das dazu reinspielt,
> dass kaum belastbare Kennzahlen rauskommen werden.
In der Adressvergabe beim ISP musst Du auch noch andere Sachen
beruecksichtigen:
- interne Routing-Hierarchie und Adress-Aggregation (!)
- Reseller, die einen entsprechend groesseren Block wollen
insofern ist der Ansatz "Kunden bekommen zufaellige /48s aus dem /32"
ein sicherer Weg, ueber kurz oder lang Dein IGP-Routing zu killen (weil
Du nicht aggregieren kannst).
[..]
> Haengt an der Kundenstruktur, aber ich kann einer Kleinfirma nicht
> erklaeren, dass sie einen DHCPv6 Server braucht, der irgendwohin
> mitlogged, damit sie wissen, wer's war, wenn was Boeses(tm) passiert.
EUI-64-Autoconfig. Genau dafuer ist es da. Die Adressen sind trackbar,
aber nicht erratbar.
Wenn Du Privacy haben willst (privacy extention) ist das mit dem
tracken, "wenn was Boeses passiert" sowieso vorbei.
> > [..]
> > > Kein Problem damit, aber Du denkst zu sehr vom Ende her,
> > > d.h. ein Scan findet einen Rechner. Ein Scan kostet auch dann
> > > Geld/Zeit/Nerven, wenn er nix findet.
>
> > Klar. Aber die Leute werden merken, dass sie bei IPv6-Netzscans *nie*
> > was finden (ausser auf "markanten" IPs, wie ::1 oder ::ffff oder so),
> > also ist das so oder so sinnlos.
>
> Deine These: Scans wird es sowieso nicht geben, weil es sich nicht lohnt.
>
> Meine These: Scans wird es weiterhin geben, weil die Kunden mit ::1 usw
> anfangen.
Nur, wenn Leute mit komischen Vorstellungen ueber Autoconfig den Kunden
einreden, dass sie statische Adressen eintragen sollen... *fingerzeig* :-)
Solange man die Leute einfach Autoconfig machen laesst, tritt dieser
Fall nicht ein.
Gert Doering
-- NetMaster
--
Total number of prefixes smaller than registry allocations: 57882 (57753)
SpaceNet AG Mail: [EMAIL PROTECTED]
Joseph-Dollinger-Bogen 14 Tel : +49-89-32356-0
80807 Muenchen Fax : +49-89-32356-299
_______________________________________________
ipv6 mailing list
[EMAIL PROTECTED]
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
