Moin Uwe, Ignatios und Liste,
[email protected] writes:
> so sehe ich das auch. allerdings ist cisco der meinung, dass im rfc
> nicht steht, dass man auf multicast icmp antworten muss.
das ist eine typische IPv4-Denkweise, weil sich IPv4-Pings gegen
Broadcasts einerseits missbrauchen ließen, Netze von außen
"auszukundschaften" und andererseits per Smurf/Pingbounce ohne große
eigene Bandbreite DoS-Angriffe durchzuführen.
Bei ff02::1 muss ein Angreifer im gleichen Subnetz angebunden sein und
ist damit typischerweise physikalisch im wahrsten Sinne des Wortes
greifbar. Außerdem sind "saubere" Netztopologien, soweit es sie denn
gibt, so angelegt, dass Geräte mit unterschiedlichen
Sicherheitsprivilegien etc. nicht in einem gemeinsamen Subnetz
angeschlossen sein sollten; Ausnahmen wie die WLANs in Uni-Hörsälen
bestätigen einerseits die Regel und zeigen andererseits auch, warum
sie ihre Berechtigung hat.
Mir drängt sich an dieser Stelle der Verdacht auf, dass Cisco IPv6 an
der Stelle nicht in dem Maße verstanden hat, wie man es eigentlich
hoffen sollte...
Viele Grüße,
Benedikt
--
Business Grade IPv6
Consulting, Training, Projects
Benedikt Stockebrand, Dipl.-Inform. http://www.benedikt-stockebrand.de/
--
ipv6 mailing list
[email protected]
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
