Moin,
On Thu, Jun 14, 2012 at 03:18:19PM +0200, [email protected]
wrote:
> also Server statisch ist klar. Aber wenn ich mir Einfuehrung von IPv6 auf
> die Fahne schreibe, dann muss das doch mehr sein als nur ein Webserver.
> Dann sollten doch einige Client-Netze mit dabei sein. Dort kommt irgend ne
> automatische Adressvergabe zum Einsatz und schon gehts los. Wenn das auch
> nur etwas sicher werden soll braucht man auf den Netzwerkgeraeten paar
> Funktionen.
Was heisst "sicher"? Sicher gegen *was*?
Die theoretisch möglichen Angriffe sind klar, aber was ist davon in einem
Uni-Umfeld ein realistisches(!) Bedrohungsszenario, und warum hilft dagegen
die vom Vendor-Marketing verkaufte Lösung?
Wir fahren (ausser Anti-Spoofing-Filtern) gar keine First-Hop-Security-
Massnahmen, weil entsprechende Bedrohungsszenarien nicht existieren
("wer einen Rechner in unserem OfficeNetz hat, ist Mitarbeiter, und hat
sowieso Zugriff - und das, worauf er keinen Zugriff hat, ist verschlüsselt,
da bringen ihm auch irgendwelche Netzwerkschweinereien nichts").
Rogue RA / RA-Guard in öffentlichen Netzen lass' ich gelten, ja. Aber
das lässt sich auch mit dem Policy-Hammer lösen ("wer seinen Laptop hier
ansteckt und einen DHCP-Server aktiv hat und/oder RAs schickt, verliert
seinen Netzwerkzugang für vier Wochen und wischt einmal den Gang in der
Mensa").
Gert Doering
-- NetMaster
--
have you enabled IPv6 on something today...?
SpaceNet AG Vorstand: Sebastian v. Bomhard
Joseph-Dollinger-Bogen 14 Aufsichtsratsvors.: A. Grundner-Culemann
D-80807 Muenchen HRB: 136055 (AG Muenchen)
Tel: +49 (89) 32356-444 USt-IdNr.: DE813185279
--
ipv6 mailing list
[email protected]
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
