-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hiho,
Zuerst mal vielen Dank fuer dein positives Feedback und natuerlich
auch das der anderen! Ich notiere mir das alles mal und mach mir ein
Bild davon. Ich werde jetzt auch nicht auf jede einzelne Mail antworten.
Auf einen Punkt wuerde ich allerdings gerne direkt eingehen, der mir
als Netzwerk-Admin gruene Haare wachsen laesst - wenn ich das so
ehrlich sagen darf :).
Am 27.10.13 14:32, schrieb Randy Andy:
> IPv6, solange ich noch nicht muss und mir mein Provider dafür extra
> Kohle abnehmen möchte (für die Bereitstellung einer festen
> IP-Adresse) für mich Prio 3. Im praxisbezogenen Teil würde mich die
> Verwendung der private Extension besonders interessieren,
> rollierende IP, NAT unter IPv6 etc.
Zuerst: NAT ist kein Security Feature und bringt auch als solches
keine Sicherheitsvorteile. Das wegfallen der Notwendigkeit fuer NAT
bei IPv6 ist ein grosser Schritt nach vorne und so ziemlich alle
Argumente FUER ein NAT bei IPv6 werden von den Privacy Extensions
abgedeckt.
Hier einige oft gehoerte Argumente fuer NAT
* "Rechner nicht direkt aus dem Internet erreichbar"
-> Mit einer Firewall die eingehende Verbindungen via v6 am
Netzuebergang ablehnt, ist das gleiche Verhalten erreicht. Es ist
sogar mindestens, so eine Firewall auf einem Linux Router zu
konfigurieren wie NAT einzurichten. Probleme mit SIP, FTP, XMPP und
anderen NAT-Harmed Protokollen sowie der dafuer betriebene Aufwand
fallen allerdings weg.
* "Zahl der Rechner nicht erkennbar"
-> Stimmt wegen Source Port Continuity auch fuer NAT nicht immer. Dazu
kommt, dass mit rolling addresses mit v6 auch das ohne NAT
erschwert wird, da die GUeltigkeitsdauer nicht bekannt ist und man
kaum Rueckschluesse auf die Zahl der Maschinen ziehen kann.
Trackbar ist darueber hinaus fast jedes System auch abseits seiner
IP-Adresse anhand anderer Merkmale, die deutlich tiefer im System
verwurzelt sind als die beeinflussbaren Parameter. Da spielen
Timing, Implementierungen von Protokollen etc eine groessere Rolle.
Das alles traversiert auch in aller Regel unverletzt ein
NAT-Gateway.
NAT ist kein Sicherheitsfeature, sondern in der urspruenglichen
Auslegung eine Funktion von Routern, um die Verwendung von
verschiedenen L3-Adressformaten (IPX<->IP, IPv4<->IPv6, IP<->IP etc)
zu ermoeglichen. Dass wir das jetzt benutzen wie wie es benutzen it
tatsaechlich mehr ein Unfall. Jeder Verlass auf NAT als
Sicherheitsfeature ist eher gefaehrlich.
Zum Aktivieren der Privacy-Extensions: Ein Blick nach
https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt
und den Stichworten: use_tempaddr, temp_valid_lft, temp_prefered_lft.
Die 3 zusammen ergeben auch rollende Adressen, die nicht hart, sondern
weich ihre Gueltigkeit verlieren.
Hoffe geholfen zu haben.
Joel
-----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.0.17 (Darwin)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iQJCBAEBAgAsBQJSbljTJRpodHRwOi8vcGdwLmpqaW0uZGUvcG9saWN5L3BvbGlj
eS50eHQACgkQ1N3ALa0lmByJRw//YQFBB3XMcw672Klp01nlv9VO/Yj7OOjDIAD6
GskDhqc5gm67m+1NliP8sv6LkCxYynUFKhHZlVrk2x6sKnKF+kFLqA28KDiCCpAq
qBNSn3foBvwBi7G+oAAFyAuEzZHyDmRtUAZ3PnHSoqkAkAVT3jtasrOUVd32r9zS
MKGRQHhcnba9bKnYBN7de5YMUttNIAc43obfW003O059iS74qsb0EcEGGTBxIl0c
9x/tunHDgorEuj1MvpComYhaXc6G62p8f7D5rmF5CQMcyV62m+zoFcgo2UQy0cXH
HKdy4JilsQLfDYudldrqG3Zv5+VlDAAm8RwkP1o06k+QJz2Ji0QW9ak0keyZTlDm
EXkVH4h2e9qKlmwLepqgS3vho406L9NVwvINbatdQs+eiZek2AnVHZTk1CKpmAX3
sV9YriTAZLNfxAlhdWdSFA/URP1cTeGBBOdKD8gsavYMAb8e8FuEHBi3w2ex+PXs
YJ00xiEgq0n12uP5X+QRe+1lMmQfTMgrj8xyXfIOFp5NwxfDrPZ1nIrDCSnjLEKj
/KL93aFXaoT7j0CfixmE+dtrm45PA1ha9iUW1Mui/hKFCAW7kJgGnb7eMVC3dbc0
WVO+r562PKMddoy3GMx74SMIk5IzFGP9O0JYDAf9qL5ZlcsWmo2WhjVwYy+AiVpi
CJGt1bE=
=fTO+
-----END PGP SIGNATURE-----
_______________________________________________
Trolug_trolug.de mailing list
[email protected]
https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de
