--On Monday, August 11, 2003 04:59:40 PM +0200 Roland Bless <[EMAIL PROTECTED]> wrote:
>> gegen "Welt", nicht Sicherheit gegen "innen". Da die Masse der >> Angriffe > > Das ist in der Tat ein Problem: zentrale FW= harte Schale, weicher Kern. > Die Verseuchung kann ja auch von innen per E-Mail oder Laptop kommen. > Inzwischen geht anscheinend der Trend eher zur verteilten Firewall, die > zwar zentral administriert wird, aber wenigstens jeden Host f�r sich > sch�tzt (s.a. http://www.ietf.org/ietf/03mar/defcon.txt). "anscheinend" ist noch harmlos ausgedr�ckt, besser: "mu�"...anders ist end-to-end-security gar nicht mehr in den Griff zu bekommen...ist ja jetzt schon bei SSL so (au�er, die Firma installiert den Webwasher-SSL-Contentfilter, aka SSL-Cert-Faker durch firmeneigene MitM - ich kann mich mit diesem Produkt gar nicht anfreunden...btw. der tempor�re Klartext ist auf dem Server an der ICAP-Schnittstelle mitschn�ffelbar...den Admin freut's) >> M�glichkeiten. Ob wir bei IPv6 wieder NAT-Funktionen anbieten werden >> ist noch nicht entschieden. Ganz wesentlich h�ngt die Anwort hier > ^^^^^^^^^^^^^^^^^^^^^^^^^^ > Oje, bitte nicht! NAT f�r IPv6 ist m.E. Irrsinn und wirklich _nicht_ > notwendig, da der einzige wirkliche Einsatzgrund f�r NAT > Adressraummangel ist. Sicherheit l�sst sich anders besser erzielen und > ist einfach ein technisch falsches Argument (aus RFC 2775, sec 3.4): > "Note that private address space is sometimes asserted to be a > security feature, based on the notion that outside knowledge of > internal addresses might help intruders. This is a false argument, > since it is trivial to hide addresses by suitable access control > lists, even if they are globally unique - indeed that is a basic > feature of a filtering router, the simplest form of firewall. A > system with a hidden address is just as private as a system with a > private address. There is of course no possible point in hiding the > addresses of servers to which outside access is required." Naja, h�tten wir IPv4-NAT nicht, w�ren die W�rmer vielleicht noch schneller...weil aus Kostengr�nden die Firewall eingespart wurde (oder der Admin dazu). >> davon ab, >> welche Filterm�glichkeiten die im Massenbetrieb eingesetzten Router >> haben werden. > > Naja, nach Pr�fixen und Ports sollten die meisten Router schon > filtern k�nnen, oder? Pr�fix ist langweilig...was ist eigentlich mit dem Cryptotoken in der ID geworden...irgendwie mu� eine IPv6-FW ja auch Clients nach drau�en lassen...das kann schnell un�bersichtlich werden. Peter -- Dr. Peter Bieringer http://www.bieringer.de/pb/ GPG/PGP Key 0x958F422D mailto: pb at bieringer dot de Deep Space 6 Co-Founder and Core Member http://www.deepspace6.net/ _______________________________________________ ipv6 mailing list [EMAIL PROTECTED] http://listserv.uni-muenster.de/mailman/listinfo/ipv6
