--On Monday, August 11, 2003 12:08:58 PM +0200 Mark Doll
<[EMAIL PROTECTED]> wrote:
>> Some bank said: we not use v6 if we do not have assured local
>> adress space that will never be routed.
>
> Aha, der Router der Bank schickt munter Pakete nach drau�en, aber der
> Provider wird sie ja schon verwerfen. Klasse Kicherheit...
Naja, sind ja bei TCP nur die SYN-Requests. Da d�rfte nicht viel zu
erkennen sein. Bei UDP-DNS-Queries wird's nat�rlich interessanter ;-)
> Frage: Wie sieht's hier eigentlich auf der Liste aus. H�lt jemand private
> Adressen f�r sinnvoll vorausgesetzt, es gibt genug Adressen? In unseren
> Vorlesungen "predigen" wir zumindest, dass kein mehr an Sicherheit bringt
> - unser RZ machts leider trotzdem...
Ja, insbesondere alle interne Server, die von au�en per default nicht
erreichbar sein sollen, sollten nur site-local Adressen haben. Per
source-address selection nimmt der Client dann seine eigene
site-local-Absender-Adresse. Das ist zumindest implizite Sicherheit, die
ohne NAT oder Backdoor-Relays nicht so ohne weiteres ausgenutzt werden
kann. Ist gleichbedeutend mit RFC 1918 bei IPv4.
Stell Dir vor, interne Server haben nur globale Adressen, und die
Filterengine auf der Firewall ist mal wieder verkonfiguriert...das w�r
nicht so toll.
> P.S.: Wenn denn mal alle (wichtigen) IPv6-Stacks RFC3484-konform sind
> (zumindest nach Rule 9), k�nnten doch alle Provider guten Gewisssens
> Spoofingfilter aufsetzen, womit man als Kunde eigentlich alle Adressen
> au�erhalb des vom Provider bezogenen Pr�fixes, wie die omin�sen
> nicht-routebaren Adressen benutzen kann. Ja Gerd, ich wei�, ich tr�ume...
Dann nimmt der 3. totsicher schon vergebene...und konfiguriert sich so
schwarze L�cher...same issue als bei IPv4 vor langer Zeit, wo RFC 1918 noch
nicht galt.
Peter
--
Dr. Peter Bieringer http://www.bieringer.de/pb/
GPG/PGP Key 0x958F422D mailto: pb at bieringer dot de
Deep Space 6 Co-Founder and Core Member http://www.deepspace6.net/
_______________________________________________
ipv6 mailing list
[EMAIL PROTECTED]
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
