Hi! Danke fuer den Feedback!
> >- Loeschen der Zuordnung zum Kunden > Rechnet Ihr kein Volumen ab? (Ist natuerlich kein Problem, ist nur eine > generelle Frage.) Wir rechnen Volumen ab. > [Cryptografisch sichere Adressen] > >Sind CGA (crypto-generated adresses) sicher ? > >http://www.ietf.org/internet-drafts/draft-ietf-send-cga-01.txt > >A: Nur die naechsten 20 Jahre, weil nur 64bit zur Verfuegung stehen. > >Hmm. > Aus Deinen Schilderungen kann ich im Moment nicht ganz ersehen, was das > exakte Problem ist, das Du umschiffen willst. Wenn Du in einem Hosting-Umfeld Servern IPs gibt, moechtest Du verhindern, dass der Kunde, weil er root auf seiner Maschine hat, sich mal die IP des Nachbarn als Alias greift. Dazu kannst Du auf Switch-Ebene mit VLANs usw arbeiten, aber das reicht nicht (so meine theoretische Denke, an der Praxis fehlt's noch). Beispiel: Switch, festgebrannte ether/Port-Maps. Dann: Zwei Server, jeder mit /128 fuer sich selbst und /64 fuer virtuelle Server auf der Maschine. Ergebnis: Wenn nicht statisch geroutet, koennte ein Rechner jetzt per RA sagen: Das /64 oder eine more-significant-route des Nachbarn, das schickt Ihr zu mir. > Wenn Du nicht moechtest, > dass der EUI-64-Teil die konvertierte MAC enthaelt, musst Du halt die > Privacy-Extension verwenden (etwas unguenstig fuer Reverse DNS) oder > direkt DHCPv6. Ich halte dynamische Adressen fuer Boese(tm) 8-) > >Daher: Vorschlag zur Policy: Also werden auch unter v6 Adressen > >im Normalfall statisch vergeben. > Halte ich fuer problematisch, weil Du einen hohen Arbeitsaufwand > erzeugst. Dann kannst du Renumbering eigentlich sofort vergessen. In > meinen Augen gibt es eigentlich nur drei sinnvolle Moeglichkeiten, wie > Adressen verteilt werden: > > (1) RA <- ist sicher a priori die einfachste Moeglichkeit, weil sie ein > Minimum an Konfigurationsarbeiten erfordert. Dann ist allerdings zu > bedenken, dass die RAs vom Router des Kunden gemacht werden. In wieweit > Ihr da Einfluss drauf habt, weiss ich nicht, aber das sollte man auf > jeden Fall bedenken. Hier hast Du auch nur mit der Privacy Extension > die Moeglichkeit, die EUI-64-Adresse aus der IP zu nehmen. Ueber den > Sinn, das zu tun, kann man sich streiten. Entfaellt wg. unsicher. Kunden-Geraete sind untrusted devices. > (2) Stateful DHCPv6 <- Krankt an dem Problem, dass es nicht so viele > Implementierungen gibt, aber einige sind schon greifbar (sogar freie > Implementierungen). Ist im Grunde aber eine sehr charmante Loesung, um > Adressen zu verteilen, insbes., wenn Du ein moeglichst zentral > verwaltetes Mapping IPv6-Adresse<->zugeh. Host haben willst und > gleichzeitig Rueckschluesse auf den Host per konvertierter MAC verhindern > willst. Was hilft DHCP, wenn der User sich seine Interface-Alias usw einfach selbst schnitzt ? D.h.: Entfaellt wg. unsicher. > (3) Stateless DHCPv6 mit Praefix-Delegierung <- Ein nette Moeglichkeit > besonders fuer Einwahlkunden: der Einwahlrouter ist DHCPv6-Client und > fragt den ISP-DHCPv6-Server nach einem Praefix, den er im Kundennetz per > RA announcen soll. Bei Dialup bekommen die eh per radius ihre IPs. Die werden den Usern dann auch noch per DHCP usw mitgeteilt, aber das ist eher "Durchreiche". Btw: kennt jemand bezahlbare ISDN/Modem Dialup-Router, die schon IPv6 koennen ? > Statische IP-Vergabe wuerde ich schnell vergessen. Interessant: So machen wir's seit vielen Jahren und es tut eigentlich ganz gut ? > >Nachteil von 1) Das macht es Angreifern leicht, nach aktiven Geraeten > >zu scannen. > Die Begruendung ist fadenscheinig. "Security through obscurity" ist in > meinen Augen ein absolut naiver Ansatz. > Ich glaube, dass Angreifer in > der IPv6-Welt sich sehr bald schon vom simplen Scannen von Subnetzen > verabschieden werden. Siehst Du, da habe ich meine Zweifel. Wenn die ganze (ISP-)Welt ihre IPs nach simplen Strickmustern vergibt, kannst Du so weiterscannen wie bisher: Einfach die ersten paar tausend Adressen beginnend bei SubTLA (/32) Grenzen. Und weil ich *das* unrentabel machen moechte, deswegen will ich die Rechner im /32 schoen verteilen. > Es wird sicher bald andere Tricks geben, und dann > wird es voellig egal sein, wie die IPs vergeben sind. Entweder, man > schuetzt die Rechner aktiv, oder man laesst es. Das machen wir sowieso, es geht aber darum, die Erfolgsquote von Scans fuer den Scanner niedriger zu machen, so dass es sich fuer ihn einfach nicht lohnt. > >- Vorschlag zur Adressverteilung: > > o Ethernetze bekommen zufaellig ausgewaehlte /48 aus dem /32-Fenster > Das ist dann fuer groessere Kunden, die quasi eigene Sites haben, richtig? Nein. Ein /48 bekommt jede Kundensite -- so war v6 eigentlich gedacht, so mein Eindruck. > > o Kunden hinter Leitungen/Dialups bekommen ein zufaellig > > ausgewaehltes /48 > Hui! Das ist aber grosszuegig. Was spricht gegen einen laengeren Praefix > wie /64? Eine Leitung kann ein dialup sein, oder auch eine 2Mbit Strecke. Warum soll der Kunde renumbern, wenn er das Uebertragungsmedium wechselt ? Das handhaben wir derzeit im v4 auch so. > Bei Dial-up denken ich an DSL-/Modem-/ISDN-Kunden. Oder > verstehst Du da etwas anderes drunter? Nein. Aber DSL geht durchaus mit static IPs und mit huebschen Bandbreiten (bis 2 Mbit symmetrisch). > > o Point-to-point Links ? siehe rfc3627 > > * /128, sehr sparsam, aber vermutlich schwieriger aufzusetzen > > * /126, sparsam, tut technisch (analog einem /30) > > * /112, das ist eine 16-bit boundary, daher einfacher zu merken > > Meine Praeferenz: /126 > Wir benutzen hier fuer P-t-P-Links grundsaetzlich /112, was sich sehr gut > bewaehrt hat. Kann ich nur weiter empfehlen. /128 bringt absolut gar > nix, denn bei /128 bekommst Du keine implizite Route, mit der Du z.B. > den P-t-P-Link per ping auf die Gegenseite testen kannst, ohne am > Routing (z.B. auf ISP- und Kunden-Router) fummeln zu muessen. Aha. Danke fuer den Datenpunkt. > > o Default-Gateway ist jeweils eine zufaellig ausgewaehlte IPs im > > entsprechend zugeteilten Netz. > > bei einem /48: 2001:14b0:xxxx:YYYY:ZZZZ:ZZZZ:ZZZZ:ZZZZ/32 > > bei einem /64: 2001:14b0:XXXX:xxxx:YYYY:YYYY:YYYY:YYYY/32 > > Problem: wer einen valid host findet, findet sofort alle > > Hosts als zwischenstation (d.h. vermutl. auch den default gw?) > > Waere zu testen. > Jetzt hast Du mich abgehaengt. Was soll eine zufaellige GW-IP fuer > Vorteile haben? Na, wenn ich und Kunden in ihrem Ethernet immer dieselbe relative IP als GW verwenden (z.B. immer die erste oder immer die letzte im Subnetz), dann ist ein Scannen nach genutzten Netzen deutlich einfacher (ein /16 Scan findet in einem /32 SubTLA alle aktiven Ethernetze). > Und was ist ein "valid host" und wo ist das Problem, > dass jemand Gateways findet? S.o. Wer einen Gateway findet, findet auch die Rechner dahinter. > traceroute kannst Du doch auch ueber IPv4 > machen. Wenn Du den Gateway schuetzen/verstecken willst, musst Du halt > eine Firewall verwenden (anders geht das unter IPv4 auch nicht). Oder > habe ich diesen Absatz missverstanden? Wenn es nicht trivial ist, die gateway-IPs zu finden, muss der Angreifer das gesamte /32 scannen, das wird ihm nicht so einfach gelingen. -- MfG/Best regards, Kurt Jaeger 16 years to go ! LF.net GmbH fon +49 711 90074-23 [EMAIL PROTECTED] Ruppmannstr. 27 fax +49 711 90074-33 D-70565 Stuttgart mob +49 171 3101372 _______________________________________________ ipv6 mailing list [EMAIL PROTECTED] http://listserv.uni-muenster.de/mailman/listinfo/ipv6
