Hi,
On Wed, Jan 14, 2004 at 09:49:39AM +0100, Kurt Jaeger wrote:
> > >Dazu kannst Du auf Switch-Ebene mit VLANs usw arbeiten, aber das
> > >reicht nicht (so meine theoretische Denke, an der Praxis fehlt's noch).
> > Naja, wie Du nun die Rechner aus der gleichen Broadcast-Domain heraus
> > nimmst oder wie Du genau filterst, ist Jacke wie Hose.
>
> Hmm, es laeuft aber darauf hinaus, dass im Housing managed switche
> und die entsprechenden Portkosten anfallen. Sigh.
Ja. Das ist aber bei IPv4 nicht anders als bei IPv6 - sobald Maschinen
unterschiedlicher Kunden im selben LAN stehen, hast Du *soooo* grosse
Sicherheitsloecher. Einerseits Kunden mit Admin-Zugrifsrechten,
andererseits aber natuerlich auch Hacker, die sich dann eine "freie" IP
greifen und darueber Warez tauschen (BTDT).
> > >Switch, festgebrannte ether/Port-Maps. Dann: Zwei Server, jeder
> > >mit /128 fuer sich selbst und /64 fuer virtuelle Server auf
> > >der Maschine.
> > Warum die /128? Welchen Sinn macht die?
>
> Damit auf dem Router fuer das Webether nicht zig Aliase
> eingetragen werden muessen.
Ein L3-Interface pro Kunde. Alles andere ist beliebig exploitbar.
[..]
> > >Und weil ich *das* unrentabel machen moechte, deswegen will ich
> > >die Rechner im /32 schoen verteilen.
> > Da gibt's nichts mehr unrentabel zu machen. Wenn Du ein /64er von aussen
> > scannen willst, brauchst Du eine Anzahl von Jahren im
> > Milliarden-Bereich bei einem Ping im Millisekunden-Bereich. ;-)
> Man wundert sich immer wieder ueber die Kreativitaet der anderen Seite 8-)
Was hier zu erwarten ist, ist:
- Logfiles von Webservern stehlen
- Peer-IP-Listen von P2P-Netzen u.ae. downloaden
- E-Mail-Header parsen
-> IPv6-Adressen raussuchen
-> Rechner angreifen
der klassische sequenzielle Scan wird mit IPv6 wegen "bringt nix" durch
intelligentere Methoden ersetzt werden.
[..]
> Scans kosten Geld (Router-Memory, Speicherplatz fuer
> Traffic-Accounting, Firewall-Logs, die sich fuellen, Incidents,
> die analysiert werden muessen, usw). Wenn aufgrund mangelnder
> Erfolge das Grundrauschen an Scans zurueckgeht, habe ich erreicht,
> was ich erreichen wollte.
Ich sehe Dein Ziel, aber die Argumentation ist nicht schluessig - wo Du
die /48s versteckst, ist relativ egal, wenn man schon *im* /48 die
Rechner nicht findet.
Klar, wenn ich alle meine Rechner im LAN auf ::1, ::2, ::3 stelle, ist
das nicht sonderlich schlau - aber Konsequenz aus der Forderung "alles
statisch konfigurieren" (weil alles andere dann unnoetig kompliziert ist).
[..]
> Kein Problem damit, aber Du denkst zu sehr vom Ende her,
> d.h. ein Scan findet einen Rechner. Ein Scan kostet auch dann
> Geld/Zeit/Nerven, wenn er nix findet.
Klar. Aber die Leute werden merken, dass sie bei IPv6-Netzscans *nie*
was finden (ausser auf "markanten" IPs, wie ::1 oder ::ffff oder so),
also ist das so oder so sinnlos.
Gert Doering
-- NetMaster
--
Total number of prefixes smaller than registry allocations: 57882 (57753)
SpaceNet AG Mail: [EMAIL PROTECTED]
Joseph-Dollinger-Bogen 14 Tel : +49-89-32356-0
80807 Muenchen Fax : +49-89-32356-299
_______________________________________________
ipv6 mailing list
[EMAIL PROTECTED]
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
