Hi! > > > >Switch, festgebrannte ether/Port-Maps. Dann: Zwei Server, jeder > > > >mit /128 fuer sich selbst und /64 fuer virtuelle Server auf > > > >der Maschine. > > > Warum die /128? Welchen Sinn macht die?
> > Damit auf dem Router fuer das Webether nicht zig Aliase > > eingetragen werden muessen. > Ein L3-Interface pro Kunde. Alles andere ist beliebig exploitbar. Bitte deutlicher erklaeren, was Du damit meinst (L3 pro Kunde) ? - Ich habe einen Router, der z.B. ins webether zeigt. - Angeschlossen an einem Switch, jeder Kundenrechner bekommt ein VLAN, alle VLANs zeigen auf den Router-Port. Meinst Du jetzt: Jeder Kunde bekommt einen eigenen Router-Port ? Oder ist aus Deiner Sicht ein Switch mit VLANs ein L3-Interface und damit ausreichend ? > der klassische sequenzielle Scan wird mit IPv6 wegen "bringt nix" durch > intelligentere Methoden ersetzt werden. Genau. Fine with me, solang's dann keine Scans mehr sind. > [..] > > Scans kosten Geld (Router-Memory, Speicherplatz fuer > > Traffic-Accounting, Firewall-Logs, die sich fuellen, Incidents, > > die analysiert werden muessen, usw). Wenn aufgrund mangelnder > > Erfolge das Grundrauschen an Scans zurueckgeht, habe ich erreicht, > > was ich erreichen wollte. > Ich sehe Dein Ziel, aber die Argumentation ist nicht schluessig - wo Du > die /48s versteckst, ist relativ egal, wenn man schon *im* /48 die > Rechner nicht findet. Wenn Du beides versteckst, ist das genau dann schluessig, wenn die Zahl der Scans zurueckgeht. Allerdings ist das kaum messbar, denn: ein ISP mit linearer Adressvergabe, einer mit zufaellig, da gibt's so viel, das dazu reinspielt, dass kaum belastbare Kennzahlen rauskommen werden. > Klar, wenn ich alle meine Rechner im LAN auf ::1, ::2, ::3 stelle, ist > das nicht sonderlich schlau - aber Konsequenz aus der Forderung "alles > statisch konfigurieren" (weil alles andere dann unnoetig kompliziert ist). Wenn ein Kunde im LAN ::1 usw vergibt, kann ich ihn nicht hindern, empfehlen wuerde ich's trotzdem nicht. Einen Kunde kann ich dabei beraten, wie er's bei sich macht, aber mehr auch nicht. Haengt an der Kundenstruktur, aber ich kann einer Kleinfirma nicht erklaeren, dass sie einen DHCPv6 Server braucht, der irgendwohin mitlogged, damit sie wissen, wer's war, wenn was Boeses(tm) passiert. Die haben schon Probleme mit Steckdosen, arg viel komplizierter darf's nicht werden. > [..] > > Kein Problem damit, aber Du denkst zu sehr vom Ende her, > > d.h. ein Scan findet einen Rechner. Ein Scan kostet auch dann > > Geld/Zeit/Nerven, wenn er nix findet. > Klar. Aber die Leute werden merken, dass sie bei IPv6-Netzscans *nie* > was finden (ausser auf "markanten" IPs, wie ::1 oder ::ffff oder so), > also ist das so oder so sinnlos. Deine These: Scans wird es sowieso nicht geben, weil es sich nicht lohnt. Meine These: Scans wird es weiterhin geben, weil die Kunden mit ::1 usw anfangen. Ein Beweis wird schwierig, ist also ein Streit um Kaiser's Bart. -- MfG/Best regards, Kurt Jaeger 16 years to go ! LF.net GmbH fon +49 711 90074-23 [EMAIL PROTECTED] Ruppmannstr. 27 fax +49 711 90074-33 D-70565 Stuttgart mob +49 171 3101372 _______________________________________________ ipv6 mailing list [EMAIL PROTECTED] http://listserv.uni-muenster.de/mailman/listinfo/ipv6
