Hi! > > Wenn Du beides versteckst, ist das genau dann schluessig, wenn > > die Zahl der Scans zurueckgeht.
> Aber wir versuchen Dir doch zu erklaeren, dass die Scans eh nix bringen Es kann ja sein, dass die Scans nichts bringen -- damit habe ich aber noch nicht dafuer gesorgt, dass es keine geben wird 8-) > und dass das absolut keinen Unterschied macht, ob Du was versteckst, > oder nicht. Meine Frage war, ob eine Zufallsverteilung in der Adressvergabe Sinn macht -- und ich bat um Meinungen 8-) Die habe ich jetzt 8-) Wenn ich Gert's Hinweise auf die Verfahren richtig verstehe, passiert das bei dyn-Adressvergabe innerhalb des /64 sowieso. QED 8-) > > Allerdings ist das kaum messbar, denn: ein ISP mit linearer Adressvergabe, > > einer mit zufaellig, da gibt's so viel, das dazu reinspielt, > > dass kaum belastbare Kennzahlen rauskommen werden. > Den Satz verstehe ich nicht. Das aendert nichts an der Tatsache, wie > ineffizient stumpfe Scans sind. Und das scannende Script-Kiddie weiss > doch a priori gar nicht, wie die Adressen in dem Subnetz vergeben sind, > das es scant. Wenn das script-kiddie linear scanned, und >95% der ISPs ungefaehr linear vergeben, dann hat das script-kiddie Erfolg und wird weiter scannen. > > Wenn ein Kunde im LAN ::1 usw vergibt, kann ich ihn nicht hindern, > > empfehlen wuerde ich's trotzdem nicht. > Wenn die entsprechenden Server aber vernuenftig gesichert sind, dann > spricht absolut nichts gegen die Vergabe. Abgesehen davon: wenn die > Dinger im DNS stehen, verstehe ich Deine Argumentation sowieso nicht. Nicht alle Server stehen so im DNS, dass script-kiddie sie findet. Zonentransfers erlauben wir nicht. > > Haengt an der Kundenstruktur, aber ich kann einer Kleinfirma nicht > > erklaeren, dass sie einen DHCPv6 Server braucht, der irgendwohin > > mitlogged, damit sie wissen, wer's war, wenn was Boeses(tm) passiert. > Wo haben Gert oder ich geschrieben, dass der Kunde einen DHCPv6-Server > braucht? Wenn der Kunde ein /48 bekommt, dahinter seinen NAT (oder no-NAT)-Router haengt, und dann in seine(n) Ethernetzen Adressen vergibt: Sein Problem. Aber selbst da sind die User genervt, wenn eine Buechse wild wird (z.B. wg. Wurm), die Anbindung killt, und niemand weiss, welche Buechse es ist -- und der Kunde dann uns fragt... [Nicht unsere Anbindung, nicht unser Router, aber der Kunde fragt trotzdem uns...] > Und wie soll das moeglich sein, dass er "mitloggt", ob > Missbrauch geschieht? Wie es moeglich ist, haengt von den oertlichen Gegebenheiten ab, der Grund ist meist sowas wie Wurmbefall. > Der DHCPv6-Server weiss doch nur ueber Leases > Bescheid. Du fragtest nach Adress-Vergabe. Die kannst Du als ISP bis > dahin machen, wo der Kunden-Router anfaengt. In der Theorie sind wir nur bis zum Router zustaendig. Wenn's aber nicht tut, wird der Kunde in der Praxis uns fragen. > > Die haben schon Probleme mit Steckdosen, arg viel komplizierter > > darf's nicht werden. > Da bieten sich doch RAs wunderbar an. Die von Dir vorgeschlagene > statische Vergabe ist doch dagegen fuer einen solchen Kunden ein kaum > zumutbarer Aufwand. Komisch, bisher war's immer andersrum 8-) > > Deine These: Scans wird es sowieso nicht geben, weil es sich nicht lohnt. > Das hat Gert so nicht gesagt. Geben wird's die moeglicherweise, aber viel > rumkommen wird dabei nichts. Das war ja fuer Script-Kiddies immer der Anlass fuer "try harder" 8-) > > Meine These: Scans wird es weiterhin geben, weil die Kunden mit ::1 usw > > anfangen. > Dann bringt's auch nichts, Adressen zu verschleiern, oder? Das wird > niemanden daran hindern, trotzdem bei Dir zu scannen. Nein, aber vielleicht scanned er dann bei jemand anderem, weil er dort mehr findet 8-) -- MfG/Best regards, Kurt Jaeger 16 years to go ! LF.net GmbH fon +49 711 90074-23 [EMAIL PROTECTED] Ruppmannstr. 27 fax +49 711 90074-33 D-70565 Stuttgart mob +49 171 3101372 _______________________________________________ ipv6 mailing list [EMAIL PROTECTED] http://listserv.uni-muenster.de/mailman/listinfo/ipv6
