Hallo Listlinge, Joel. Schön dass Du gerade auf meine Antwort explizit eingehst, doch leider implizierst Du allein durch meine Erwähnung, dass ich NAT für ein Sicherheitsfeature ala "Security by obscurity" halte, was jedoch nicht der Fall ist.
Ich wollte mit dem Hinweis auf die Nennung dieser Themen, bei einem eventuellen Vortrag durch Dich, lediglich versuchen sicherzustellen, dass dieses Thema nicht zu kurz kommt, um u.a. die von Dir genannten Missverständnisse generell auszuräumen. U.a. auch deshalb, weil diese in den von mir bisher besuchten Vorträgen stets zu kurz kamen und lediglich eine kurze Erwähnung fanden. Also heb Dir deine grünen Haare bitte für einen Anderen oder für Karneval auf ;-) Ansonsten freue ich mich aber schon auf einen deiner nächsten Vorträge, welcher auch immer zuerst an die Reihe kommen mag. Gruß, Andy. Am Montag, 28. Oktober 2013, 13:30:11 schrieb Joel Garske: > Hiho, > > Zuerst mal vielen Dank fuer dein positives Feedback und natuerlich > auch das der anderen! Ich notiere mir das alles mal und mach mir ein > Bild davon. Ich werde jetzt auch nicht auf jede einzelne Mail antworten. > > Auf einen Punkt wuerde ich allerdings gerne direkt eingehen, der mir > als Netzwerk-Admin gruene Haare wachsen laesst - wenn ich das so > ehrlich sagen darf :). > > Am 27.10.13 14:32, schrieb Randy Andy: > > IPv6, solange ich noch nicht muss und mir mein Provider dafür extra > > Kohle abnehmen möchte (für die Bereitstellung einer festen > > IP-Adresse) für mich Prio 3. Im praxisbezogenen Teil würde mich die > > Verwendung der private Extension besonders interessieren, > > rollierende IP, NAT unter IPv6 etc. > > Zuerst: NAT ist kein Security Feature und bringt auch als solches > keine Sicherheitsvorteile. Das wegfallen der Notwendigkeit fuer NAT > bei IPv6 ist ein grosser Schritt nach vorne und so ziemlich alle > Argumente FUER ein NAT bei IPv6 werden von den Privacy Extensions > abgedeckt. > > Hier einige oft gehoerte Argumente fuer NAT > * "Rechner nicht direkt aus dem Internet erreichbar" > -> Mit einer Firewall die eingehende Verbindungen via v6 am > Netzuebergang ablehnt, ist das gleiche Verhalten erreicht. Es ist > sogar mindestens, so eine Firewall auf einem Linux Router zu > konfigurieren wie NAT einzurichten. Probleme mit SIP, FTP, XMPP und > anderen NAT-Harmed Protokollen sowie der dafuer betriebene Aufwand > fallen allerdings weg. > > * "Zahl der Rechner nicht erkennbar" > -> Stimmt wegen Source Port Continuity auch fuer NAT nicht immer. Dazu > kommt, dass mit rolling addresses mit v6 auch das ohne NAT > erschwert wird, da die GUeltigkeitsdauer nicht bekannt ist und man > kaum Rueckschluesse auf die Zahl der Maschinen ziehen kann. > Trackbar ist darueber hinaus fast jedes System auch abseits seiner > IP-Adresse anhand anderer Merkmale, die deutlich tiefer im System > verwurzelt sind als die beeinflussbaren Parameter. Da spielen > Timing, Implementierungen von Protokollen etc eine groessere Rolle. > Das alles traversiert auch in aller Regel unverletzt ein > NAT-Gateway. > > NAT ist kein Sicherheitsfeature, sondern in der urspruenglichen > Auslegung eine Funktion von Routern, um die Verwendung von > verschiedenen L3-Adressformaten (IPX<->IP, IPv4<->IPv6, IP<->IP etc) > zu ermoeglichen. Dass wir das jetzt benutzen wie wie es benutzen it > tatsaechlich mehr ein Unfall. Jeder Verlass auf NAT als > Sicherheitsfeature ist eher gefaehrlich. > > Zum Aktivieren der Privacy-Extensions: Ein Blick nach > > https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt > > und den Stichworten: use_tempaddr, temp_valid_lft, temp_prefered_lft. > Die 3 zusammen ergeben auch rollende Adressen, die nicht hart, sondern > weich ihre Gueltigkeit verlieren. > > > Hoffe geholfen zu haben. > > Joel > _______________________________________________ > Trolug_trolug.de mailing list > trolug@trolug.de > https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de _______________________________________________ Trolug_trolug.de mailing list trolug@trolug.de https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de
