From 4443e1f7e962d27518fa9a3e46a4c24215f40c61 Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Wed, 3 Jan 2018 21:37:45 +0000 Subject: [PATCH] Update on Overleaf. --- main.tex | 90 +++++++++++++++++++++++++++++--------------------------- 1 file changed, 47 insertions(+), 43 deletions(-) diff --git a/main.tex b/main.tex index c79cd08..59c40c6 100644 --- a/main.tex +++ b/main.tex @@ -315,6 +315,50 @@ Aufgabe: Verknüpfung von Layer 2 und Layer 3 \end{frame} +\begin{frame}{Erreichbarkeit über Link-lokale Adresse} +\begin{itemize} +\item Über die Link-lokale Adresse ist das Gerät im lokalen Netzwerk für alle Teilnehmer erreichbar +\item Auf dem Gerät laufende Dienste sind für alle im lokalen Netzwerk erreichbar +\end{itemize} +\colorbox{hlr}{Angriffe möglich} +\begin{itemize} +\item Vertrauensfrage: Stellen andere Netzwerkteilnehmer eine Bedrohung dar? +\end{itemize} +$\rightarrow$ Lokale Firewall auch für IPv6 aktivieren! +\end{frame} + +\subsection{Zwischenfazit} + +\begin{frame}{Zwischenfazit (1/2)} +\begin{itemize} +\item DoS-Angriffe gegen hinzukommende Netzwerkteilnehmer +\item Identitätsdiebstahl im lokalen Netz weiterhin möglich +\item MITM-Angriffe leicht, wenn man sich als Router für XYZ ausgibt +\begin{itemize} +\item \dots z.B. als Router für einen Bezahldienstleister o.Ä. \newline +\end{itemize} +\item Nebenbei: ICMPv6 hat auch ein Redirect-Paket (analog zu ICMP) +\item Einen falschen DHCPv6-Server zu betreiben ist nicht schwerer geworden +\end{itemize} +\end{frame} + +\begin{frame}{Zwischenfazit (2/2)} +Aber: Es gibt Hoffnung! +\begin{itemize} +\item First-Hop Security (FHS): ACLs auf Switchen ausrollen +\begin{itemize} +\item Der Switch erlaubt nur Router Advertisments vom Port eines Routers +\end{itemize} +\item SEcure Neighbor Discovery\footnote{RFC 3971, 2005/03 - Secure NEighbor Discovery (SEND)} (SEND) +\begin{itemize} +\item Nutzung einer PKI: Digital signierte NDP-Nachrichten \newline +\end{itemize} +\item \dots oder gründliches Monitoring\footnote{Zum Beispiel mit ramond: \url{http://ramond.sourceforge.net/}} +\end{itemize} +\end{frame} + +\section{Verbindung mit dem Internet} + \subsection{Stateless Address Autoconfiguration} \begin{frame}{Router Solicitation und Router Advertisment\footnote{Kapitel 4.1. und 4.2. in RFC 4861, 2007/09 - Neighbor Discovery for IP version 6 (IPv6)}} @@ -329,7 +373,7 @@ Wir haben eine Link-lokale Adresse. Wie sieht's aus mit Internetzugriff? \item Auf Router Advertisment warten (ICMPv6 Typ 134) \begin{itemize} \item Wird auch periodisch an \texttt{ff02::1} verschickt -\item Informationen über verfügbare Präfixe +\item Informationen über verfügbare Präfixe + Priorität \item Managed-Flag: Falls gesetzt $\rightarrow$ DHCPv6 verpflichtend \item Other Configuration-Flag: Falls gesetzt: Zusatzinfos via DHCPv6 \item Router Lifetime \newline @@ -339,48 +383,8 @@ Wir haben eine Link-lokale Adresse. Wie sieht's aus mit Internetzugriff? \end{frame} -\subsection{Zwischenfazit} +\begin{frame}{Globale Unicast Adressen einrichten} -\begin{frame}{Zwischenfazit} -\begin{itemize} -\item DoS-Angriffe gegen hinzukommende Netzwerkteilnehmer -\item Identitätsdiebstahl im lokalen Netz weiterhin möglich -\item MITM-Angriffe leicht, wenn man sich als Router für XYZ ausgibt -\begin{itemize} -\item \dots z.B. als Router für einen Bezahldienstleister o.Ä. \newline -\end{itemize} -\end{itemize} -Aber: Es gibt Hoffnung! -\begin{itemize} -\item First-Hop Security (FHS): ACLs auf Switchen ausrollen -\begin{itemize} -\item Der Switch erlaubt nur Router Advertisments vom Port eines Routers -\end{itemize} -\item SEcure Neighbor Discovery\footnote{RFC 3971, 2005/03 - Secure NEighbor Discovery (SEND)} (SEND) -\begin{itemize} -\item Nutzung einer PKI: Digital signierte NDP-Nachrichten -\end{itemize} -\item \dots oder einfaches Monitoring\footnote{Zum Beispiel mit ramond: \url{http://ramond.sourceforge.net/}} -\end{itemize} -\end{frame} - -\begin{frame}{} -\begin{itemize} -\item -\end{itemize} -\end{frame} - - -\subsection{DHCPv6} - -\section{Verbindung mit dem Internet} - -\subsection{Adressen} - -\subsection{Paketfilter} - - -\begin{frame}{Link} \begin{itemize} \item TODO \end{itemize} @@ -409,7 +413,7 @@ ISBN-13: 978-1-58705-594-2 \end{itemize} \dots einem Spielzeug für Neugierige \dots \begin{itemize} -\item IPv6 attack toolkit \url{https://github.com/vanhauser-thc/thc-ipv6} +\item IPv6 Attack Toolkit \url{https://github.com/vanhauser-thc/thc-ipv6} \end{itemize} \end{frame}