Hochschulprojekte
/
IPv6
0
0
Fork 0
Code Issues Pull Requests Activity

Update on Overleaf.

This commit is contained in:
Jan Philipp Timme 2018-01-03 21:37:45 +00:00 committed by overleaf
parent 61f2a88b7f
commit 4443e1f7e9
1 changed files with 47 additions and 43 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

90
main.tex
View File

@ -315,6 +315,50 @@ Aufgabe: Verknüpfung von Layer 2 und Layer 3
\end{frame} \end{frame}
\begin{frame}{Erreichbarkeit über Link-lokale Adresse}
\begin{itemize}
\item Über die Link-lokale Adresse ist das Gerät im lokalen Netzwerk für alle Teilnehmer erreichbar
\item Auf dem Gerät laufende Dienste sind für alle im lokalen Netzwerk erreichbar
\end{itemize}
\colorbox{hlr}{Angriffe möglich}
\begin{itemize}
\item Vertrauensfrage: Stellen andere Netzwerkteilnehmer eine Bedrohung dar?
\end{itemize}
$\rightarrow$ Lokale Firewall auch für IPv6 aktivieren!
\end{frame}
\subsection{Zwischenfazit}
\begin{frame}{Zwischenfazit (1/2)}
\begin{itemize}
\item DoS-Angriffe gegen hinzukommende Netzwerkteilnehmer
\item Identitätsdiebstahl im lokalen Netz weiterhin möglich
\item MITM-Angriffe leicht, wenn man sich als Router für XYZ ausgibt
\begin{itemize}
\item \dots z.B. als Router für einen Bezahldienstleister o.Ä. \newline
\end{itemize}
\item Nebenbei: ICMPv6 hat auch ein Redirect-Paket (analog zu ICMP)
\item Einen falschen DHCPv6-Server zu betreiben ist nicht schwerer geworden
\end{itemize}
\end{frame}
\begin{frame}{Zwischenfazit (2/2)}
Aber: Es gibt Hoffnung!
\begin{itemize}
\item First-Hop Security (FHS): ACLs auf Switchen ausrollen
\begin{itemize}
\item Der Switch erlaubt nur Router Advertisments vom Port eines Routers
\end{itemize}
\item SEcure Neighbor Discovery\footnote{RFC 3971, 2005/03 - Secure NEighbor Discovery (SEND)} (SEND)
\begin{itemize}
\item Nutzung einer PKI: Digital signierte NDP-Nachrichten \newline
\end{itemize}
\item \dots oder gründliches Monitoring\footnote{Zum Beispiel mit ramond: \url{http://ramond.sourceforge.net/}}
\end{itemize}
\end{frame}
\section{Verbindung mit dem Internet}
\subsection{Stateless Address Autoconfiguration} \subsection{Stateless Address Autoconfiguration}
\begin{frame}{Router Solicitation und Router Advertisment\footnote{Kapitel 4.1. und 4.2. in RFC 4861, 2007/09 - Neighbor Discovery for IP version 6 (IPv6)}} \begin{frame}{Router Solicitation und Router Advertisment\footnote{Kapitel 4.1. und 4.2. in RFC 4861, 2007/09 - Neighbor Discovery for IP version 6 (IPv6)}}
@ -329,7 +373,7 @@ Wir haben eine Link-lokale Adresse. Wie sieht's aus mit Internetzugriff?
\item Auf Router Advertisment warten (ICMPv6 Typ 134) \item Auf Router Advertisment warten (ICMPv6 Typ 134)
\begin{itemize} \begin{itemize}
\item Wird auch periodisch an \texttt{ff02::1} verschickt \item Wird auch periodisch an \texttt{ff02::1} verschickt
\item Informationen über verfügbare Präfixe \item Informationen über verfügbare Präfixe + Priorität
\item Managed-Flag: Falls gesetzt $\rightarrow$ DHCPv6 verpflichtend \item Managed-Flag: Falls gesetzt $\rightarrow$ DHCPv6 verpflichtend
\item Other Configuration-Flag: Falls gesetzt: Zusatzinfos via DHCPv6 \item Other Configuration-Flag: Falls gesetzt: Zusatzinfos via DHCPv6
\item Router Lifetime \newline \item Router Lifetime \newline
@ -339,48 +383,8 @@ Wir haben eine Link-lokale Adresse. Wie sieht's aus mit Internetzugriff?
\end{frame} \end{frame}
\subsection{Zwischenfazit} \begin{frame}{Globale Unicast Adressen einrichten}
\begin{frame}{Zwischenfazit}
\begin{itemize}
\item DoS-Angriffe gegen hinzukommende Netzwerkteilnehmer
\item Identitätsdiebstahl im lokalen Netz weiterhin möglich
\item MITM-Angriffe leicht, wenn man sich als Router für XYZ ausgibt
\begin{itemize}
\item \dots z.B. als Router für einen Bezahldienstleister o.Ä. \newline
\end{itemize}
\end{itemize}
Aber: Es gibt Hoffnung!
\begin{itemize}
\item First-Hop Security (FHS): ACLs auf Switchen ausrollen
\begin{itemize}
\item Der Switch erlaubt nur Router Advertisments vom Port eines Routers
\end{itemize}
\item SEcure Neighbor Discovery\footnote{RFC 3971, 2005/03 - Secure NEighbor Discovery (SEND)} (SEND)
\begin{itemize}
\item Nutzung einer PKI: Digital signierte NDP-Nachrichten
\end{itemize}
\item \dots oder einfaches Monitoring\footnote{Zum Beispiel mit ramond: \url{http://ramond.sourceforge.net/}}
\end{itemize}
\end{frame}
\begin{frame}{}
\begin{itemize}
\item
\end{itemize}
\end{frame}
\subsection{DHCPv6}
\section{Verbindung mit dem Internet}
\subsection{Adressen}
\subsection{Paketfilter}
\begin{frame}{Link}
\begin{itemize} \begin{itemize}
\item TODO \item TODO
\end{itemize} \end{itemize}
@ -409,7 +413,7 @@ ISBN-13: 978-1-58705-594-2
\end{itemize} \end{itemize}
\dots einem Spielzeug für Neugierige \dots \dots einem Spielzeug für Neugierige \dots
\begin{itemize} \begin{itemize}
\item IPv6 attack toolkit \url{https://github.com/vanhauser-thc/thc-ipv6} \item IPv6 Attack Toolkit \url{https://github.com/vanhauser-thc/thc-ipv6}
\end{itemize} \end{itemize}
\end{frame} \end{frame}