Update on Overleaf.
This commit is contained in:
overleaf
parent
61f2a88b7f
commit
4443e1f7e9
90
main.tex
90
main.tex
|
|
@ -315,6 +315,50 @@ Aufgabe: Verknüpfung von Layer 2 und Layer 3
|
|||
\end{frame}
|
||||
|
||||
|
||||
\begin{frame}{Erreichbarkeit über Link-lokale Adresse}
|
||||
\begin{itemize}
|
||||
\item Über die Link-lokale Adresse ist das Gerät im lokalen Netzwerk für alle Teilnehmer erreichbar
|
||||
\item Auf dem Gerät laufende Dienste sind für alle im lokalen Netzwerk erreichbar
|
||||
\end{itemize}
|
||||
\colorbox{hlr}{Angriffe möglich}
|
||||
\begin{itemize}
|
||||
\item Vertrauensfrage: Stellen andere Netzwerkteilnehmer eine Bedrohung dar?
|
||||
\end{itemize}
|
||||
$\rightarrow$ Lokale Firewall auch für IPv6 aktivieren!
|
||||
\end{frame}
|
||||
|
||||
\subsection{Zwischenfazit}
|
||||
|
||||
\begin{frame}{Zwischenfazit (1/2)}
|
||||
\begin{itemize}
|
||||
\item DoS-Angriffe gegen hinzukommende Netzwerkteilnehmer
|
||||
\item Identitätsdiebstahl im lokalen Netz weiterhin möglich
|
||||
\item MITM-Angriffe leicht, wenn man sich als Router für XYZ ausgibt
|
||||
\begin{itemize}
|
||||
\item \dots z.B. als Router für einen Bezahldienstleister o.Ä. \newline
|
||||
\end{itemize}
|
||||
\item Nebenbei: ICMPv6 hat auch ein Redirect-Paket (analog zu ICMP)
|
||||
\item Einen falschen DHCPv6-Server zu betreiben ist nicht schwerer geworden
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}{Zwischenfazit (2/2)}
|
||||
Aber: Es gibt Hoffnung!
|
||||
\begin{itemize}
|
||||
\item First-Hop Security (FHS): ACLs auf Switchen ausrollen
|
||||
\begin{itemize}
|
||||
\item Der Switch erlaubt nur Router Advertisments vom Port eines Routers
|
||||
\end{itemize}
|
||||
\item SEcure Neighbor Discovery\footnote{RFC 3971, 2005/03 - Secure NEighbor Discovery (SEND)} (SEND)
|
||||
\begin{itemize}
|
||||
\item Nutzung einer PKI: Digital signierte NDP-Nachrichten \newline
|
||||
\end{itemize}
|
||||
\item \dots oder gründliches Monitoring\footnote{Zum Beispiel mit ramond: \url{http://ramond.sourceforge.net/}}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\section{Verbindung mit dem Internet}
|
||||
|
||||
\subsection{Stateless Address Autoconfiguration}
|
||||
|
||||
\begin{frame}{Router Solicitation und Router Advertisment\footnote{Kapitel 4.1. und 4.2. in RFC 4861, 2007/09 - Neighbor Discovery for IP version 6 (IPv6)}}
|
||||
|
|
@ -329,7 +373,7 @@ Wir haben eine Link-lokale Adresse. Wie sieht's aus mit Internetzugriff?
|
|||
\item Auf Router Advertisment warten (ICMPv6 Typ 134)
|
||||
\begin{itemize}
|
||||
\item Wird auch periodisch an \texttt{ff02::1} verschickt
|
||||
\item Informationen über verfügbare Präfixe
|
||||
\item Informationen über verfügbare Präfixe + Priorität
|
||||
\item Managed-Flag: Falls gesetzt $\rightarrow$ DHCPv6 verpflichtend
|
||||
\item Other Configuration-Flag: Falls gesetzt: Zusatzinfos via DHCPv6
|
||||
\item Router Lifetime \newline
|
||||
|
|
@ -339,48 +383,8 @@ Wir haben eine Link-lokale Adresse. Wie sieht's aus mit Internetzugriff?
|
|||
\end{frame}
|
||||
|
||||
|
||||
\subsection{Zwischenfazit}
|
||||
\begin{frame}{Globale Unicast Adressen einrichten}
|
||||
|
||||
\begin{frame}{Zwischenfazit}
|
||||
\begin{itemize}
|
||||
\item DoS-Angriffe gegen hinzukommende Netzwerkteilnehmer
|
||||
\item Identitätsdiebstahl im lokalen Netz weiterhin möglich
|
||||
\item MITM-Angriffe leicht, wenn man sich als Router für XYZ ausgibt
|
||||
\begin{itemize}
|
||||
\item \dots z.B. als Router für einen Bezahldienstleister o.Ä. \newline
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
Aber: Es gibt Hoffnung!
|
||||
\begin{itemize}
|
||||
\item First-Hop Security (FHS): ACLs auf Switchen ausrollen
|
||||
\begin{itemize}
|
||||
\item Der Switch erlaubt nur Router Advertisments vom Port eines Routers
|
||||
\end{itemize}
|
||||
\item SEcure Neighbor Discovery\footnote{RFC 3971, 2005/03 - Secure NEighbor Discovery (SEND)} (SEND)
|
||||
\begin{itemize}
|
||||
\item Nutzung einer PKI: Digital signierte NDP-Nachrichten
|
||||
\end{itemize}
|
||||
\item \dots oder einfaches Monitoring\footnote{Zum Beispiel mit ramond: \url{http://ramond.sourceforge.net/}}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}{}
|
||||
\begin{itemize}
|
||||
\item
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
|
||||
\subsection{DHCPv6}
|
||||
|
||||
\section{Verbindung mit dem Internet}
|
||||
|
||||
\subsection{Adressen}
|
||||
|
||||
\subsection{Paketfilter}
|
||||
|
||||
|
||||
\begin{frame}{Link}
|
||||
\begin{itemize}
|
||||
\item TODO
|
||||
\end{itemize}
|
||||
|
|
@ -409,7 +413,7 @@ ISBN-13: 978-1-58705-594-2
|
|||
\end{itemize}
|
||||
\dots einem Spielzeug für Neugierige \dots
|
||||
\begin{itemize}
|
||||
\item IPv6 attack toolkit \url{https://github.com/vanhauser-thc/thc-ipv6}
|
||||
\item IPv6 Attack Toolkit \url{https://github.com/vanhauser-thc/thc-ipv6}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
|
|
|
|||
Loading…
Reference in New Issue