diff --git a/main.tex b/main.tex index 3981c5d..a6c9118 100644 --- a/main.tex +++ b/main.tex @@ -268,7 +268,7 @@ Beispiel: \texttt{ff02::1} $\rightarrow$ \texttt{33-33-00-00-00-01} \newline \begin{frame}{Link-lokale Adresse ableiten} Netzwerkkabel eingestöpselt. Was nun? \newline Erst einmal die Link-lokale Adresse ableiten\footnote{Kapitel 5.3. in RFC 2462, 1998/12 - IPv6 Stateless Address Autoconfiguration}.\newline -Hier: Interface-ID aus MAC-Adresse ableiten\footnote{Alternative Verfahren sind möglich} +Hier: Interface-ID aus MAC-Adresse ableiten (EUI-64 Interface ID)\footnote{64-Bit Extended Unique Identifier; Alternative Verfahren sind möglich} \begin{itemize} \item MAC-Adresse ermitteln $\rightarrow$ \texttt{7\colorbox{hlb}{8}-E4-00-CF-8A-50} @@ -383,6 +383,7 @@ Aber: Es gibt Hoffnung! \begin{itemize} \item Der Switch erlaubt nur Router Advertisments vom Port eines Routers \end{itemize} +\item Ähnliches Konzept: Router Advertisment Guard\footnote{RFC 6105, 2011/02 - Router Advertisment Guard} \item SEcure Neighbor Discovery\footnote{RFC 3971, 2005/03 - Secure NEighbor Discovery (SEND)} (SEND) \begin{itemize} \item Nutzung einer PKI: Digital signierte NDP-Nachrichten \newline @@ -413,18 +414,37 @@ Das Gerät im Internet erreichbar. \newline \begin{frame}{IPv6-Netze scannen} \begin{itemize} \item Typische Subnetzgröße: 64 Bit -\item Lineares Scannen von Adressen terminiert in der Praxis nicht -\item Alternativer Ansatz: +\item Lineares Scannen von Adressen nicht sinnvoll +\item $\rightarrow$ Verfahren zur Generierung von Interface-IDs ausnutzen +\item Nach Geräten bestimmter Hersteller suchen\footnote{MAC-Adressbereiche werden Herstellern zugeteilt: \url{http://standards-oui.ieee.org/oui.txt}} +\item $\rightarrow$ Zu durchsuchender Adressraum reduziert sich von 64 Bit auf 16-24 Bit. \end{itemize} +Die Geheimhaltung einer IPv6-Adresse bietet KEINE Sicherheit.\newline +\newline +Dennoch sind z.B. Privacy Extensions\footnote{RFC 4941, 2007/09 - Privacy Extensions} zur Erzeugung von zufälligen Interface-IDs gerade für Clientgeräte eine gute Wahl. \end{frame} -\begin{frame}{} + +\section{Abschluss} + +\begin{frame}{Zusammenfassung} \begin{itemize} -\item +\item Auch mit IPv6 gibt es (zusätzliche) Bedrohungen +\item Bedrohungsniveau ist ähnlich zu dem von IPv4 +\item Gewinn von Adressraum schlägt die wenigen Zusatzrisiken +\item Organisiert euch Internetzugang mit IPv6 und spielt damit! +\begin{itemize} +\item z.B. Multiplayerspiele ohne lästige NAT oder VPN \newline +\end{itemize} +\end{itemize} +Wichtige Punkte: +\begin{itemize} +\item Firewall statt NAT +\item Privacy Extensions aktivieren (Unter Windows standardmäßig aktiv) \end{itemize} \end{frame} -\begin{frame}{Viel Spaß mit IPv6! (1/2)} +\begin{frame}{Viel Spaß mit IPv6! (1/4)} \dots mit einer netten Buchempfehlung \dots \begin{itemize} \item Scott Hogg, Eric Vyncke: IPv6 Security, 2008, Cisco Press \newline @@ -439,7 +459,7 @@ ISBN-13: 978-1-58705-594-2 \end{itemize} \end{frame} -\begin{frame}{Viel Spaß mit IPv6! (2/2)} +\begin{frame}{Viel Spaß mit IPv6! (2/4)} \dots und den IPv6-relevanten RFCs: \begin{itemize} \item RFC 2460, 1998/12 - IPv6 Specification @@ -452,6 +472,29 @@ ISBN-13: 978-1-58705-594-2 \end{itemize} \end{frame} +\begin{frame}{Viel Spaß mit IPv6! (3/4)} +\dots +\begin{itemize} +\item RFC 3315, 2003/07 - Dynamic Host Configuration Protocol for IPv6 (DHCPv6) +\item RFC 4861, 2007/09 - Neighbor Discovery for IP version 6 (IPv6) +\item RFC 3971, 2005/03 - Secure NEighbor Discovery (SEND) +\item RFC 6946, 2013/05 - Processing of IPv6 "Atomic" Fragments +\item RFC 2464, 1998/12 - Transmission of IPv6 Packets over Ethernet Networks +\item RFC 6085, 2011/01 - Address Mapping of IPv6 Multicast Packets on Ethernet +\end{itemize} +\dots +\end{frame} + +\begin{frame}{Viel Spaß mit IPv6! (4/4)} +\dots +\begin{itemize} +\item RFC 6105, 2011/02 - Router Advertisment Guard +\item RFC 8064, 2017/02 - Recommendation on Stable IPv6 Interface Identifiers +\item RFC 4941, 2007/09 - Privacy Extensions +\item RFC 4301, 2005/12 - Security Architecture +\item RFC 3879, 2004/09 - Deprecating Site Local Addresses +\end{itemize} +\end{frame} % The end. \end{document} \ No newline at end of file