diff --git a/main.tex b/main.tex index 59c40c6..3981c5d 100644 --- a/main.tex +++ b/main.tex @@ -68,17 +68,24 @@ \begin{document} -\begin{frame}{Neuigkeiten mit IPv6} +\begin{frame}{Neuigkeiten mit IPv6 (1/2)} \begin{itemize} \item RFC 2460, 1998/12 - IPv6 Specification \item 128 Bit Adressraum \item Neu: Link-lokale Adressen \item Multicast anstelle von Broadcast +\item Einfache Paketstruktur mit optionalen Headern \item ICMPv6 für Betrieb essentiell (Bei IPv4 war ICMP optional) -\item Konfiguration via SLAAC\footnote{RFC 2462, 1998/12 - IPv6 Stateless Address Autoconfiguration} (und DHCPv6\footnote{RFC 3315, 2003/07 - Dynamic Host Configuration Protocol for IPv6 (DHCPv6)}) +\end{itemize} +\end{frame} + +\begin{frame}{Neuigkeiten mit IPv6 (2/2)} +\begin{itemize} +\item Automatische Konfiguration via SLAAC\footnote{RFC 2462, 1998/12 - IPv6 Stateless Address Autoconfiguration} (und DHCPv6\footnote{RFC 3315, 2003/07 - Dynamic Host Configuration Protocol for IPv6 (DHCPv6)}) \item Router Advertisments \item Vollwertiges Routing, keine NAT\footnote{Network Address Translation} erforderlich! -\item Paketfragmentierung nur noch durch den Absender +\item Paketfragmentierung nur noch durch den Absender möglich +\item Überlappende Fragmentierung ist verboten\footnote{Kapitel 1. in RFC 6946, 2013/05 - Processing of IPv6 "Atomic" Fragments} \end{itemize} \end{frame} @@ -327,6 +334,33 @@ Aufgabe: Verknüpfung von Layer 2 und Layer 3 $\rightarrow$ Lokale Firewall auch für IPv6 aktivieren! \end{frame} + +\section{Verbindung mit dem Internet} + +\subsection{Stateless Address Autoconfiguration} + +\begin{frame}{Router Solicitation und Router Advertisment\footnote{Kapitel 4.1. und 4.2. in RFC 4861, 2007/09 - Neighbor Discovery for IP version 6 (IPv6)}} +Wir haben eine Link-lokale Adresse. Wie sieht's aus mit Internetzugriff? +\begin{itemize} +\item Globale Unicast Adresse beschaffen $\rightarrow$ Router benötigt +\item Router Solicitation versenden (ICMPv6 Typ 133) +\begin{itemize} +\item Quelladresse: IPv6-Adresse des Absenders +\item Zieladresse: \texttt{ff02::2} +\end{itemize} +\item Auf Router Advertisment warten (ICMPv6 Typ 134) +\begin{itemize} +\item Wird auch periodisch an \texttt{ff02::1} verschickt +\item Informationen über verfügbare Präfixe + Priorität +\item Managed-Flag: Falls gesetzt $\rightarrow$ DHCPv6 verpflichtend +\item Other Configuration-Flag: Falls gesetzt: Zusatzinfos via DHCPv6 +\item Router Lifetime \newline +\end{itemize} +\end{itemize} +\colorbox{hlr}{Angriff möglich} +\end{frame} + + \subsection{Zwischenfazit} \begin{frame}{Zwischenfazit (1/2)} @@ -357,42 +391,30 @@ Aber: Es gibt Hoffnung! \end{itemize} \end{frame} -\section{Verbindung mit dem Internet} -\subsection{Stateless Address Autoconfiguration} +\subsection{Globale Unicast Adressen einrichten} -\begin{frame}{Router Solicitation und Router Advertisment\footnote{Kapitel 4.1. und 4.2. in RFC 4861, 2007/09 - Neighbor Discovery for IP version 6 (IPv6)}} -Wir haben eine Link-lokale Adresse. Wie sieht's aus mit Internetzugriff? +\begin{frame}{Globale Unicast Adressen (GUA) einrichten} +Ein Router Advertisment für \texttt{2001:db8:0815::/64} ist eingetroffen. \begin{itemize} -\item Globale Unicast Adresse beschaffen $\rightarrow$ Router benötigt -\item Router Solicitation versenden (ICMPv6 Typ 133) -\begin{itemize} -\item Quelladresse: IPv6-Adresse des Absenders -\item Zieladresse: \texttt{ff02::2} +\item Interface-ID ermitteln (z.B. auf Basis der MAC-Adresse) +\item Interface-ID an Prefix anhängen +\item Für ermittelte Adresse Duplicate Address Detection durchführen \end{itemize} -\item Auf Router Advertisment warten (ICMPv6 Typ 134) -\begin{itemize} -\item Wird auch periodisch an \texttt{ff02::1} verschickt -\item Informationen über verfügbare Präfixe + Priorität -\item Managed-Flag: Falls gesetzt $\rightarrow$ DHCPv6 verpflichtend -\item Other Configuration-Flag: Falls gesetzt: Zusatzinfos via DHCPv6 -\item Router Lifetime \newline -\end{itemize} -\end{itemize} -\colorbox{hlr}{Angriff möglich} +Erfolg? $\rightarrow$ GUA ermittelt: \texttt{2001:db8:0815::1333:3333:3333:3337}! \newline +Das Gerät im Internet erreichbar. \newline +\newline +\colorbox{hlr}{Angriffe möglich} \end{frame} -\begin{frame}{Globale Unicast Adressen einrichten} +\subsection{IPv6-Netzen scannen} +\begin{frame}{IPv6-Netze scannen} \begin{itemize} -\item TODO -\end{itemize} -\end{frame} - -\begin{frame}{} -\begin{itemize} -\item +\item Typische Subnetzgröße: 64 Bit +\item Lineares Scannen von Adressen terminiert in der Praxis nicht +\item Alternativer Ansatz: \end{itemize} \end{frame} @@ -430,25 +452,6 @@ ISBN-13: 978-1-58705-594-2 \end{itemize} \end{frame} -\begin{frame}[fragile]{} -\begin{lstlisting} -jpt@server:~$ ip -6 addr show eth0 -4: eth0: mtu 1500 qlen 1000 - inet6 2001:41d0:8:9147::1/128 scope global - valid_lft forever preferred_lft forever - inet6 fe80::222:4dff:fe82:dbff/64 scope link - valid_lft forever preferred_lft forever -\end{lstlisting} - -\begin{lstlisting} -jpt@server:~$ ip -6 route show -2001:41d0:8:9147::1 dev eth0 proto kernel metric 256 -2001:41d0:8:91ff:ff:ff:ff:ff dev eth0 metric 1024 -fe80::/64 dev eth0 proto kernel metric 256 -default via 2001:41d0:8:91ff:ff:ff:ff:ff dev eth0 metric 1024 -\end{lstlisting} -\end{frame} - % The end. \end{document} \ No newline at end of file