Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 1
Warum wir an der Univers...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 2
Über mich
IT-Sicherheit,...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 3
Die Universität
●
Campus...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 4
Hochschuldatennetz
●
272...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 5
Netzzonen (vereinfacht)
...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 6
Zentraler
Router
Border ...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 7
Zentraler Router
✓IPv6
✗...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 8
Edge-Level Sicherheit
Ed...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 9
Edge-Level Sicherheit
Ed...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 10
IPv4-Konnektivität hers...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 11
IPv6-Konnektivität hers...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 12
Edge-Level Switch
RS1 2...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 13
Edge-Level Switch
RS1 2...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 14
Probleme ohne IPv6
●
ge...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 15
Probleme ohne IPv6 (Bsp...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 16
Offene Punkte
● Kein IP...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 17
Lösungsvorschlag BYOD-N...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 18
AS57821 is looking for ...
Nächste SlideShare
Wird geladen in …5
×

Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

439 Aufrufe

Veröffentlicht am

Warum wir an der UniBwM IPv6 noch nicht eingeführt haben (2012)

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
439
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
6
Aktionen
Geteilt
0
Downloads
2
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

  1. 1. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 1 Warum wir an der Universität der Bundeswehr München IPv6 noch nicht eingeführt haben
  2. 2. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 2 Über mich IT-Sicherheit, Netzwerke, IPv6, OS-Entwicklung B. Eng. Elektrotechnik und technische Informatik Studentische Hilfskraft im Rechenzentrum www.danrl.de Dan Luedtke
  3. 3. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 3 Die Universität ● Campus-Universität, gegründet 1973 ● Dient der wissenschaftlichen Ausbildung von Offizieren und Offizieranwärtern ● ca. 3700 Studenten Stand: 2011 ● ¾ wohnen auf dem Campus ● am HDN angeschlossen ● Mitglied im DFN-Verein ● Upstream-Provider LuftbildvomCampusUniBwM Quelle:UniBwMPressearchiv HDN Hochschuldatennetz
  4. 4. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 4 Hochschuldatennetz ● 272 Switches, überwiegend Edge-Switches ● 137.193.0.0/16 ● 2001:638:103::/48 ● >9000 Endsysteme Datendurchsatz Upstream, typ. Bsp. Quelle: UniBwM RZ NetMan
  5. 5. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 5 Netzzonen (vereinfacht) Wohnheime Verwaltung Mil. Diensträume Institute Labore Server (global) Server (intern) Hörsäle WLAN Border-Router IANA/Internet via DFN Zentraler Router IntranetBW Clients IntranetBW RZ-Labor
  6. 6. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 6 Zentraler Router Border Link, RZ-Labor DFN via FHG München Border-Router DFN via Garching HA Private ASN ✓IPv6 ✗IPv6 RZ-Labor Zentraler Router Hochschuldatennetz HA FHG Fraunhofer Gesellschaft HA High Availability
  7. 7. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 7 Zentraler Router ✓IPv6 ✗IPv6 Zentraler Router Hochschul- datennetz ● IPv6-fähig ● IPv6 belastet die CPU stärker ● IPv6 entlastet die ASICs ☺ ● Einige IPv4-Features gehen bei Nutzung von IPv6 verloren ● Austausch absehbar ASIC anwendungsspezifische integrierte Schaltung
  8. 8. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 8 Edge-Level Sicherheit Edge-Level Switch RS2 3 ... N Client 1 UP 802.1Q-Trunk ● Virus-Throttling ● ICMP-Throttling ● Untagged ● VLAN fest zugewiesen ● VLAN dynamisch via 802.1X ● Loop-Protection ● DHCP-Snooping ● DHCP-Protection ● Dynamic ARP Protection 802.1Q VLAN RS Reserved UP Uplink
  9. 9. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 9 Edge-Level Sicherheit Edge-Level Switch RS2 3 ... N Client 1 UP 802.1Q-Trunk ● Virus-Throttling ● ICMP-Throttling ● Untagged ● VLAN fest zugewiesen ● VLAN dynamisch via 802.1X ● Loop-Protection ● DHCP-Snooping ● DHCP-Protection ● Dynamic ARP Protection IPv6-Äquivalente in der Firmware nicht vorhanden
  10. 10. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 10 IPv4-Konnektivität herstellen Edge-Level Switch RS1 2 3 ... N Client A Client B DHCP- Server Zentraler Router UP Internet 1. DHCP Request 3. DHCP Acknowledge 2. Relay 4. Relay 5. Switch lernt Lease 6. Port-Policy: Nur MAC/IP aus dem Lease sind erlaubt
  11. 11. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 11 IPv6-Konnektivität herstellen Edge-Level Switch RS1 2 3 ... N Client A Client B DHCP- Server Zentraler Router UP Internet 2. DHCP Request 4. DHCP Reply 1. Router Advertisement Managed=1 DHCPv6↣ Other=1 RDNS via DHCPv6↣ 6. Switch lernt Lease 7. Port-Policy: Nur MAC/IP aus dem Lease sind erlaubt 3. Relay ✓IPv6 5. Relay RDNS Resolving Nameserver Grundlage für Laborsetup Switches aus neuer Serie
  12. 12. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 12 Edge-Level Switch RS1 2 3 ... N Client A Client B DHCP- Server Zentraler Router UP Internet ✓IPv6 Probleme ● Manche Betriebssysteme beherschen kein DHCPv6 ● Manche Betriebssysteme ignorieren das Other-Flag ● Unsere Switches können DHCPv6-Snooping etc. (noch) nicht! ● Austausch der Switches aus Kostengründen derzeit nicht möglich
  13. 13. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 13 Edge-Level Switch RS1 2 3 ... N Client A Client B DHCP- Server Zentraler Router UP Internet ✓IPv6 Offene Fragen (Edge-Level) ● Privacy Extensions am Client? ● Aufwand und Nutzen der DUID-Verwaltung? ● Relay einsparen? ● site-local multicast ● ff05::1:3 All-dhcp-servers RFC3315 DUID DHCP Unique Identifier
  14. 14. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 14 Probleme ohne IPv6 ● gesunkene Kundenzufriedenheit ● Kunden finden workarounds ● Teredo (z.T. automatisch) ● Tunnelbroker ● Getunnelter Verkehr entzieht sich unserer “Kontrolle”! ● Wir lassen nicht jeden tunneln ☺
  15. 15. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 15 Probleme ohne IPv6 (Bsp.) IPv6 Edge-Level Switch RS1 2 3 ... N Client A Client B Client C ✓RZ ✗Kunde UP IPv4 nutzt scheinbar natives IPv6 ● Teredo-Tunnel ● Connection-Sharing aktiviert ● verschickt Router Advertisements ● ungewollter Router World IPv6 Day 2011
  16. 16. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 16 Offene Punkte ● Kein IPv6 ist keine Lösung! ● Wo wäre eine zentrale Adressvergabe sinnvoll? ● Server ● verwaltete Systeme ● Wo wäre die Nutzung von SLAAC statt DHCPv6 sinnvoll? ● Wohnbereiche ● Wireless ● Bring-Your-Own-Device-Netze ● Kann uns OpenFlow weiterhelfen? ● Wollen und können wir Kunden eigene Netze geben? ● Layer-2 ISP↣ ● Gibt es einen Konflikt zwischen Privacy Extensions und Sicherheit? ● Falls ja, wie lösen wir diesen?
  17. 17. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 17 Lösungsvorschlag BYOD-Netze ● Router Advertisements ● mit RDNS-Option ● SLAAC ● Neighbor Discovery Snooping ● Neighbor Discovery Detection ● Erweitertes Logfile ● Zeitstempel ● IPv6-Adresse ● Switchport BYOD Bring-Your-Own-Device SLAAC Stateless Address Autoconfiguration
  18. 18. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 18 AS57821 is looking for peers! www.nonattached.net IN EIGENER SACHE Fragen? Vielen Dank für Ihre geschätzte Aufmerksamkeit! Quellen ● RFC 2675, 5095, 3122, 4443, 4884, 4007, 2460, 5942 ● Netzkonzept für die UniBwM ab 2008; Winfried Thalmeier (CSO) ● IT-Sicherheitsstrategie an der UniBwM; 2008; Winfried Thalmeier (CSO) ● Projektstudie IPv6 im Hochschuldatennetz; 2011; Dan Luedtke ● IPv6 Border-Link and Edge-Level Packet Filtering; 2011; Dan Luedtke

×