Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und relevantere Anzeigen zu schalten. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 1
Warum wir an der Univers...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 2
Über mich
IT-Sicherheit,...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 3
Die Universität
●
Campus...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 4
Hochschuldatennetz
●
272...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 5
Netzzonen (vereinfacht)
...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 6
Zentraler
Router
Border ...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 7
Zentraler Router
✓IPv6
✗...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 8
Edge-Level Sicherheit
Ed...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 9
Edge-Level Sicherheit
Ed...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 10
IPv4-Konnektivität hers...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 11
IPv6-Konnektivität hers...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 12
Edge-Level Switch
RS1 2...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 13
Edge-Level Switch
RS1 2...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 14
Probleme ohne IPv6
●
ge...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 15
Probleme ohne IPv6 (Bsp...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 16
Offene Punkte
● Kein IP...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 17
Lösungsvorschlag BYOD-N...
Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 18
AS57821 is looking for ...
Nächste SlideShare
Wird geladen in …5
×

Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

556 Aufrufe

Veröffentlicht am

Warum wir an der UniBwM IPv6 noch nicht eingeführt haben (2012)

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Warum wir an der UniBwM IPv6 noch nicht eingeführt haben

  1. 1. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 1 Warum wir an der Universität der Bundeswehr München IPv6 noch nicht eingeführt haben
  2. 2. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 2 Über mich IT-Sicherheit, Netzwerke, IPv6, OS-Entwicklung B. Eng. Elektrotechnik und technische Informatik Studentische Hilfskraft im Rechenzentrum www.danrl.de Dan Luedtke
  3. 3. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 3 Die Universität ● Campus-Universität, gegründet 1973 ● Dient der wissenschaftlichen Ausbildung von Offizieren und Offizieranwärtern ● ca. 3700 Studenten Stand: 2011 ● ¾ wohnen auf dem Campus ● am HDN angeschlossen ● Mitglied im DFN-Verein ● Upstream-Provider LuftbildvomCampusUniBwM Quelle:UniBwMPressearchiv HDN Hochschuldatennetz
  4. 4. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 4 Hochschuldatennetz ● 272 Switches, überwiegend Edge-Switches ● 137.193.0.0/16 ● 2001:638:103::/48 ● >9000 Endsysteme Datendurchsatz Upstream, typ. Bsp. Quelle: UniBwM RZ NetMan
  5. 5. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 5 Netzzonen (vereinfacht) Wohnheime Verwaltung Mil. Diensträume Institute Labore Server (global) Server (intern) Hörsäle WLAN Border-Router IANA/Internet via DFN Zentraler Router IntranetBW Clients IntranetBW RZ-Labor
  6. 6. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 6 Zentraler Router Border Link, RZ-Labor DFN via FHG München Border-Router DFN via Garching HA Private ASN ✓IPv6 ✗IPv6 RZ-Labor Zentraler Router Hochschuldatennetz HA FHG Fraunhofer Gesellschaft HA High Availability
  7. 7. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 7 Zentraler Router ✓IPv6 ✗IPv6 Zentraler Router Hochschul- datennetz ● IPv6-fähig ● IPv6 belastet die CPU stärker ● IPv6 entlastet die ASICs ☺ ● Einige IPv4-Features gehen bei Nutzung von IPv6 verloren ● Austausch absehbar ASIC anwendungsspezifische integrierte Schaltung
  8. 8. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 8 Edge-Level Sicherheit Edge-Level Switch RS2 3 ... N Client 1 UP 802.1Q-Trunk ● Virus-Throttling ● ICMP-Throttling ● Untagged ● VLAN fest zugewiesen ● VLAN dynamisch via 802.1X ● Loop-Protection ● DHCP-Snooping ● DHCP-Protection ● Dynamic ARP Protection 802.1Q VLAN RS Reserved UP Uplink
  9. 9. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 9 Edge-Level Sicherheit Edge-Level Switch RS2 3 ... N Client 1 UP 802.1Q-Trunk ● Virus-Throttling ● ICMP-Throttling ● Untagged ● VLAN fest zugewiesen ● VLAN dynamisch via 802.1X ● Loop-Protection ● DHCP-Snooping ● DHCP-Protection ● Dynamic ARP Protection IPv6-Äquivalente in der Firmware nicht vorhanden
  10. 10. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 10 IPv4-Konnektivität herstellen Edge-Level Switch RS1 2 3 ... N Client A Client B DHCP- Server Zentraler Router UP Internet 1. DHCP Request 3. DHCP Acknowledge 2. Relay 4. Relay 5. Switch lernt Lease 6. Port-Policy: Nur MAC/IP aus dem Lease sind erlaubt
  11. 11. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 11 IPv6-Konnektivität herstellen Edge-Level Switch RS1 2 3 ... N Client A Client B DHCP- Server Zentraler Router UP Internet 2. DHCP Request 4. DHCP Reply 1. Router Advertisement Managed=1 DHCPv6↣ Other=1 RDNS via DHCPv6↣ 6. Switch lernt Lease 7. Port-Policy: Nur MAC/IP aus dem Lease sind erlaubt 3. Relay ✓IPv6 5. Relay RDNS Resolving Nameserver Grundlage für Laborsetup Switches aus neuer Serie
  12. 12. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 12 Edge-Level Switch RS1 2 3 ... N Client A Client B DHCP- Server Zentraler Router UP Internet ✓IPv6 Probleme ● Manche Betriebssysteme beherschen kein DHCPv6 ● Manche Betriebssysteme ignorieren das Other-Flag ● Unsere Switches können DHCPv6-Snooping etc. (noch) nicht! ● Austausch der Switches aus Kostengründen derzeit nicht möglich
  13. 13. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 13 Edge-Level Switch RS1 2 3 ... N Client A Client B DHCP- Server Zentraler Router UP Internet ✓IPv6 Offene Fragen (Edge-Level) ● Privacy Extensions am Client? ● Aufwand und Nutzen der DUID-Verwaltung? ● Relay einsparen? ● site-local multicast ● ff05::1:3 All-dhcp-servers RFC3315 DUID DHCP Unique Identifier
  14. 14. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 14 Probleme ohne IPv6 ● gesunkene Kundenzufriedenheit ● Kunden finden workarounds ● Teredo (z.T. automatisch) ● Tunnelbroker ● Getunnelter Verkehr entzieht sich unserer “Kontrolle”! ● Wir lassen nicht jeden tunneln ☺
  15. 15. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 15 Probleme ohne IPv6 (Bsp.) IPv6 Edge-Level Switch RS1 2 3 ... N Client A Client B Client C ✓RZ ✗Kunde UP IPv4 nutzt scheinbar natives IPv6 ● Teredo-Tunnel ● Connection-Sharing aktiviert ● verschickt Router Advertisements ● ungewollter Router World IPv6 Day 2011
  16. 16. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 16 Offene Punkte ● Kein IPv6 ist keine Lösung! ● Wo wäre eine zentrale Adressvergabe sinnvoll? ● Server ● verwaltete Systeme ● Wo wäre die Nutzung von SLAAC statt DHCPv6 sinnvoll? ● Wohnbereiche ● Wireless ● Bring-Your-Own-Device-Netze ● Kann uns OpenFlow weiterhelfen? ● Wollen und können wir Kunden eigene Netze geben? ● Layer-2 ISP↣ ● Gibt es einen Konflikt zwischen Privacy Extensions und Sicherheit? ● Falls ja, wie lösen wir diesen?
  17. 17. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 17 Lösungsvorschlag BYOD-Netze ● Router Advertisements ● mit RDNS-Option ● SLAAC ● Neighbor Discovery Snooping ● Neighbor Discovery Detection ● Erweitertes Logfile ● Zeitstempel ● IPv6-Adresse ● Switchport BYOD Bring-Your-Own-Device SLAAC Stateless Address Autoconfiguration
  18. 18. Dan Luedtke <mail@danrl.de> ● Donnerstag, 10. Mai 2012 ● Frankfurt a.M. ● IPv6-Kongress ● Folie 18 AS57821 is looking for peers! www.nonattached.net IN EIGENER SACHE Fragen? Vielen Dank für Ihre geschätzte Aufmerksamkeit! Quellen ● RFC 2675, 5095, 3122, 4443, 4884, 4007, 2460, 5942 ● Netzkonzept für die UniBwM ab 2008; Winfried Thalmeier (CSO) ● IT-Sicherheitsstrategie an der UniBwM; 2008; Winfried Thalmeier (CSO) ● Projektstudie IPv6 im Hochschuldatennetz; 2011; Dan Luedtke ● IPv6 Border-Link and Edge-Level Packet Filtering; 2011; Dan Luedtke

×