fe80::1 vermeiden

mail at adrianschmutzler.de mail at adrianschmutzler.de
So Nov 18 23:27:08 CET 2018 

Gut, dann weiß ich jetzt schon mal, warum Idee 2 nicht geht.

 

Bei Idee 1 ist mir schon klar, dass das bei jeder anderen Adressen auch passieren kann. Ich denke aber schon, dass es in der Realität bei fe80::1 häufiger passieren wird. Ich will aber auch nicht die Welt retten, sondern eben nur das konkrete Problem mit der fe80::1 lösen.

 

Mir ist auch klar, dass das Netz weiterhin angreifbar ist, aber deshalb kann man ein bekanntermaßen auftretendes Problem ja trotzdem beheben.

 

Die Variante mit der Firewall finde ich interessant, allerdings kann ich das nicht ohne weiteres selbst, da müsste jemand den Patch ausgeben.

 

Ich würde aber erstmal auch weiterhin die Möglichkeit, die Adresse zu ändern, diskutieren.

 

Grüße

 

Adrian

 

 

From: Fabian Bläse [mailto:fabian at blaese.de] 
Sent: Sonntag, 18. November 2018 22:24
To: mail at adrianschmutzler.de; franken-dev at freifunk.net; franken-gateway at freifunk.net
Subject: Re: fe80::1 vermeiden

 

Hallo Adrian, 

On 18.11.18 21:56, mail at adrianschmutzler.de <mailto:mail at adrianschmutzler.de>  wrote: 
> Hallo zusammen, 
> 
> wir haben gelegentlich Probleme, wenn ein Gerät in einer Hood die Adresse fe80::1 benutzt, weil dann die Mesh-Knoten unter dieser Adresse das Gateway nicht mehr erreichen können. Das kann dann mehr oder minder eklig werden.

Das kann mit jeder anderen Adresse auch passieren. Großes Layer2 Netz -> jeder kann da drin gewaltige Probleme verursachen.

Gleiches gilt auch für ARP & NDP Spoofing, MAC Flooding, MAC Spoofing, lustige ICMP Nachrichten, .. (um nur einige zu nennen, die ein Layer2 Netz innerhalb kürzester Zeit komplett lahm legen können).

Am ehesten könnte ich mir noch vorstellen, dass man die Firewall auf den Routern dahingehend erweitert, dass sie keine Neighbor Advertisements für fe80::1 vom Client-Netz ins Batman schicken.

Das sichert das Netz aber auch nur gegen versehentliche "Angriffe". 

 

> Idee 2: Man gibt dem KeyXchange eine fd43-Adresse: 
> 
> Anstelle einer anderen fe80::-Adresse könnte man auch den KeyXchange ins Netz bringen und dann dessen fd43-Adresse anstatt der fe80 hinterlegen (geht das wirklich so einfach?).

> Die Router erhalten nach wie vor ihr initiales Hoodfile von der üblichen Quelle (wXsta, Network), aber das „zweite“ dann nicht mehr vom Gateway, sondern vom KeyXchange.

Das bringt leider gar nichts. 
Denn damit die Router eine ULA außerhalb ihres lokal anliegenden Netzes erreichen können, brauchen sie ein Gateway. Und das hat aktuell die fe80::1.

=> Gleiches Problem wie oben auch. 

Gruß 
Fabian 

 
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.freifunk.net/pipermail/franken-dev-freifunk.net/attachments/20181118/d27766ac/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 834 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.freifunk.net/pipermail/franken-dev-freifunk.net/attachments/20181118/d27766ac/attachment.sig>

Mehr Informationen über die Mailingliste franken-dev