OpenRheinRuhr - 8.12.2011 - noch mehr Papers

OpenRheinRuhr 2011
Ein Pott voll Software

Referenten
sl0
Programm
Tag Sonntag - 2011-11-13
Raum Vortragsraum 2
Beginn 12:20
Dauer 01:00
Info
ID 98
Veranstaltungstyp Vortrag
Track Administration
Sprache der Veranstaltung deutsch
Feedback

ipv6 - filtering for fun and profit

IPv6-Paketfilter generieren mit python

Einer kurzen Motivation zur Nutzung von Paketfiltern folgt die Vorstellung des Konzeptes, Paketfilter anhand von Definitions- und Regeldateien für beliebig viele Hosts und Router konsistent zu generieren. Der objektorientierte Python-Ansatz verspricht, ebenso einfach Filter für quelloffene Linux- und BSD-Systeme wie auch für andere, proprietäre Geräte mit en jeweiligen Bordmitteln erzeugen zu können. Vorgestellt wird eine lauffähige Implementierung, die noch nicht perfekt, aber immerhin effektiv funktioniert und mit Linux bereits produktiv eingesetzt wird. Andere OS wie OpenBSD und neuere Windows-Varainten sind in Arbeit. Verwendete Lizenz: GPLv3.

IPv6 - unendlicher Adressraum - ist genauso sicher oder unsicher wie IPv4.

Ein (fragwürdiger) Schutz durch NAT entfällt, üblich ist Ende-Ende-Kommunikation. Jeder Service eines Gerätes steht also aller Welt zur Nutzung zur Verfügung; wollen wir das wirklich? Filterung bei IPv4 ist mittlerweile alltäglich, wenn auch meist nur auf Firewalls oder Routern üblich. In der IPv6-Welt scheint eine omnipräsente Filterung wünschenswert: Jedes Endgerät sollte mit exakt konfigurierten Paket-Filtern (z.B. ip6tables, NetFilter) seine Kommunikation so einschränken, dass Manager und Administratoren gut schlafen können. Der Vortrag soll Einblicke in die Konstruktion und die Nutzung der eigenentwickelten Python-Programme geben und gleichzeitig dazu anregen, mitzumachen, anzuwenden und Nutzen aus der Sache zu ziehen. Wünschenswert bleibt, Filtermethoden für alle weitverbreiteten Systeme zu haben, Hilfestellung dazu wird gesucht, da der Autor sich bisher ausschließlich mit unixoiden Systemen und deren Filtermethoden beschäftigt hat. Eine Eigenentwicklung für IPv4 unter dem Namen sspe entstand ab 2001, dies ist ein Framework für IPv4-Filter mit iptables auf Linux und bis heute an mehreren Stellen im Betrieb. Aufgrund der gesammelten Erfahrungen und der Abwesenheit von komplizierten NAT-Mechanismen war ein Neuanfang mit Python als Basis für IPv6 möglich, nicht zuletzt auch dank eines einfach nutzbaren Python-Moduls von Google. So kann nun mit simplen Definitionen und Regeln eine ganze, administrativ zusammenhängende System-Landschaft bequem und (durch ssh) sicher mit konsistenten Filterregeln geschützt werden.

Die Software ist unter GPLv3 frei verfügbar unter: http://evolvis.org/projects/adm6