IPv6 Monitoring: Wo sind meine Daten? Wilhelm Boeddinghaus Strato AG 05. Januar 2012

Transkript

1 IPv6 Monitoring: Wo sind meine Daten? Wilhelm Boeddinghaus Strato AG 05. Januar 2012

2 Wer spricht heute? Dipl. Inf. (FH) Wilhelm Boeddinghaus Leiter des Netzwerkes Strato AG Die Strato AG ist eine Tochter der Deutschen Telekom AG Folie 2

3 IPv6 Monitoring Agenda Einführung Betriebssysteme Router Statistiken Webstatistiken DoS Erkennung Folie 3

4 IPv6 Monitoring - Einführung Welche Fragen beantwortet das Monitoring? Statistiken Wie viel Traffic fliesst? Angriffe Automatische Erkennung Security Sind meine Filter richtig gesetzt? Welche Dienste laufen schon über IPv6? Folie 4

5 IPv6 Monitoring - Einführung Welche Fragen beantwortet das Monitoring? Wo entstehen die Daten? Intern im Unternehmen Extern auf Web und servern Abrechnung oder Kontrolle von Abrechnung Welche Merkmale haben die Daten? Wie müssen Filter aussehen, um die Daten zu erfassen? Folie 5

6 IPv6 Monitoring - Datenschutz Wichtiges Thema, aber nicht in diesem Tutorial Keine juristische Betrachtung des Themas Bei Logfiles gleiche Bedeutung wie bei IPv4 Anonymisierung? Bei IPv6 Adressen kann es Probleme geben IPv6 Adresse aus MAC Adresse erzeugt Folie 6

7 IPv6 Monitoring Wo ist das Problem? Switche sehen Layer3 Pakete als Bytes und unterscheiden nicht zwischen IPv6 und IPv4 Nutzt das Betriebssytem IPv4 oder IPv6? Oder hängt das von der Applikation ab? Ich kann meine nicht abrufen IPv4 oder IPv6, wie soll es der Kunde unterscheiden? Folie 7

8 Betriebssysteme Alle gängingen Betriebssysteme unterstützen IPv6 Einige schalten IPv6 per default an Windows 7 / Windows Vista Windows Server 2008 R2 Linux MacOS ios (Apple, nicht Cisco ) Folie 8

9 Windows 7 IPv6 ist angeschaltet! Ist das allen Beteiligten im Unternehmen bekannt? Welche Daten werden mit IPv6 transportiert? Welche Wege nehmen die Daten? Werden Tunnel genutzt? Wie kann IPv6 sichtbar gemacht werden? Folie 9

10 Windows 7 IPv6 ist angeschaltet Windows Vista, Windows 7 und Server 2008 R2 haben per Default IPv6 an. Link Local Adresse wird generiert Neighbor Discovery wird durchgeführt Kommunikation über IPv6 wird bevorzugt Bei vielen Unternehmen ist nicht bekannt, dass IPv6 schon läuft Sicherheit??? Folie 10

11 Windows 7 IPv6 Sichtbarkeit ipconfig Ethernet adapter Local Area Connection: Connection-specific DNS Suffix. : xxxxxxxxx Description : Intel(R) 82567LM Gigabit Network Connection Physical Address : E0-F0-3C DHCP Enabled : Yes Autoconfiguration Enabled.... : Yes IPv6 Address : 2a01:238:xxxx:xxxx:353e:827b:ba2e:8702(Preferred) Temporary IPv6 Address : 2a01:238:xxxx:xxxx:3c00:d0d1:23d9:f62(Preferred) Link-local IPv6 Address..... : fe80::353e:827b:ba2e:8702%10(preferred) Default Gateway : fe80::224:97ff:fef0:7bb7%10 Folie 11

12 Windows 7 IPv6 Bordmittel netsh interface ipv6>show siteprefixes Prefix Lifetime Interface a01:238:xxxx:xxxx:/64 60d Local Area Connection Folie 12

13 Windows 7 IPv6 Bordmittel netsh interface ipv6>show tcpstats MIB-II TCP Statistics Timeout Algorithm: Van Jacobson's Algorithm Minimum Timeout: 10 Maximum Timeout: Maximum Connections: Dynamic Active Opens: 140 Passive Opens: 4 Attempts Failed: 0 Established Resets: 4 Currently Established: 0 In Segments: 2394 Out Segments: 1908 Retransmitted Segments: 5 In Errors: 0 Out Resets: 70 Folie 13

14 Windows 7 IPv6 Bordmittel netsh interface ipv6>show udpstats MIB-II UDP Statistics In Datagrams: 1689 In Invalid Port: 0 In Erroneous Datagrams: 0 Out Datagrams: 2424 Folie 14

15 Windows 7 IPv6 Bordmittel netsh interface ipv6>show ipstats MIB-II IP Statistics Forwarding is: Disabled Default TTL: 128 In Receives: 7174 In Header Errors: 0 In Address Errors: 3161 Datagrams Forwarded: 0 In Unknown Protocol: 0 In Discarded: 0 In Delivered: 4884 Out Requests: 6157 Routing Discards: 0 Out Discards: 0 Out No Routes: 54 Reassembly Timeout: 60 Reassembly Required: 0 Reassembled Ok: 0 Reassembly Failures: 0 Fragments Ok: 0 Fragments Failed: 0 Fragments Created: 0 Folie 15

16 Windows 7 IPv6 Bordmittel netsh interface ipv6>show global General Global Parameters Default Hop Limit : 128 hops Neighbor Cache Limit : 256 entries per interface Route Cache Limit : 128 entries per compartment Reassembly Limit : bytes ICMP Redirects : enabled Source Routing Behavior : dontforward Task Offload : enabled Dhcp Media Sense : enabled Media Sense Logging : disabled MLD Level : all MLD Version : version3 Multicast Forwarding : disabled Group Forwarded Fragments : disabled Randomize Identifiers : enabled Address Mask Reply : disabled Current Global Statistics Number of Compartments : 1 Number of NL clients : 7 Number of FL providers : 4 Folie 16

17 Windows 7 Monitoring Microsoft bietet ein gutes und kostenloses Tool Folie 17

18 Windows 7 Monitoring Auswertung nach Adresse Folie 18

19 Windows 7 Monitoring Auswertung nach ICMPv6 Folie 19

20 Wireshark ICMPv6 Wireshark ICMPv6 Folie 20

21 Wireshark Filter Filter nach Ethertype: eth.type == 0x86dd IPv6 Traffic: ipv6 ICMPv6: icmpv6 Eine Source Adresse: ipv6.src == fe80::2d0:59ff:fe05:ec54 IPv6-over-IPv4 tunneled traffic : ip.proto == 41 Capture native IPv6 traffic only: ipv6 and not ip.proto == 41 Folie 21

22 Wireshark Links hark_display_filters.pdf Folie 22

23 Windows 7 Src Address RFC Welche Absender Adresse nutzt mein Rechner / Server? netsh interface ipv6>show prefixpolicies Querying active state... Precedence Label Prefix ::1/128 (IPv6 Loopback) 40 1 ::/0 (IPv6 Default Route) ::/16 (6to4 Tunnel) 20 3 ::/96 (IPv4 Kompatibilität, depricated) 10 4 ::ffff:0:0/96(ipv4 mapped Addresses) ::/32 (Teredo) Folie 23

24 Linux IPv6 ist angeschaltet! Ist das allen Beteiligten im Unternehmen bekannt? Welche Daten werden mit IPv6 transportiert? Welche Wege nehmen die Daten? Werden Tunnel genutzt? Wie kann IPv6 sichtbar gemacht werden? Folie 24

25 Linux server:~# ifconfig eth0 eth0 Link encap:ethernet HWaddr 00:d0:59:05:ec:54 inet6 addr: 2a01:238:xxxx:xxxx:452a:47b1:ab60:5bf4/64 Scope:Global inet6 addr: fe80::2d0:59ff:fe05:ec54/64 Scope:Link inet6 addr: 2a01:238:xxxx:xxxx:5610:de34:5509:1a2b/64 Scope:Global RX packets: errors:0 dropped:0 overruns:0 frame:0 TX packets: errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes: (349.2 MiB) TX bytes: (351.9 MiB) Folie 25

26 Linux Src Address RFC Welche Absender Adresse nutzt mein Rechner / Server? /etc/gai.conf #precedence ::1/ #precedence ::/0 40 #precedence 2002::/16 30 #precedence ::/96 20 #precedence ::ffff:0:0/96 10 Folie 26

27 MAC OS X IPv6 ist angeschaltet Privacy Extensions können zugeschaltet werden Folie 27

28 ios ios kann IPv6 Seit Version 4.3 auch mit Privacy Extensions User sieht es nicht und merkt es auch nicht Aber die Schildkröte bei schwimmt Folie 28

29 Privacy Extensions RFC 4941 Der Hostanteil der IPv6 Adresse wird per MD5 generiert 1234:5678:90ab:cdef:1234:5678:90ab:cdef Kann stündlich neu berechnet werden Wie soll das im Monitoring abgebildet werden? Datenschutz - Sicherheit Folie 29

30 Adresswahl Es gibt die Vorgabe nach RFC 3484 Global Unicast wird für externe Kommunikation genutzt Mehrere Adressen möglich Privacy Extensions werden genutzt Link Local für Kommunikation auf dem Link Filter auf das richtige Netzwerk schauen lassen Folie 30

31 Router Statistiken Router arbeiten auf Layer 3 IPv4 und IPv6 Ist eine getrennte Anzeige möglich? Sind getrennte Werte per SNMP verfügbar? Sind Routing Protokolle überwachbar? Folie 31

32 Router Statistiken Juniper MX 960 Transit statistics: Input bytes : bps Output bytes : bps Input packets: pps Output packets: pps IPv6 transit statistics: Input bytes : Output bytes : Input packets: Output packets: Folie 32

33 Router Statistiken Cisco Catalyst 6500 Zeigt nur Bytes an, keine Unterscheidung von IPv4 und IPv6 Soll sich mit neuer Serie von Boards ändern Cisco CRS1 Zeigt nur Bytes an, keine Unterscheidung von IPv4 und IPv6 Folie 33

34 Router Statistiken Cisco 7200 G1 Zeigt nur Bytes an, keine Unterscheidung von IPv4 und IPv6 Folie 34

35 Router SNMP RFC 4292 IP-FORWARD-MIB RFC 4293 IP-MIB RFC 4022 TCP-MIB RFC 4113 UDP-MIB Aber, die Hersteller müssen es unterstützen! Folie 35

36 Webstatistiken Apache braucht 2 x Virtual Host Konfiguration IPv6 und IPv4 können getrennte oder gemeinsame Logfiles nutzen Apache schreibt Logfiles mit IPv6 Adressen IPv6 Geo IP bisher eingeschränkt möglich Sind getrennte Statistiken sinnvoll? Folie 36

37 Webstatistiken Awstats Licence: Gnu GPL Plug-In IPv6 muss eingeschaltet sein Geo IP funktioniert nicht Kann auch und FTP Logs auswerten Folie 37

38 Webstatistiken Awstats # PLUGIN: IPv6 # PARAMETERS: None # REQUIRED MODULES: Net::IP and Net::DNS # DESCRIPTION: This plugin gives AWStats capability to make reverse DNS # lookup on IPv6 addresses. LoadPlugin="ipv6" Folie 38

39 Webstatistiken Folie 39

40 Webstatistiken Awstats Betriebsysteme Folie 40

41 Webstatistiken Awstats Browser Folie 41

42 Webstatistiken Awstats Geo IP Es sind nur wenige Datenbanken vorhanden Einbindung ist nicht intuitiv Folie 42

43 Webstatistiken Webalizer Fully supports IPv4 and IPv6 addresses. (Zitat von Webalizer Xtended Changelog (December 8, 2007) Changes/Additions: - Added full IPv6 support Folie 43

44 Webstatistiken Webtrends Folie 44

45 Webstatistiken Webtrends Folie 45

46 Webstatistiken Google Analytics Google Analytics arbeitet unabhängig von IPv4 und IPv6 Es ist nicht leicht möglich, die IP Adresse der Besucher zu ermitteln. Google scheint das nicht zu wollen. Piwik Die Unterstützung für IPv6 kam mit Version 1.4 Aktuell ist die Version 1.6 Scheint keine hohe Priorität zu haben Folie 46

47 Geo IP Die IANA hat jeder RIR einen IPv6 Block zugeteilt APNIC: 2400::/12 ARIN: 2600::/12 LACNIC: 2800::/12 RIPE: 2a00::/12 Afrinic: 2c00::/12 Grobes GeoIP damit möglich Folie 47

48 Geo IP für IPv6 Maxmind GeoLite Country Sortiert nach Ländern Monatliches Update Download als CSV Datei Wird breit unterstützt Folie 48

49 Geo IP für IPv6 IP2Location Download der Datenbank als binary Länder für IPv6 frei verfügbar Bringt als Ausgabe das Landeskürzel: DE API zur Auswertung der Database Perl, Ruby, Phyton, Apache Modul VB.Net C#, C, Objective C, Java Folie 49

50 Geo IP für IPv6 Quova Quova is offering an Alpha IPv6 geolocation product With the following fields: Country State City Organization Folie 50

51 Geo IP für IPv6 software77.net/geo-ip/ Geo::IPfree Perl Modul Kompatibel mit AWStats Weitere Möglichkeiten Geo::IP Perl Modul Folie 51

52 Geo IP für IPv6 GeoIP ist wichtig für lokale Werbung Eine Pizzeria will nur im Stadtteil werben Mit IPv6 ist das noch nicht möglich Folie 52

53 DoS Erkennung Wie wird ein DoS erkannt? Menge der Packete Menge der Daten Typ der Packete Syn, oder nur ACK ohne Syn Problem Angriff mit IPv4 oder IPv6 oder beiden Protokollen, oder alternierend? Folie 53

54 DoS Erkennung Schwellwerte? Wann wird Alarm ausgelöst? Für IPv4 Für IPv6 Für eine Kombination aus beiden Protokollen TCP oder UDP oder ICMPv6 Folie 54

55 DoS Erkennung Netflow v9 kann IPv6 Daten exportieren IPV6_SRC_ADDR IPV6_DST_ADDR IPV6_SRC_MASK IPV6_DST_MASK IPV6_FLOW_LABEL Damit ist eine Unterscheidung zwischen IPv6 und IPv4 möglich Folie 55

56 DoS Erkennung NFSEN Netflow Sensor Open Source Software Kann Neflow 9 lesen und interpretieren Ausgabe nach IPv4 und IPv6 möglich Folie 56

57 DoS - Reaktion Sperren ist der erste Gedanke Aber was wird gesperrt? Zeigt das Monitoring die IP Adresse oder das Netz des Angreifers? Privacy Extensions ermöglichen wechselnde Adressen des Angreifers Oder gar wechseln der Adresse mit Perl Was muss das Monitoring erfassen? Folie 57

58 Troubleshooting Warum kommen IPv6 Verbindungen nicht zustande? 12% - 20% der 6to4 Tunnel kommen nicht zustande Protokoll 41 wird gefiltert? Adressbereich 2002::/16 wird gefiltert MTU Path Discovery Geoff Houston, RIPE62 Amsterdam Folie 58

59 Troubleshooting Warum kommen IPv6 Verbindungen nicht zustande? Ca. 40% der Teredo Tunnel kommen nicht zustande Erst ICMP, dann Syn Filter auf Adressbereiche Geoff Houston, RIPE62 Amsterdam Folie 59

60 Troubleshooting ARP Neighbour Discovery Die Zuordnung IP MAC war bisher ein Layer 2 Protokoll (ARP Address Resolution Protocol) IPv6 realisiert das mit ICMPv6 1:1 Übernahme von alten Firewallregeln geht nicht Monitoring, ob ICMPv6 frei fliessen darf Folie 60

61 Fazit IPv6 ist sichtbar Die meisten Betriebssysteme bevorzugen es Router können IPv6, zeigen es aber nicht immer an GeoIP muss verbessert werden Folie 61

62 Vielen Dank Netzwerk & Routing elm_boeddinghaus STRATO AG Pascalstraße Berlin