IPv6 Security - Chancen und Herausforderungen

Transkript

1 IPv6 Security - Chancen und Herausforderungen Thomas Scheer Bettina Schnor Fachbereich Elektrotechnik Beuth Hochschule Berlin {scheer@beuth-hochschule.de} Institut für Informatik Universität Potsdam {schnor@cs.uni-potsdam.de}

2 Grundlagen Übersicht 1 Grundlagen Warum IPv6? Netzwerksicherheit ICMPv6 / Autoconguration / Extension Header 2 Sicherheitsprobleme in IPv6 Stateless Autoconguration Secure Neighbor Discover Source Routing in IPv6 3 Firewalls & Netzwerksicherheit ip6tables Host Security 4 Literatur Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 2 / 39

3 Grundlagen Warum IPv6? Warum IPv6? Quality of Service Inhärente Sicherheit (native IPsec Unterstützung) Mobilitätsunterstützung (Mobile IP) Auto-conguration (Plug-and-Play) Erweiterbarkeit bzgl. zukünftiger Protokollanforderungen Kleinere Routingtabellen aber: Bereits durch die weitere IPv4-Standardisierung abgedeckt! Wichtigster Grund: Genügend IP-Adressen! Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 3 / 39

4 Grundlagen Netzwerksicherheit Netzwerksicherheit IPv6 IPv6 bringt Verbesserungen, die sich auf die Netzwerksicherheit positiv auswirken können: Inhärente IPsec Unterstützung Gröÿere Subnetze aber: IPv6 bringt durch eine Reihe von Features auch neue Herausforderungen mit sich. Neue Implementierungen besitzen zum Teil noch nicht die geforderte Produktreife. Die potentiellen Problemfelder gilt es frühzeitig zu erkennen und geeignete Schutzmaÿnahmen vorzuschlagen. Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 4 / 39

5 Grundlagen Netzwerksicherheit 3 Phasen der Sicherheitsbetrachtung von IPv6 1 IPv6 ist ein sicheres Netzwerkprotokoll, es besitzt inhärenten IPsec-Support. 2 IPv6-Netze müssen genauso wie IPv4-Netze geschützt werden, es werden identische Tools benötigt. 3 IPv6 besitzt neue Protokoll-Features (Routing Header, Autokonguration,...). Es sind neuartige Angrie möglich. Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 5 / 39

6 Grundlagen Netzwerksicherheit Netzwerksicherheit IPv6 - Subnetzgröÿe Subnetzgröÿe für IPv6 beträgt mindestens: 2 64 (1, Hosts) Gröÿe durch die Interface ID abgesteckten Host-Anteils der IP-Adresse Derzeitige Wurmattacken verwenden z.b. Hostscans, um mögliche Angrisziele zu identizieren. Hostscan in einem IPv6 Subnetz: Bei angenommener Gleichverteilung von Hosts in diesem Adressraum und 1 Million Anfragen pro Sekunde (400 Mbit/s) dauert es durchschnittlich 2,8 Jahre, bis der erste Host gefunden wird. Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 6 / 39

7 Grundlagen Netzwerksicherheit Netzwerksicherheit IPv6 - Subnetzgröÿe Aber Angrie werden erleichtert, falls: Host-ID auf Basis MAC-Adresse Manuell kongurierte Host-ID, die leicht zu erinnern ist (::10, ::20, eingebettete IPv4-Adresse usw.) Namensauösung über DNS Angrie werden trivial, falls der Angreifer lokalen Zugri hat: IPv6 unterstützt well-known Multicast Adressen (RFC 2375): All-Nodes (FF02::1), All-Routers (FF05::2), All-DHCP Server (FF05::3) Absetzen eines gefälschten Routing Advertisements und Snien der Anfragen zur Duplicate Address Detection (DAD) Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 7 / 39

8 Grundlagen Netzwerksicherheit IPv6 Scoped Multicast-Adressen 8 Bit Multicast ID 4 Bit 4 Bit 112 Bit Gruppen ID Flag Scope GroupID Flag - 'well-known'/'transient' Adresse, u.a. Scope - Reichweite der Multicast Gruppe Node-Local Multicast F F G G G G G G G G Link-Local Multicast F F G G G G G G G G Site-Local Multicast F F G G G G G G G G Organisation-Local Multicast F F G G G G G G G G Global Multicast F F 0 E G G G G G G G G IPv6 Address F Prefix Host-ID 0 G G G G G G G G Solicited Node Address F F F F G 24 G bit G G G Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 8 / 39

9 Grundlagen ICMPv6 / Autoconguration / Extension Header ICMPv6 Das ICMPv6 Protokoll ist im Gegensatz zu ICMP(v4) ein zentrales Protokoll für den Einsatz von IPv6. Es stellt eine Vielzahl von Funktionen bereit, welche in IPv4 entweder nicht existierten oder durch andere Protokolle abgedeckt wurden: Stateless Address Autoconguration und Router Discovery L2-Adressauösung mittels ICMPv6 Neighbour Discovery Protocol (NDP). IPv4 benutzt das ARP Protokoll auf Layer 2. Ermittlung der Erreichbarkeit und der Parameter des Übertragungspfades: Echo Request/Response, Path MTU Discovery. Verwaltung der Multicast-Gruppenzugehörigkeit durch Multicast Listener Discovery und Multicast Router Discovery. IPv4 benutzt dazu das IGMP Protokoll. Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 9 / 39

10 Grundlagen ICMPv6 / Autoconguration / Extension Header 1 Router Solicitation (Typ 133): Wenn ein Netzwerkinterface aktiviert wird, können Hosts eine Router Solicitation aussenden, um sofort ein neues Router Advertisement anzufordern. 2 Router Advertisement (Typ 134): Router geben in regelmäÿigen Abständen ihre Anwesenheit im Netz bekannt und teilen damit den Hosts verschiedene Link-und Internetparameter mit. Router Advertisements enthalten Prex-Information, welche für die Adresskonguration benutzt werden, vorgeschlagene MTU, etc. 3 Neighbor Solicitation (Typ 135): Werden durch einen Node versendet, um die Link-Layer Adresse eines Nachbarn zu ermitteln, bzw. um zu überprüfen, ob der Nachbar noch unter unter dieser Adresse erreichbar ist. Neighbor Solicitations werden auch benutzt, um mittels Duplicate Address Detection die Einzigartigkeit der kongurierten Adressen zu überprüfen. Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 10 / 39

11 Grundlagen ICMPv6 / Autoconguration / Extension Header 4 Neighbor Advertisement (Typ 136): Sind die Antwortnachrichten auf eine Neighbor Solicitation Nachricht. Ein Node kann aber auch selbständig Unsolicited Neighbor Advertisements versenden, um eine geänderte Link-Layer Adresse bekanntzugeben. Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 11 / 39

12 Grundlagen ICMPv6 / Autoconguration / Extension Header Address Autokonguration Address Autoconguration wird benutzt, um einem IPv6 Host automatisch IP-Adressen zuzuweisen. Dadurch wird sichergestellt, dass der Host im Netzwerk ohne explizite Konguration kommunizieren kann. Es gibt 2 Methoden der Autoconguration, die zustandslose (stateless) Autokonguration ist das Default-Verfahren: Um eine gültige IP Adresse zu bilden, nutzt der Host verfügbare Prex-Information (z.b. aus dem Router Discovery Prozess) und testet anschlieÿend die Adresse mittels Duplicate Address Detection (DAD) auf Einzigartigkeit. Als stateful-mechanismus, bietet DHCPv6 zusätzliche Features der Autoconguration. DHCPv6 steht aber nicht für alle Betriebssysteme zur Verfügung. Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 12 / 39

13 Grundlagen ICMPv6 / Autoconguration / Extension Header Stateless Address Autoconguration Link-Local Prefix F E Ethernet MAC Address OUI 0 G G G GNICG G EUI-64 Address OUI F F F E NIC Bit 7 wird komplementär ersetzt IPv6 Address F Prefix Host-ID 0 0 (EUI-64) G G G G G G G G Jedes Interfaces muss mindestens eine Link-Local Unicast Adresse besitzen Interface Identier(letzten 64 Bit) der Endsysteme muss nur im Teilnetz eindeutig sein und wird meist aus der MAC Adresse des Interfaces erzeugt Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 13 / 39

14 Grundlagen ICMPv6 / Autoconguration / Extension Header Stateless Address Autoconguration Autokonguration gilt nur für Hosts, nicht für Router. IPv6 haben eines assoziierte Lebenszeit: Gültige Adressen sind preferred. Adressen, die bald ablaufen werden auf den Zustand deprecated gesetzt. Letztere dürfen in neuen Verbindungen nicht mehr benutzt werden. Duplicate Address Detection: Nachdem eine link-lokale Adresse erzeugt wurde, wird diese mit einer Neighbour Soliciting Message verschickt, um ihre Eindeutigkeit zu testen. Falls die Adresse schon existiert, schickt der Besitzer der Adresse eine Neighbour Advertising Message mit dieser Info zurück und die Autokonguration wird abgebrochen. Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 14 / 39

15 Grundlagen ICMPv6 / Autoconguration / Extension Header Stateless Address Autoconguration Duplicate Address Detection Host A IP: A (tentative) Host B IP: B ICMP-Type: 135 Src: 0 (::), Dest: Solicited Node A, Target: A Wenn die IP-Adresse von Host A bereits auf diesem Link vergeben ist, kann sie nicht dem Interface zugewiesen werden. Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 15 / 39

16 Grundlagen ICMPv6 / Autoconguration / Extension Header IPv6 Extension Header IPv6 verfügt über einen exiblen Mechanismus für die Erweiterung des Protokolls um zusätzliche Funktionalitäten. Dazu können weitere Header (Extension Header) zwischen IP und L4-Header eingefügt werden. IPv6 Next Header 58 ICMPv6 IPv6 TCP Data 6 Next Header IPv6 50 ESP 17 UDP Data Next Header Next Header IPv6 Routing Fragment 43 Header 44 Header 58 Next Header Next Header ICMPv6 Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 16 / 39

17 Sicherheitsprobleme in IPv6 Übersicht 1 Grundlagen Warum IPv6? Netzwerksicherheit ICMPv6 / Autoconguration / Extension Header 2 Sicherheitsprobleme in IPv6 Stateless Autoconguration Secure Neighbor Discover Source Routing in IPv6 3 Firewalls & Netzwerksicherheit ip6tables Host Security 4 Literatur Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 17 / 39

18 Sicherheitsprobleme in IPv6 Stateless Autoconguration Stateless Address Autoconguration Probleme: Abhilfe: Jeder kann sich am Netzwerk anmelden und erhält eine gültige Adresse! Duplicate Address Detection kann für DOS-Attacke ausgenutzt werden. Router Advertisements und Neighbor Solicitation Nachrichten können gefälscht werden (vgl. ARP-Spoong in IPv4) 1 Authentizierte Neighbour Discovery Message (AH-Header gemäÿ RFC 4302) 2 Verwendung des Secure Neighbor Discovery Protokolls (RFC 3971) Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 18 / 39

19 Sicherheitsprobleme in IPv6 Stateless Autoconguration Stateless Address Autoconguration DOS-Angri auf Duplicate Address Detection Host A IP: A (tentative) Angreifer IP: B ICMP-Type: 135 Src: 0 (::), Dest: Solicited Node A, Target: IP A ICMP-Type: 136 Src: IP A, Dest: Multicast AllNodes, Target: A Ein Angreifer antwortet wiederholt auf die DAD-Anfrage von Host A und verhindert somit, dass Host A eine gültige IPv6 Adresse kongurieren kann. Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 19 / 39

20 Sicherheitsprobleme in IPv6 Probleme des Zusammenspiels von ICMPv6 und IPsec IKE Stateless Autoconguration Die IPv6 Sicherheitsarchitektur sieht vor, dass alle IP Pakete mittels IPsec gesichert werden können, auch ICMPv6 Nachrichten. Allerdings gibt es ein Bootstrap-Problem im Fall der Autokonguration. Um ein IKE UDP zu versenden müsste zuerst eine Neighbour Solicitation Nachricht versendet werden. Diese wäre dann aber noch ungesichert... IPsec kann Unicast und Multicast Verkehr sichern, allerdings kann IKE Security Associations(SA) nur für Unicast Verkehr automatisch aushandeln. Die folgenden ICMPv6 Nachrichten müssten deshalb manuell kongurierte SAs verwenden: Router und Neighbor Solicitation, Router und Neighbor Advertisement. Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 20 / 39

21 Sicherheitsprobleme in IPv6 Secure Neighbor Discover Sichere Neighbor Discovery mittels SEND aber: Die Spezikation des Neighbor Discovery Protokolls (RFC4861) empehlt die Verwendung von IPsec zum Schutz von NDP Nachrichten nur für kleinere Netze. Das SEcure Neighbor Discovery (SEND) Protokoll wurde entworfen um mögliche Angrie gegen NDP abzuwehren. Das Protokoll nutzt kryptographisch generierte Adressen, welche eine Bindung der Adresse an den generierenden Node gestatten. Das Verfahren funktioniert auch für automatisch generierte IP-Adressen. Betriebssystemunterstützung ist mangelhaft: Linux experimentell; WinXP und Vista keine; Cisco IOS 12.4 unterstützt SEND. Keine Erfahrung im Betrieb, evtl. anfällig für Angrie die Ressourcen binden Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 21 / 39

22 Sicherheitsprobleme in IPv6 Secure Neighbor Discover Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 22 / 39

23 Sicherheitsprobleme in IPv6 Secure Neighbor Discover Secure Neighbor Discovery Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 23 / 39

24 Sicherheitsprobleme in IPv6 Secure Neighbor Discover Secure Neighbor Discovery Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 24 / 39

25 Sicherheitsprobleme in IPv6 Source Routing in IPv6 Source Routing Der Absender eines Pakets kann über den IPv6-Routing Header RH0 bestimmen, über welche Knoten ein Paket auf seinem Weg durch das Netzwerk laufen soll. Source-Routing in IPv6 per Standard RFC2640 verpichtend auch für Endgeräte (IPv6-Nodes) vorgeschrieben Besondere 'Liberalitätsanforderung' bei der Headerverarbeitung: "IPv6 nodes must attempt to process extension headers in any order and occurring any number of times in the same packet... " RFC5095 hat den Routing Header RH0 als schädlich eingestuft und verworfen Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 25 / 39

26 Firewalls & Netzwerksicherheit Übersicht 1 Grundlagen Warum IPv6? Netzwerksicherheit ICMPv6 / Autoconguration / Extension Header 2 Sicherheitsprobleme in IPv6 Stateless Autoconguration Secure Neighbor Discover Source Routing in IPv6 3 Firewalls & Netzwerksicherheit ip6tables Host Security 4 Literatur Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 26 / 39

27 Firewalls & Netzwerksicherheit Netzwerksicherheit: ICMPv6 und Firewalls Sean Convery, Darrin Miller (CISCO): IPv6 and IPv4 Threat Comparison and Best-Practice Evaluation: Current best practice for IPv4 rewalling of ICMP is sometimes debated, but it is generally accepted that stringent ICMP ltering is a best practice. Firewall verwirft alle ICMP-Nachrichten aus dem Internet, bis auf ICMPv4: echo reply, echo request, destination unreachable, Time exceeded, Fragmentation needed but don't-fragment bit gesetzt, ggf. IGMP ICMPv6: echo reply, echo request, no route to destination, ggf. multicast listener message, GGF. router solicitation, router advertisement, neighbor solicitation, neighbor advertisement ICMPv6-Nachrichten, die die Firewall zum Ziel-Host durchlassen sollte/muss: packet too big (Type 2 message), parameter problem (Typ 4 message) Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 27 / 39

28 Firewalls & Netzwerksicherheit ip6tables IPv6 Firewall mit ip6tables I IPv6 Firewalls lassen sich unter Linux mit ip6tables verwalten. Der Regelaufbau entspricht der Syntax von iptables für IPv4 Es existieren eine Reihe von Modulen die protokoll-spezische Funktionen bereitstellen, z.b. für die Behandlung von Extension Headern. Firewall-Regel hinzufügen ip6tables [-t table] -I chain [rulenum] rule-specification [options] Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 28 / 39

29 Firewalls & Netzwerksicherheit ip6tables IPv6 Firewall mit ip6tables II IPv6-spezische Module ah - IPsec Authentication Header esp - IPsec ESP Header dst - Destination Header hbh - Hop-by-Hop Header rt - Routing Header icmpv6 - ICMPv6 Module können auf 2 Arten geladen werden: Implicit, wenn ein Protokoll mit -p oder protocol speziziert wird Explizit mit der -m oder match Option Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 29 / 39

30 Firewalls & Netzwerksicherheit Host Security Filtern von ICMPv6 Nachrichten - Permit ICMPv6 Typ Art Richtung Action 1 Destination Unreachable In Permit 2 Packet Too Big In/Out Permit 3 Time Exceeded In/Out Permit 4 Parameter Problem In/Out Permit 128 Echo Request Out Permit 129 Echo Reply In Permit 133, 134 Router Discovery In/Out Permit 135, 136 Neighbor Discovery In/Out Permit 130, 131, 132, 143 MLD Nachrichten In/Out Permit Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 30 / 39

31 Firewalls & Netzwerksicherheit Host Security Filtern von ICMPv6 Nachrichten - Drop ICMPv6 Typ Art Richtung Action 100, 101 Private Experimentation In/Out Drop 200, 201 Private Experimentation In/Out Drop 137 Redirect In/Out Drop 138 Router Renumbering In/Out Drop 139 ICMP Node Information Query In Drop 140 ICMP Node Information Response Out Drop nicht genutzte/zugewiesene ICMP Nachrichten In/Out Drop Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 31 / 39

32 Firewalls & Netzwerksicherheit Host Security Filtern des Routing Headers Typ 0 Laut RFC 5095 sollen Pakete mit Routing Header vom Typ 0 (Source Routing) verworfen werden, da diese ein hohes Sicherheitsrisiko darstellen. Firewall-Regel ip6tables -A INPUT -m rt rt-type 0 -j DROP Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 32 / 39

33 Firewalls & Netzwerksicherheit Host Security Filtern von AutoConf Nachrichten Wenn Address Autokonguration verwendet wird, sind vielfältige Angrismöglichkeiten gegeben. Um 'nicht-lokale' Angrie zu unterbinden, verarbeitet der IP-Netzwerkstack keine Nachrichten mit einem Hop-Count < 255 Zusätzlich können diese ICMP-Nachrichten an den Netzgrenzen geltert werden. Verwerfen von Nachrichten mit Hop Count < 255 ip6tables -I INPUT -p icmpv6 icmpv6-type -m hl hl-lt 255 -j DROP Lokale ICMP-Nachrichten RS: Type 133, RA: Type 134, NS: Type 135, NA: Type 136 Redirect: Type 137, Inverse NS: Type 141, Inverse NA: Type 142 Send Path Solicitation/Advertisement: Type 148 / 149 Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 33 / 39

34 Firewalls & Netzwerksicherheit Host Security Allgemeines zu IPv6 Firewalls Es ist darauf zu achten, dass die Firewallregeln identische Policies für IPv4 wie auch für IPv6 implementieren. Nicht genutzte Protokolle und Addressbereiche sollten geltert werden. IPv6 fordert eine gestaeltes Firwall-Deployment: Host + Network Firewalls sind sinnvoll Die Erkennung von getunnelten IPv6 Datenverkehr ist z.t. schwierig. Im Bestreben um ein möglichst sauberes Netz sollte auch abgehender IPv6 Verkehr geltert werden (egress-filtering). Paket mit Source-Adressen, die nicht dem lokalen Netz entstammen. ICMP-Packete mit nicht zugeordneten Type-Nummern, Autoconf, etc. Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 34 / 39

35 Firewalls & Netzwerksicherheit Host Security Weitere potentielle Problemgebiete: IPv6 Transitionsmechanismen (Automatisches Tunneling, 6to4,...) Fragmentation und IPv6 Extension-Header Mechanismen Netzwerk-Renumbering Mobile IPv6... Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 35 / 39

36 Firewalls & Netzwerksicherheit Host Security Fazit: IPv6 ist ein neues, interessantes Kommunikationsprotokoll mit eigenen Features. Ein gutes Verständnis des Protokolls ist notwendig um sichere Netze zu bauen. Erfahrung erwächst aus der aktiven praktischen Anwendung! Toolsupport in den letzten Jahren stark verbessert. Es fehlen aber verlässliche, einfach zu bedienende Test-Tools. Herausforderung Neue Protokolle bringen neue Herausforderungen aber auch neue Chancen mit sich Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 36 / 39

37 Literatur Übersicht 1 Grundlagen Warum IPv6? Netzwerksicherheit ICMPv6 / Autoconguration / Extension Header 2 Sicherheitsprobleme in IPv6 Stateless Autoconguration Secure Neighbor Discover Source Routing in IPv6 3 Firewalls & Netzwerksicherheit ip6tables Host Security 4 Literatur Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 37 / 39

38 Literatur J. Abley, P. Savola, and G. Neville-Neil. Deprecation of Type 0 Routing Headers in IPv6. RFC 5095 (Proposed Standard), December Philippe Biondi and Arnaud Ebalard. IPv6 Routing Header Security. CanSecWest, Sean Convery and Darrin Miller. IPv6 and IPv4 Threat Comparison and Best-Practice Evaluation (v1.0). Cisco Systems Technical Report, March Scott Hogg and Eric Vyncke. IPv6 Security. Cisco Press, Scheer, Schnor (Berlin, Potsdam) IPv6 Sicherheit 38 / 39

39 Fragen?