Der Widerspenstigen Zähmung Unmanaged IPv6 im lokalen Netz und die Gefahren 19. DFN-CERT-Workshop 2012
Inhaltsübersicht Dual Stack Implementierungen Native IPv6 Windows, Linux, MacOS X Technik - Autoconfiguration Gefährdungspotentiale Erfahrungsbericht Lösungsansätze Transition Technologies Fazit Technik ISATAP, 6to4, Teredo Gefährdungspotentiale Erfahrungsbericht Lösungsansätze 2
IPv6 Implementierung Dual Stack - Applikationen und Dienste - DNS / LLMNR / RDP / SSH / SMB / FTP Transport Layer TCP UDP Network Layer IPv4 IPv6 Framing Layer 802.3 PPP 802.11 Loopback IPv4 tunnel Network Adapter Drivers 3
Windows Betriebssysteme: Vista / 7 / 2008 IPv6 ist installiert und aktiv Stateless Autoconfiguration aktiv (RFC 2462 / RFC 4862) IPv6 Stack: zahlreiche Verbesserungen (Dual Layer) GUI, CLI and GPO Konfiguration Integrated Internet Protocol security (IPsec) verfügbar Privacy Extensions (RFC 3041 /RFC 4941) aktiv Domain Name System (DNS) Unterstützung Source and Destination Address Selection (RFC 3484) DHCPv6 Client aktiv Link-Local Multicast Name Resolution (LLMNR) Transition Technologies (Tunnel) aktiv Windows Firewall ist IPv6 fähig, Stateful Inspection 4
Linux Betriebssysteme IPv6 ist installiert und aktiv Stateless Autoconfiguration aktiv (RFC 2462 / RFC 4862) GUI und CLI Konfiguration möglich Privacy Extensions (RFC 3041 / RFC 4941) optional Domain Name System (DNS) Unterstützung Source and Destination Address Selection (RFC 3484) DHCPv6 Client optional Multicast DNS Transition Technologies (Miredo) optional Firewall: ip6tables, Stateful Inspection ab Kernel > 2.6.20 5
Mac OS X IPv6 installiert und aktiv Stateless Autoconfiguration (RFC2462 / RFC 4862) GUI und CLI Konfiguration möglich Privacy Extensions (RFC 3041 / RFC 4941) optional Source and Destination Address Selection (RFC3484) Administrative Schnittstelle nicht vorhanden DHCPv6 ab 10.7 Multicast DNS Unterstützung Transition Technology (6to4) optional ip6fw keine grafische Konfigurationsschnittstelle Standardeinstellung: accept 6
Native IPv6 Gefährdungen Überblick IPv4 Bedrohungen Scans ARP Spoofing Smurf Sniffer Rogue Devices Layer 3 Spoofing MITM Flooding Application Layer Attacks NDP Spoofing Header Manipulation IPv6 Bedrohungen Nichts wirklich Neues aber: auch reine IPv4-Netze sind zusätzlich gefährdet! 7
Native IPv6 Autoconfiguration (RFC2462) Link-Local Address (EUI-64 IID) generieren Neighbor Solicitation (NS) für Duplicate Address Detection (DAD) senden Autoconfiguration abbrechen, falls ein Neighbor Advertisement (NA) einen Adresskonflikt anzeigt Router Solicitation aussenden Falls kein Router Advertisement (RA) empfangen wird, starte DHCPv6 Falls ein Router Advertisement (RA) empfangen wird: generiere Adressen für die enthaltenen Prefixe; danach DAD M Flag == 1 im Router Advertisement (RA): starte DHCPv6 um weitere Adressen und Parameter zu erhalten M Flag == 0 und O Flag == 1 im Router Advertisement (RA): starte DHCPv6 um weitere Konfigurationsparameter zu erhalten (z.b DNS Parameter) 8
Native IPv6 Gefährdungen Überblick DAD THC-IPv6 Toolkit: dos-new-ipv6 NS / NA THC-IPv6 Toolkit: fake_advertise6, parasite6 CISCO IOS Rate Limiting 1000 NDP Operations per second installed ND packet state is 3 seconds open RS / RA dazu gleich mehr ICMPv6 Redirect Rogue DHCPv6 Personal Firewalls Hilfestellung RFC 4890 9
Native IPv6 Gefährdung durch Rogue RAs 10
Native IPv6 Gefährdung durch Rogue RAs 11
Native IPv6 Gefährdung durch Rogue RAs 12
Native IPv6 Gefährdung durch Rogue RAs Jülich: 2001:638:404::/48 13
Native IPv6 Erfahrungen Rogue RAs Rogue Windows Router: ICS Active Ursache Transition Technology 6to4 Tunnel Broker Anwender, die IPv6 Kompetenz aufbauen SIXXS Hurricane Electric unerwartete Nebeneffekte: Firewallfreischaltungen: Protocol 41 Punkt-zu-Punkt aber: IPv6 Adjazent weltweit LLMNR and RFC3484 (IPv6 preferred) RFC 6104 Rogue IPv6 RA Problem Statement RFC 6105 IPv6 Router Advertisement Guard draft-gont-v6ops-ra-guard-implementation-01 draft-gont-6man-nd-extension-headers-02 14
Native IPv6 Gefährdung DHCPv6 Components of a DHCPv6 infrastructure DHCPv6 clients DHCPv6 servers DHCPv6 relay agents DHCPv6 bietet Stateful Address Configuration oder Stateless Configuration für IPv6 hosts Managed Address Configuration (M) Flag im RA M Flag == 1 => DHCPv6 Solicitation (Stateful) Other Stateful Configuration (O) flag im RA O Flag == 1 => DHCPv6 Solicitation(Stateless) weitere Konfigurationsparameter beziehen 15
Native IPv6 Erfahrung DHCPv6 DHCPv6 Server wenig verbreitet keine automatische Installation der Server-Komponente in Client-Systemen (vgl. IPv4 und ICS) grundsätzlich vergleichbare Problematik wie IPv4 DHCP unbedingt Abstimmung mit RA (SLAAC, M Bit und O Bit) nötig DHCPv6 Threats Starvation (deplete Pool) DoS (spray Solicitation Messages) Scanning Missinformation (rogue Parameters) 16
Native IPv6 Lösungsansätze Personal Firewalls / Enterprise Firewall ip6tables / Windows Firewall RFC 4890 beachten (Firewall Empfehlungen) Layer 2 Port Access Control Lists Rogue RAs blocken Rogue DHCPv6 blocken NDPMON (RAFIXD, RAMOND) Konfigurationsempfehlungen Road Warrior beachten (SLAAC, DHCPv6, Tunnel) Schulen, Erfahrungen sammeln und Training durch kontrollierte Einführung intensivieren 17
Transition Technologies - Technik IPv6 Packet IPv6 Header Extension Headers Upper Layer Protocol Data Unit IPv4 header Protocol field set to 41 Manuelle Tunnel: 6in4 Automatische Tunnel Transition Technologies: ISATAP, 6to4, Teredo IPv4 Header IPv6 Header Extension Headers Upper Layer Protocol Data Unit IPv4 Packet aber auch Varianten mit GRE, IPSEC oder UDP Encapsulation 18
Transition Technologies - ISATAP 19
Transition Technologies 6to4 Routes: 2002::/16 on-link through the 6to4 interface ::/0 to 6to4 relay through the 6to4 interface 6to4 host/router B IPv4 Internet Routes: 2002::/16 on-link through the 6to4 interface ::/0 to IPv6 Internet Anycast: 192.88.99.1 RFC 3056 'Connection of IPv6 Domains via IPv4 Clouds' (6to4) 6to4 relay IPv6 Internet Routes: 2002::/16 to 6to4 relay www.dfn.de Offizielle IPv4 Adresse 2002:IPv4-Adresse::IPv4-Adresse Routes: 2002::/16 on-link through the 6to4 interface ::/0 to 6to4 relay through the 6to4 interface 2002:9D3C:1:1::/64 to local subnet through the LAN interface 6to4 host A 6to4 Router Windows 7 Windows Vista Routes: ::/0 to 6to4 router through the LAN interface 2002:9D3C:1:1::/64 on-link through the LAN interface Dual Stack Home Office Router RFC 1918 IPv4 Adressen Verbesserung: 6RD - RFC 5569 20
Transition Technologies 6to4 Status: Netzwerkkabel wurde entfernt 6to4 Router Windows Vista Host A 21
Transition Technologies - Teredo 22
Transition Technologies - Teredo Die Applikation muss explizit IPv6 anfordern! Linux: Miredo Prefix 2001::/32 External IPv4 Addr(NAT) 217.235.223.220 External IPv4 Port 59925 Server IPv4 Addr 94.245.121.253 23
Transition Technologies - Teredo 24
Transition Technologies Tunnel Broker SixXS 6in4 AYIYA (Anything in Anything) Hurricane Electric 6in4 gogo6/freenet6 6in4 TSP (RFC 5572 - Tunnel Setup Protocol) 25
Transition Technologies - Gefährdung ISATAP 6to4 DNS Spoofing / LLMNR IPv4 ist Local Link -> Firewall Setup? Windows mit Internet Connection Sharing wird zum nativen IPv6 Router Privacy Extensions aktiv erschwert Aufklärung Häufigkeit nimmt stark zu unbedarfte Admins/Nutzer Teredo Gästenetze (z.b. EDUROAM) UDP Encapsulated Traffic schwierig zu filtern 26
Transition Technologies - Lösungsansätze Native IPv6 Deployment Transition Technologies starten nicht Road Warrior (Mobile Devices): Tunnel deaktivieren Protocol 41 blocken (Enterprise Firewall, Router ACLs) Teredo UDP 3544 blocken (Microsoft Default) Personal Firewalls mit IPv6 Unterstützung einsetzen Vorsicht mit Zusatzprodukten für Windows Konfigurationsempfehlungen im Enterprise: Tunnel deaktivieren, keine Privacy Extensions Monitoring 27
FAZIT Wichtig: Schulung, Training, Einführung Zeitfaktor wird zurecht als Zusatzbelastung gesehen spezifische IPv6 Security Threats beachten IPv6 ist aktiv ignorieren ist gefährlich, auch für die Verfügbarkeit von Netzfunktionen, die augenscheinlich ja mit IPv4 laufen aggressiv durch MS Transition Technologies Fragen? 28