Der Widerspenstigen Zähmung Unmanaged IPv6 im lokalen Netz und die Gefahren

Ähnliche Dokumente
Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen

IPv6 Daheim und Unterwegs

Unmanaged IPv6 im LAN Gefahren und Lösungen

Migration IPv4 auf IPv6. Untersuchung verschiedener Methoden für die Migration von IPv4 auf Ipv6 Tobias Brunner,

IPv6 Sind doch nur längere Adressen, oder?

IPv6 bei DESY. Was bringt der neue Internetstandard IPv6? Rico Lindemann IPv6-Grundlagen

RUB-Netzbetreuertreffen RIPE IPv6 PIP OpenVPN WLAN Robin Schröder RUB-NOC

FORSCHUNGSZENTRUM JÜLICH GmbH. IPv6 im lokalen Netz Gefahren und Lösungen

IPv6 Vorbereitungen auf die neuen IP-Adressen

IPV6. Eine Einführung

Grundlagen Funktionalität Integration. Silvia Hagen. Sunny Edition. Sunny Edition CH-8124Maur

IPv6 Sicherheit. Bedrohungen in neuem Gewand. Peter Infanger by P. Infanger Seite 1. Well-known Facts zu IPv6

AVM Technical Note IPv6-Unterstützung in der FRITZ!Box

IPv6. Übersicht. Präsentation von Mark Eichmann Klasse WI04f 22. November 2005

Modul 9: Konfiguration Autokonfiguration Migration IPv4/IPv6

Modul 10: Autokonfiguration

René Hüftlein, B.Eng.; Wissenschaftlicher Mitarbeiter im Labor Kommunikationstechnik Beitrag für den IPv6-Kongress am 20./21.

IPv6 Privacy Extensions Alptraum im Enterprise LAN

IPv6 Autokonfiguration Windows Server 2008

IPv6 Neu sind nicht nur 128-bit aber eigentlich bleibt doch alles beim Alten

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Übung 6. Tutorübung zu Grundlagen: Rechnernetze und Verteilte Systeme (Gruppen MI-T7 / DO-T5 SS 2015) Michael Schwarz

Masterarbeit über IPv6 Security: Xing:

LOKALE NETZE MIT IPv6 Erfahrungen aus der Implementierung

Wie Sie IPv6 erfolgreich in der Praxis umsetzen

IPv6 in Jülich Schritt für Schritt (Rückblick auf 2011)

IPv6 und Security. TEFO - Zürich, Frank Herberg frank.herberg@switch.ch

Die Masterarbeit hat drei große Kapitel: 1) Einführung in IPv6, 2) IPv6 Security Attacken, 3) Testlabor mit Testergebnissen der Firewalls TÜV

IPv6 - Methoden zur Adressvergabe

Das Protokoll der Zukunft: IPv6

IPv6 Sicher(t) die Zukunft!

IPv6 Einführung im Rechenzentrum SLAC 2011

LANCOM Systems Kurzvorstellung LCOS 8.63 Beta 1 Juni 2012

Grundkurs Routing im Internet mit Übungen

Layer 3: Network Layer (hier: Internet Protocol Version 6)

Angriffe auf lokale IPv6-Netze und Verteidigungsmaßnahmen

IPv6 in der Praxis: Microsoft Direct Access

IPv6 an der TU Darmstadt

IPv6 aktueller Stand und Ausblick

FORSCHUNGSZENTRUM JÜLICH GmbH. IPv6 Testbed im JSC

Home Schulungen Seminare Cisco CI 1: Routing, Switching & Design ICND1: Interconnection Cisco Network Devices Part 1 (CCENT) Preis

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Internet Protocol v6

ICMP Internet Control Message Protocol. Michael Ziegler

IPv6. Grundlagen Funktionalität Integration. Silvia Hagen. Sunny Edition CH-8124 Maur

Mit Linux ins IPv6 Internet. DI Stefan Kienzl, BSc

The Cable Guy März 2004

Android VPN. Am Beispiel eines Netzwerktunnels für das Domain Name System (DNS) 1 Andiodine - Android DNS-VPN

IPv6.... es hätte noch viel schlimmer kommen können

IPv6 im JuNet Information für Systemadministratoren

IPv6 ist da was nun? (15:50 Uhr, Track 3) Wie Sie IPv6 erfolgreich in der Praxis umsetzen

Warum wir an der Universität der Bundeswehr München IPv6 noch nicht eingeführt haben

IPv6 und die Sicherheit

Fachbereich Medienproduktion

CCNA Exploration Network Fundamentals. ARP Address Resolution Protocol

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

IPv6. Jens Link. Ende von IPv4. Jens Link IPv6 1 / 24

Firewall Implementierung unter Mac OS X

39. Betriebstagung des DFN in Berlin November 2003

Anleitung zur Nutzung des SharePort Utility

Mechanismen für die Autokonfiguration

P793H PPP/ACT LAN 4 PRESTIGE P793H

Netzwerk Linux-Kurs der Unix-AG

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

Konfigurationsanleitung IGMP Multicast - Video Streaming Funkwerk / Bintec. Copyright 5. September 2008 Neo-One Stefan Dahler Version 1.

a.i.o. control AIO GATEWAY Einrichtung

Inhaltsverzeichnis. Teil I TCP/IP-Grundlagen Einführung... 11

Auszug / Leseprobe. Fabian Thorns. IPv6-Grundlagen. 1. Auflage 2014 (Entspricht Version vom 4. Februar 2014)

SolarWinds Engineer s Toolset

Internet Protocol Version 6

bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9

IPV6 EDUCATION SERIES DER WORKSHOP DER IHREN ANFORDERUNGEN ENTSPRICHT. IHRE TRAINER: Enno Rey & Christopher Werny

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Collax PPTP-VPN. Howto

Netzwerk Linux-Kurs der Unix-AG

Einführung in IP, ARP, Routing. Wap WS02/03 Ploner, Zaunbauer

Evaluation of QoS- Aspects of mobile IPv6 Clients in an IEEE Network. Folkert Saathoff Oktober 2oo5

Diameter. KM-/VS-Seminar. Wintersemester 2002/2003. schulze_diameter.ppt Christian Schulze_03-Februar-07

Sicherer Netzzugang im Wlan

Projekte IPv4 IPv6 Routing Configuration. OSI-3 - u yanosz, florob, nomaster, rampone, ike, gevatter thomas.wtf. Chaos Computer Club Cologne

Tutorial Windows XP SP2 verteilen

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

IP-FAU-6 Teil 2 IPv6 am Endgerät. Jochen Reinwand, Holger Marquardt RRZE-Kolloquium Praxis der Datenkommunikation 4. Dezember 2013

8 Das DHCPv6-Protokoll

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools

Grundlagen der Rechnernetze. Internetworking

So wird der administrative Aufwand bei der Konfiguration von Endgeräten erheblich reduziert.

IPv6 unter der Lupe. 6. IPv6-Kongress,

IPv6 im Rechenzentrum

Neuigkeiten in Microsoft Windows Codename Longhorn Egon Pramstrahler - egon@pramstrahler.it

IPv6 Security. Wie das neue Protokoll auf Ihre IT-Sicherheit wirkt. Frank Herberg

DHCP. DHCP Theorie. Inhalt. Allgemein. Allgemein (cont.) Aufgabe

Firewall oder Router mit statischer IP

IPv6. Autor Valentin Lätt Datum Thema IPv6 Version V 1.0

Firewalls mit Iptables

Digitale Identitäten in der Industrieautomation

Transkript:

Der Widerspenstigen Zähmung Unmanaged IPv6 im lokalen Netz und die Gefahren 19. DFN-CERT-Workshop 2012

Inhaltsübersicht Dual Stack Implementierungen Native IPv6 Windows, Linux, MacOS X Technik - Autoconfiguration Gefährdungspotentiale Erfahrungsbericht Lösungsansätze Transition Technologies Fazit Technik ISATAP, 6to4, Teredo Gefährdungspotentiale Erfahrungsbericht Lösungsansätze 2

IPv6 Implementierung Dual Stack - Applikationen und Dienste - DNS / LLMNR / RDP / SSH / SMB / FTP Transport Layer TCP UDP Network Layer IPv4 IPv6 Framing Layer 802.3 PPP 802.11 Loopback IPv4 tunnel Network Adapter Drivers 3

Windows Betriebssysteme: Vista / 7 / 2008 IPv6 ist installiert und aktiv Stateless Autoconfiguration aktiv (RFC 2462 / RFC 4862) IPv6 Stack: zahlreiche Verbesserungen (Dual Layer) GUI, CLI and GPO Konfiguration Integrated Internet Protocol security (IPsec) verfügbar Privacy Extensions (RFC 3041 /RFC 4941) aktiv Domain Name System (DNS) Unterstützung Source and Destination Address Selection (RFC 3484) DHCPv6 Client aktiv Link-Local Multicast Name Resolution (LLMNR) Transition Technologies (Tunnel) aktiv Windows Firewall ist IPv6 fähig, Stateful Inspection 4

Linux Betriebssysteme IPv6 ist installiert und aktiv Stateless Autoconfiguration aktiv (RFC 2462 / RFC 4862) GUI und CLI Konfiguration möglich Privacy Extensions (RFC 3041 / RFC 4941) optional Domain Name System (DNS) Unterstützung Source and Destination Address Selection (RFC 3484) DHCPv6 Client optional Multicast DNS Transition Technologies (Miredo) optional Firewall: ip6tables, Stateful Inspection ab Kernel > 2.6.20 5

Mac OS X IPv6 installiert und aktiv Stateless Autoconfiguration (RFC2462 / RFC 4862) GUI und CLI Konfiguration möglich Privacy Extensions (RFC 3041 / RFC 4941) optional Source and Destination Address Selection (RFC3484) Administrative Schnittstelle nicht vorhanden DHCPv6 ab 10.7 Multicast DNS Unterstützung Transition Technology (6to4) optional ip6fw keine grafische Konfigurationsschnittstelle Standardeinstellung: accept 6

Native IPv6 Gefährdungen Überblick IPv4 Bedrohungen Scans ARP Spoofing Smurf Sniffer Rogue Devices Layer 3 Spoofing MITM Flooding Application Layer Attacks NDP Spoofing Header Manipulation IPv6 Bedrohungen Nichts wirklich Neues aber: auch reine IPv4-Netze sind zusätzlich gefährdet! 7

Native IPv6 Autoconfiguration (RFC2462) Link-Local Address (EUI-64 IID) generieren Neighbor Solicitation (NS) für Duplicate Address Detection (DAD) senden Autoconfiguration abbrechen, falls ein Neighbor Advertisement (NA) einen Adresskonflikt anzeigt Router Solicitation aussenden Falls kein Router Advertisement (RA) empfangen wird, starte DHCPv6 Falls ein Router Advertisement (RA) empfangen wird: generiere Adressen für die enthaltenen Prefixe; danach DAD M Flag == 1 im Router Advertisement (RA): starte DHCPv6 um weitere Adressen und Parameter zu erhalten M Flag == 0 und O Flag == 1 im Router Advertisement (RA): starte DHCPv6 um weitere Konfigurationsparameter zu erhalten (z.b DNS Parameter) 8

Native IPv6 Gefährdungen Überblick DAD THC-IPv6 Toolkit: dos-new-ipv6 NS / NA THC-IPv6 Toolkit: fake_advertise6, parasite6 CISCO IOS Rate Limiting 1000 NDP Operations per second installed ND packet state is 3 seconds open RS / RA dazu gleich mehr ICMPv6 Redirect Rogue DHCPv6 Personal Firewalls Hilfestellung RFC 4890 9

Native IPv6 Gefährdung durch Rogue RAs 10

Native IPv6 Gefährdung durch Rogue RAs 11

Native IPv6 Gefährdung durch Rogue RAs 12

Native IPv6 Gefährdung durch Rogue RAs Jülich: 2001:638:404::/48 13

Native IPv6 Erfahrungen Rogue RAs Rogue Windows Router: ICS Active Ursache Transition Technology 6to4 Tunnel Broker Anwender, die IPv6 Kompetenz aufbauen SIXXS Hurricane Electric unerwartete Nebeneffekte: Firewallfreischaltungen: Protocol 41 Punkt-zu-Punkt aber: IPv6 Adjazent weltweit LLMNR and RFC3484 (IPv6 preferred) RFC 6104 Rogue IPv6 RA Problem Statement RFC 6105 IPv6 Router Advertisement Guard draft-gont-v6ops-ra-guard-implementation-01 draft-gont-6man-nd-extension-headers-02 14

Native IPv6 Gefährdung DHCPv6 Components of a DHCPv6 infrastructure DHCPv6 clients DHCPv6 servers DHCPv6 relay agents DHCPv6 bietet Stateful Address Configuration oder Stateless Configuration für IPv6 hosts Managed Address Configuration (M) Flag im RA M Flag == 1 => DHCPv6 Solicitation (Stateful) Other Stateful Configuration (O) flag im RA O Flag == 1 => DHCPv6 Solicitation(Stateless) weitere Konfigurationsparameter beziehen 15

Native IPv6 Erfahrung DHCPv6 DHCPv6 Server wenig verbreitet keine automatische Installation der Server-Komponente in Client-Systemen (vgl. IPv4 und ICS) grundsätzlich vergleichbare Problematik wie IPv4 DHCP unbedingt Abstimmung mit RA (SLAAC, M Bit und O Bit) nötig DHCPv6 Threats Starvation (deplete Pool) DoS (spray Solicitation Messages) Scanning Missinformation (rogue Parameters) 16

Native IPv6 Lösungsansätze Personal Firewalls / Enterprise Firewall ip6tables / Windows Firewall RFC 4890 beachten (Firewall Empfehlungen) Layer 2 Port Access Control Lists Rogue RAs blocken Rogue DHCPv6 blocken NDPMON (RAFIXD, RAMOND) Konfigurationsempfehlungen Road Warrior beachten (SLAAC, DHCPv6, Tunnel) Schulen, Erfahrungen sammeln und Training durch kontrollierte Einführung intensivieren 17

Transition Technologies - Technik IPv6 Packet IPv6 Header Extension Headers Upper Layer Protocol Data Unit IPv4 header Protocol field set to 41 Manuelle Tunnel: 6in4 Automatische Tunnel Transition Technologies: ISATAP, 6to4, Teredo IPv4 Header IPv6 Header Extension Headers Upper Layer Protocol Data Unit IPv4 Packet aber auch Varianten mit GRE, IPSEC oder UDP Encapsulation 18

Transition Technologies - ISATAP 19

Transition Technologies 6to4 Routes: 2002::/16 on-link through the 6to4 interface ::/0 to 6to4 relay through the 6to4 interface 6to4 host/router B IPv4 Internet Routes: 2002::/16 on-link through the 6to4 interface ::/0 to IPv6 Internet Anycast: 192.88.99.1 RFC 3056 'Connection of IPv6 Domains via IPv4 Clouds' (6to4) 6to4 relay IPv6 Internet Routes: 2002::/16 to 6to4 relay www.dfn.de Offizielle IPv4 Adresse 2002:IPv4-Adresse::IPv4-Adresse Routes: 2002::/16 on-link through the 6to4 interface ::/0 to 6to4 relay through the 6to4 interface 2002:9D3C:1:1::/64 to local subnet through the LAN interface 6to4 host A 6to4 Router Windows 7 Windows Vista Routes: ::/0 to 6to4 router through the LAN interface 2002:9D3C:1:1::/64 on-link through the LAN interface Dual Stack Home Office Router RFC 1918 IPv4 Adressen Verbesserung: 6RD - RFC 5569 20

Transition Technologies 6to4 Status: Netzwerkkabel wurde entfernt 6to4 Router Windows Vista Host A 21

Transition Technologies - Teredo 22

Transition Technologies - Teredo Die Applikation muss explizit IPv6 anfordern! Linux: Miredo Prefix 2001::/32 External IPv4 Addr(NAT) 217.235.223.220 External IPv4 Port 59925 Server IPv4 Addr 94.245.121.253 23

Transition Technologies - Teredo 24

Transition Technologies Tunnel Broker SixXS 6in4 AYIYA (Anything in Anything) Hurricane Electric 6in4 gogo6/freenet6 6in4 TSP (RFC 5572 - Tunnel Setup Protocol) 25

Transition Technologies - Gefährdung ISATAP 6to4 DNS Spoofing / LLMNR IPv4 ist Local Link -> Firewall Setup? Windows mit Internet Connection Sharing wird zum nativen IPv6 Router Privacy Extensions aktiv erschwert Aufklärung Häufigkeit nimmt stark zu unbedarfte Admins/Nutzer Teredo Gästenetze (z.b. EDUROAM) UDP Encapsulated Traffic schwierig zu filtern 26

Transition Technologies - Lösungsansätze Native IPv6 Deployment Transition Technologies starten nicht Road Warrior (Mobile Devices): Tunnel deaktivieren Protocol 41 blocken (Enterprise Firewall, Router ACLs) Teredo UDP 3544 blocken (Microsoft Default) Personal Firewalls mit IPv6 Unterstützung einsetzen Vorsicht mit Zusatzprodukten für Windows Konfigurationsempfehlungen im Enterprise: Tunnel deaktivieren, keine Privacy Extensions Monitoring 27

FAZIT Wichtig: Schulung, Training, Einführung Zeitfaktor wird zurecht als Zusatzbelastung gesehen spezifische IPv6 Security Threats beachten IPv6 ist aktiv ignorieren ist gefährlich, auch für die Verfügbarkeit von Netzfunktionen, die augenscheinlich ja mit IPv4 laufen aggressiv durch MS Transition Technologies Fragen? 28

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback