Unmanaged IPv6 im LAN Gefahren und Lösungen



Ähnliche Dokumente
Der Widerspenstigen Zähmung Unmanaged IPv6 im lokalen Netz und die Gefahren

IPv6 Daheim und Unterwegs

Migration IPv4 auf IPv6. Untersuchung verschiedener Methoden für die Migration von IPv4 auf Ipv6 Tobias Brunner,

Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen

IPv6 in Jülich Schritt für Schritt (Rückblick auf 2011)

IPv6 Privacy Extensions Alptraum im Enterprise LAN

IPv6 bei DESY. Was bringt der neue Internetstandard IPv6? Rico Lindemann IPv6-Grundlagen

FORSCHUNGSZENTRUM JÜLICH GmbH. IPv6 im lokalen Netz Gefahren und Lösungen

IPv6 im JuNet Information für Systemadministratoren

IPv6 Sind doch nur längere Adressen, oder?

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

RUB-Netzbetreuertreffen RIPE IPv6 PIP OpenVPN WLAN Robin Schröder RUB-NOC

Grundkurs Routing im Internet mit Übungen

IPv6 Neu sind nicht nur 128-bit aber eigentlich bleibt doch alles beim Alten

Masterarbeit über IPv6 Security: Xing:

IPv6 - Methoden zur Adressvergabe

IPV6. Eine Einführung

Übung 6. Tutorübung zu Grundlagen: Rechnernetze und Verteilte Systeme (Gruppen MI-T7 / DO-T5 SS 2015) Michael Schwarz

Grundlagen Funktionalität Integration. Silvia Hagen. Sunny Edition. Sunny Edition CH-8124Maur

IPv6 Vorbereitungen auf die neuen IP-Adressen

AVM Technical Note IPv6-Unterstützung in der FRITZ!Box

FORSCHUNGSZENTRUM JÜLICH GmbH. IPv6 Testbed im JSC

Inhaltsverzeichnis. Teil I TCP/IP-Grundlagen Einführung... 11

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

IPv6 Sicherheit. Bedrohungen in neuem Gewand. Peter Infanger by P. Infanger Seite 1. Well-known Facts zu IPv6

René Hüftlein, B.Eng.; Wissenschaftlicher Mitarbeiter im Labor Kommunikationstechnik Beitrag für den IPv6-Kongress am 20./21.

IPv6. Übersicht. Präsentation von Mark Eichmann Klasse WI04f 22. November 2005

Android VPN. Am Beispiel eines Netzwerktunnels für das Domain Name System (DNS) 1 Andiodine - Android DNS-VPN

Das Protokoll der Zukunft: IPv6

Konfigurationsanleitung IGMP Multicast - Video Streaming Funkwerk / Bintec. Copyright 5. September 2008 Neo-One Stefan Dahler Version 1.

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Modul 10: Autokonfiguration

IPv6. Grundlagen Funktionalität Integration. Silvia Hagen. Sunny Edition CH-8124 Maur

LOKALE NETZE MIT IPv6 Erfahrungen aus der Implementierung

Grundlagen der Rechnernetze. Internetworking

Fachbereich Medienproduktion

Internet Protocol v6

IPv6 Autokonfiguration Windows Server 2008

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

Wie Sie IPv6 erfolgreich in der Praxis umsetzen

IPv6 in der Praxis: Microsoft Direct Access

Modul 9: Konfiguration Autokonfiguration Migration IPv4/IPv6

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

Mit Linux ins IPv6 Internet. DI Stefan Kienzl, BSc

ICMP Internet Control Message Protocol. Michael Ziegler

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

SolarWinds Engineer s Toolset

Evaluation of QoS- Aspects of mobile IPv6 Clients in an IEEE Network. Folkert Saathoff Oktober 2oo5

Projekte IPv4 IPv6 Routing Configuration. OSI-3 - u yanosz, florob, nomaster, rampone, ike, gevatter thomas.wtf. Chaos Computer Club Cologne

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite Copyright Stefan Dahler Oktober 2008 Version 1.

Design and Implementation of an IPv6 Plugin for the Snort Intrusion Detection System

Firewall Implementierung unter Mac OS X

Angriffe auf lokale IPv6-Netze und Verteidigungsmaßnahmen

Windows Server Dieses Dokument beschreibt einige Details zum Aufsetzen eines Windows Server 2003 (Andres Bohren /

IPv6 aktueller Stand und Ausblick

LANCOM Systems Kurzvorstellung LCOS 8.63 Beta 1 Juni 2012

HowTo: erweiterte VLAN Einrichtung & Management von APs mittels des DWC- 1000/DWS-4026/DWS-3160

Nico Maas Universität des Saarlandes , HIZ

SolarWinds Engineer s Toolset

Internet Protocol Version 6

The Cable Guy März 2004

bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9

Die Masterarbeit hat drei große Kapitel: 1) Einführung in IPv6, 2) IPv6 Security Attacken, 3) Testlabor mit Testergebnissen der Firewalls TÜV

IPv6 an der TU Darmstadt

IPv6 und Security. TEFO - Zürich, Frank Herberg frank.herberg@switch.ch

Bonjour Services im WLAN. Holger Kunzek IT Consultant Netzwerkberatung Kunzek

39. Betriebstagung des DFN in Berlin November 2003

Wlanrouter ins TorNetzwerk

Layer 3: Network Layer (hier: Internet Protocol Version 6)

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

basics 21. August 2010 Hubert Denkmair Thomas Jakobi

IPv6.... es hätte noch viel schlimmer kommen können

Home Schulungen Seminare Cisco CI 1: Routing, Switching & Design ICND1: Interconnection Cisco Network Devices Part 1 (CCENT) Preis

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Übersicht. Generierung von IPv6-Paketen mit Scapy. Scapy GUI - Kurzvorstellung. Szameitpreiks - Beuth Hochschule für Technik Berlin

IPv6 Einführung im Rechenzentrum SLAC 2011

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

Anleitung zur Einrichtung der Zugriffssteuerung - Access Control

IPv6 Intrusion Detection mit Snort-Plugin. Martin Schütte

So wird der administrative Aufwand bei der Konfiguration von Endgeräten erheblich reduziert.

IPv6 und die Sicherheit

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

Warum wir an der Universität der Bundeswehr München IPv6 noch nicht eingeführt haben

Anleitung zur Einrichtung eines Lan-to-Lan Tunnels zwischen einen DI-804HV und einer DSR (Für DI-804HV ab Firmware 1.44b06 und DSR-250N/500N/1000N)

CCNA Exploration Network Fundamentals. ARP Address Resolution Protocol

Internetanwendungstechnik (Übung)

IPv6. Grundlagen Funktionalität Integration. Silvia Hagen. Sunny Edition CH-8124 Maur

Seite Wireless Distribution System (Routing / Bridging) 3.1 Einleitung

Mobilität in IP (IPv4 und IPv6)

Netzwerk Linux-Kurs der Unix-AG

Dynamisches VPN mit FW V3.64

Konfiguration des Wireless Breitband Routers.

Herausforderung Multicast IPTV

IPv6 im JuNet Information für Systemadministratoren

Mechanismen für die Autokonfiguration

Wireless & Management

Transkript:

Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Egon Grünter Sabine Werner DFN Betriebstagung (56. BT) 14.03.2012 (Version: 14.03.2012)

Native IPv6 Gefährdungen Überblick IPv4 Bedrohungen Scans ARP Spoofing Smurf Sniffer Rogue Devices Layer 3 Spoofing MITM Flooding Application Layer Attacks NDP Spoofing Header Manipulation IPv6 Bedrohungen Nichts wirklich Neues aber: auch reine IPv4-Netze sind zusätzlich gefährdet! 2

Inhaltsübersicht Dual Stack Implementierungen Native IPv6 Windows, Linux, MacOS X Technik Stateless Address Autoconfiguration, IIDs, DNS u. LLMNR Gefährdungspotentiale Erfahrungsbericht Lösungsansätze RA Guard Angriffe (THC) Transition Technologies Fazit Technik ISATAP, 6to4, Teredo Gefährdungspotentiale Erfahrungsbericht Lösungsansätze Anhang: IPv6 im JSC Kurzvorstellung (Referenz) 3

IPv6 Implementierung Dual Stack - Applikationen und Dienste - DNS / LLMNR, mdns / RDP / SSH / SMB / FTP Transport Layer TCP UDP Network Layer IPv4 IPv6 Framing Layer IPv4 tunnel PPP 802.11 802.3 Loopback Network Adapter Drivers 4

Windows Betriebssysteme: Vista / 7 / 2008 IPv6 ist installiert und aktiv Stateless Autoconfiguration aktiv (RFC 2462 / RFC 4862) IPv6 Stack: zahlreiche Verbesserungen (Dual Layer) GUI, CLI and GPO Konfiguration Integrated Internet Protocol security (IPsec) verfügbar Privacy Extensions (RFC 3041 /RFC 4941) aktiv Domain Name System (DNS) Unterstützung Source and Destination Address Selection (RFC 3484) DHCPv6 Client aktiv Link-Local Multicast Name Resolution (LLMNR) Transition Technologies (Tunnel) aktiv Windows Firewall ist IPv6 fähig, Stateful Inspection 5

Linux Betriebssysteme IPv6 ist installiert und aktiv Stateless Autoconfiguration aktiv (RFC 2462 / RFC 4862) GUI und CLI Konfiguration möglich Privacy Extensions (RFC 3041 / RFC 4941) Domain Name System (DNS) Unterstützung Source and Destination Address Selection (RFC 3484) DHCPv6 Client optional (ISC Implementierung) Multicast DNS Transition Technologies (Miredo) optional Firewall: ip6tables, Stateful Inspection ab Kernel 2.6.20 6

Mac OS X IPv6 installiert und aktiv (ab 10.4) Stateless Autoconfiguration (RFC2462 / RFC 4862) GUI und CLI Konfiguration möglich Privacy Extensions (RFC 3041 / RFC 4941) optional Source and Destination Address Selection (RFC3484) Administrative Schnittstelle nicht vorhanden DHCPv6 ab 10.7 verfügbar Multicast DNS Unterstützung Transition Technology (6to4) optional ip6fw keine grafische Konfigurationsschnittstelle Standardeinstellung: accept 7

Native IPv6 Link Local Scope und LLMNR C:\> ping ibm-r52 8

Native IPv6 Link Local Kommunikation - SSH LINUX SYSLOG Einträge Nov 6 12:43:31 linux-hsrk sshd[9811]: Accepted keyboardinteractive/pam for root from fe80::9c6b:6db2:331a:133c%eth0 port 50699 ssh2 Nov 6 12:45:57 linux-hsrk sshd[9972]: Accepted keyboardinteractive/pam for root from fe80::9c6b:6db2:331a:133c%eth0 port 50700 ssh2 Nov 9 16:29:29 linux-hsrk sshd[12866]: Accepted keyboardinteractive/pam for root from fe80::221:6aff:fe0d:8cbe%eth0 port 49260 ssh2 9

Native IPv6 Autoconfiguration (RFC2462) Link-Local Address (EUI-64 IID) generieren Neighbor Solicitation (NS) für Duplicate Address Detection (DAD) senden Autoconfiguration abbrechen, falls ein Neighbor Advertisement (NA) einen Adresskonflikt anzeigt Router Solicitation aussenden Falls kein Router Advertisement (RA) empfangen wird, starte DHCPv6 Falls ein Router Advertisement (RA) empfangen wird: generiere Adressen für die enthaltenen Prefixe; danach DAD M Flag == 1 im Router Advertisement (RA): starte DHCPv6 um weitere Adressen und Parameter zu erhalten M Flag == 0 und O Flag == 1 im Router Advertisement (RA): starte DHCPv6 um weitere Konfigurationsparameter zu erhalten (z.b DNS Parameter) 10

Native IPv6 Gefährdungen Überblick DAD THC-IPv6 Toolkit: dos-new-ipv6 NS / NA THC-IPv6 Toolkit: fake_advertise6, parasite6 CISCO IOS Cat6K NDP Rate Limiting, Tunable? (no) installed ND packet state is 3 seconds open RS / RA dazu gleich mehr THC-IPv6 Toolkit: fake_router6, flood_router6 ICMPv6 Redirect Rogue DHCPv6 Personal Firewall Bugs und IPv6 (Hilfestellung RFC 4890) 11

Native IPv6 Gefährdung durch Rogue RAs IPv6 Internet? 12

Native IPv6 Gefährdung durch Rogue RAs IPv6 Internet? 13

Native IPv6 Gefährdung durch Rogue RAs IPv6 Internet? 6in4? UDP? 14

Native IPv6 Gefährdung durch Rogue RAs Anmerkung: Externe DNS-Responses mit AAAA haben Auswirkung! www.dfn.de www.t-online.de www.heise.de Jülich: 2001:638:404::/48 15

Native IPv6 Interface Identifier IPv6 Interface Identifier Windows XP Link-Local Random Link-Local EUI-64 Global Unicast Addr Random Global Unicast Addr Temporary Global Unicast Addr EUI-64 - + - + + Windows 7 + - + + - Windows 8 + - + + - Windows + - + - - 2008 Mac OS 10.6 - + - - + Mac OS 10.7 - + - + + opensuse - + - - + 11.3 opensuse 12.1 - + - + + Debian 6.0 - + - - + Ubuntu - + - - + 11.10 ios 4.3 - + - + + Android 2.3 - + - - + RFC 4291 (ADDR-ARCH) RFC 3041 / 4941 (Privacy Extensions) 16

Native IPv6 EUI-64 Interface Identifier Beispiel - IPv6 Address > 2001:0638:0404:a800:0215:77ff:fe76:74b9 Prefix Info > Global Unicast Address (RFC3587) - 2000::/3 Interface ID Info > IEEE EUI-64 based Interface ID found (RFC4291) Hardware Address (IEEE - 48 bit MAC) IPv6 Solicited-Node Multicast Address Corresponding Ethernet Multicast Address 00-15-77-76-74-b9 ff02::1:ff76:74b9 33-33-ff-76-74-b9 getaddrinfo Result > 2001:638:404:a800:215:77ff:fe76:74b9 Möglichen Muster Modified EUI-64 IID: ::x2xx:xxff:fexx:xxxx ::x6xx:xxff:fexx:xxxx ::xaxx:xxff:fexx:xxxx ::xexx:xxff:fexx:xxxx Cisco ASA: Cisco IOS: Linux: Enforcement ipv6 enforce-eui64 if_name ACLs definieren ip6tables -A INPUT -m eui64 17

Native IPv6 RFC 3041 Interface Identifier Beispiel - IPv6 Address > 2001:0db8:4711:c800:08f1:343a:2610:b3b3 Prefix Info Global Unicast Address (RFC3587) - 2000::/3 Interface ID Info > Locally administered Bit not set (U/L Bit) Randomized Interface Identifier (RFC3041/RFC4941) IPv6 Solicited-Node Multicast Address ff02::1:ff10:b3b3 Corresponding Ethernet Multicast Address 33-33-ff-10-b3-b3 getaddrinfo Result > 2001:db8:4711:c800:8f1:343a:2610:b3b3 Zuordnung zur MAC-Adresse: - Neighbor Cache auslesen CISCO: show ipv6 neighbors Linux: ip -6 neighb show MS-Win: netsh interface ipv6 show neighbors - NDPMON IPv6 Neighbor Discovery Protocol Monitor ndpmon.sourceforge.net/download.html 18

Native IPv6 Interface Identifier Privacy Extensions Address In order to prevent the potential tracking of a host by identifying the host with its static EUI-64 Interface Identifier (IID) part of his IPv6 address, a host can use the privacy extension, which uses a random number as the IID. With privacy extension addresses, a host cannot be tracked any more as the address changes over time. This is fine for a residential user but not acceptable for hosts inside a managed organization: the security/network operators must be able to track a malicious or misconfigured host within their network Quelle: IPv6 Security Brief Last Updated October 2011 CISCO White Paper IPv6 maintenance Working Group (6man) F. Gont Internet-Draft UK CPNI Updates: 4861 (if approved) December 15, 2011 Intended status: Standards Track Expires: June 17, 2012 Managing the Address Generation Policy for Stateless Address Autoconfiguration in IPv6 draft-gont-6man-managing-slaac-policy-00 19

Native IPv6 Interface Identifier Der Windows SysAdmin kann Privacy Extensions abschalten: netsh interface ipv6 set privacy state=disabled store=persistent netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent und danach Neustart Ab opensuse 12.1 sind Privacy Extensions aktiv und können durch Einträge wie net.ipv6.conf.eth0.use_tempaddr = 0 in /etc/sysctl.conf abgeschaltet werden. und danach Neustart Mac OS X 10.7 Privacy abschalten: Die Datei /etc/sysctl.conf muss folgende Zeile enthalten: net.inet6.ip6.use_tempaddr=0 und danach Neustart 20

Native IPv6 Bedeutung DNS / LLMNR O=1 - d.h. Stateless DHCPv6 Solicitation -> liefert u.a. DNS-Parameter RFC 5006 / 6106 RDNS Option 21

Native IPv6 Bedeutung DNS / LLMNR RFC3484 Source Address Selection: Prefer the same address type Prefer the same address scope Prefer nondeprecated addresses Prefer home addresses over care-of addresses Prefer outgoing interfaces Prefer matching label Prefer public addresses over temporary addresses Use longest matching prefix Destination Address Selection: Avoid unusable destinations Prefer matching scope Prefer nondeprecated addresses Prefer home addresses over care-of addresses Prefer matching label Prefer higher precedence Prefer native transport Prefer smaller scope Use longest matching prefix Otherwise, leave order unchanged Linux-Datei: /etc/gai.conf Windows: netsh interface ipv6 show prefix Precedence Label Prefix ---------- ----- -------------------------------- 50 0 ::1/128 Loopback Address 40 1 ::/0 All IPv6 Traffic 30 2 2002::/16 6to4 Traffic 20 3 ::/96 IPv4 compatible Traffic 10 4 ::ffff:0:0/96 IPv4 mapped Traffic 5 5 2001::/32 Teredo Nützliche Anleitung an dieser Stelle ist http://oldwiki.openwrt.org/ipv6_howto.html 22

Native IPv6 Erfahrungen Rogue RAs Rogue Windows Router: ICS Active Ursache Transition Technology 6to4 (Details dazu später) Tunnel Broker Anwender, die IPv6 Kompetenz aufbauen SixXS / Hurricane Electric bisher keine Angriffe unerwartete Nebeneffekte: IETF Firewallfreischaltungen: Protocol 41 Punkt-zu-Punkt Folge: IPv6 adjazent weltweit DNS, LLMNR (RFC 4795) und RFC 3484 (IPv6 preferred) RFC 6104 Rogue IPv6 RA Problem Statement RFC 6105 IPv6 Router Advertisement Guard draft-gont-v6ops-ra-guard-implementation-01 (Feb 2012) draft-gont-6man-nd-extension-headers-02 (Jan 2012) 23

Native IPv6 Lösungsansätze Personal Firewalls / Enterprise Firewall ip6tables / Windows Firewall (RFC 4890 beachten) Layer 2 Port Access Control Lists Rogue RAs blocken (RA Guard Feature / IPv6 Port ACL) Rogue DHCPv6 blocken NDPMON (RAFIXD, RAMOND) Konfigurationsempfehlungen Road Warrior beachten (SLAAC, DHCPv6, Tunnel) Enterprise-Router Preference: High Cisco: ipv6 nd router-preference (high medium low) Schulung, Training und Erfahrungen sammeln: kontrollierte Einführung intensivieren IETF: Neighbor Discovery Reduzierung kein Fragmentation/Destination/Hop-by-Hop/ICMPv6-RA Link Local 24

Native IPv6 Lösungsansätze!! CISCO Cat 4500 Sup 7 IPv6 access-list BlockRA!! Layer 2 IPv6 Port ACL deny icmp any any router-advertisement log sequence 10 deny udp any eq 547 any eq 546 log sequence 20 permit ipv6 any any sequence 30 interface FastEthernet1/11!! Beispiel-Port Layer 2 switchport access vlan nn switchport mode access ipv6 traffic-filter BlockRA in Kompromiss RA / DHCPv6-Guard Konfiguration! Roadmap bei Neukauf beachten! 25

Native IPv6 Lösungsansätze (Roadmap) Quelle: Cisco BRKSPG2603 (How to Securely Operate an IPv6 Network) Cisco Live London 2012 26

Native IPv6 Lösungsansätze C2948 / C2948G C4948 C4948E Layer 2 RA / DHCPv6-Guard Aktuelle Situation in Jülich: neue Switch-Hardware im Zulauf C4003 / C4006 C4506 / 4506-E C4507R / C4507R-E / C4510R C4507R+E 27

Native IPv6 Lösungsansätze RAMOND Tool to `clear' (by sending spoofed zero lifetime adverts) rogue-routes http://ramond.sourceforge.net 28

Native IPv6 Lösungsansätze SLAAC kann in den Microsoft Windows Betriebssystemen pro Netzwerkadapter wie folgt deaktiviert werden: netsh interface ipv6 set interface IfIndex routerdiscovery=disabled netsh interface ipv6 set interface IfIndex routerdiscovery=disabled store=persistent Linux-Administratoren können im Bedarfsfall die Autokonfiguration eines Netzwerkadapters, hier im Beispiel eth0, durch einen Eintrag in die /etc/sysctl.conf deaktivieren: net.ipv6.conf.eth0.autoconf = 0 (keine Adressen bilden) oder net.ipv6.conf.eth0.accept_ra=0 (keine Adressen bilden, keine Routes setzen) interface Vlan201 description Server-Netz - statische Konfiguration der Hosts no ip address ipv6 address 2001:db8:cafe:6400::6400:1/64 ipv6 address FE80::6400:1 link-local ipv6 nd prefix 2001:db8:cafe:6400::/64 2592000 604800 no-autoconfig! IOS Beispiel RA ohne Autoconfiguration Flag SLAAC kann im Einzelfall deaktivert werden! 29

Native IPv6 RA Guard Angriffe Problem (THC): flood_router6 - Fragment Header - Destination Options Header - Hop-by-Hop Options Header (RFC2460) 30

Native IPv6 RA Guard Angriffe Problem (THC): fake_router6 inklusive (falscher) DNS Parameter 31

Native IPv6 RA Guard Angriffe (Fragmentierung) Original Packet IPv6 HDR Dest Opt Hdr Length Dest Opt HDR ICMPv6 (Rogue RA) 1st Fragment IPv6 HDR Frag HDR Dest Opt Hdr Length Dest Opt HDR 2nd Fragment IPv6 HDR Frag HDR Dest Opt HDR ACL-Entry: deny ipv6 any any undetermined-transport Position? ICMPv6 (Rogue RA) Aber dann -> neue Angriffsvariante: Overlapping Fragments (ICMPv6 echo / ICMPv6 RA) (RFC 5722 Handling of Overlapping IPv6 Fragments ) 32

Native IPv6 RA Guard Angriffe Problem (THC): flood_router6 - Fragment Header - Destination Options Header (RFC2460) Wireshark-Filter: ip6 (richtig) icmp6 (falsch) 33

Native IPv6 Gefährdung DHCPv6 Komponenten - DHCPv6 Infrastruktur DHCPv6 clients DHCPv6 servers DHCPv6 relay agents DHCPv6 bietet Stateful Address Configuration oder Stateless Configuration für IPv6 hosts Managed Address Configuration (M) Flag im RA M Flag == 1 => DHCPv6 Solicitation (Stateful) Other Stateful Configuration (O) flag im RA O Flag == 1 => DHCPv6 Solicitation(Stateless) weitere Konfigurationsparameter beziehen 34

Native IPv6 Erfahrung DHCPv6 DHCPv6 Server wenig verbreitet keine automatische Installation der Server-Komponente in Client-Systemen (vgl. IPv4 und ICS) grundsätzlich vergleichbare Problematik wie IPv4 DHCP unbedingt Abstimmung mit RA (SLAAC, M Bit und O Bit) nötig DHCPv6 Threats Starvation (deplete Pool) DoS (spray Solicitation Messages) Scanning Missinformation (rogue Parameters) THC-Toolkit: linux#./fake_dhcp6s interface {prefix/len} {dns-server} {.. linux#./flood_dhcp6c {options} interface {domain-name} 35

Transition Technologies - Technik IPv6 Packet IPv6 Header Extension Headers Upper Layer Protocol Data Unit IPv4 header Protocol field set to 41 Manuelle Tunnel: 6in4 Automatische Tunnel Transition Technologies: ISATAP, 6to4, Teredo IPv4 Header IPv6 Header Extension Headers Upper Layer Protocol Data Unit IPv4 Packet aber auch Varianten mit GRE, IPSEC oder UDP Encapsulation 36

Transition Technologies - ISATAP Prefix: 2001:DB8:0:7::/64 2001:DB8:0:7:0:5EFE:121.127.33.19 DNS Server interface Tunnel6 description ISATAP Tunnel no ip address no ip redirects ipv6 address 2001:db8:0:7::/64 eui-64 ipv6 enable no ipv6 nd suppress-ra tunnel source FastEthernet0 tunnel mode ipv6ip isatap www.dfn.de ISATAP Host B IPv4 Header: Destination Address: 131.127.33.19 Source Address: 192.168.47.11 RFC 5214 Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) ISATAP Host A IPv6 Header: Destination Address: 2001:DB8:0:7:0:5EFE:131.127.33.19 Source Address: 2001:DB8:0:7:0:5EFE:192.168.47.11 IPv4-only Network ISATAP Router [64-bit prefix]:0:5efe:w.x.y.z 2001:DB8:0:7:0:5EFE:192.168.47.11 IPv6-capable Network Routes: 2001:DB8:0:7::/64 on-link through the ISATAP interface ::/0 to FE80::5EFE:10.0.0.1 through the ISATAP interface 1. DNS Anfrage für ISATAP / LLMNR oder netsh interface ipv6 isatap <show/set> 2. IPv4-encapsulated router solicitation 3. IPv4-encapsulated router advertisement 37

Transition Technologies 6to4 Routes: 2002::/16 on-link through the 6to4 interface ::/0 to 6to4 relay through the 6to4 interface 6to4 host/router B IPv4 Internet Routes: 2002::/16 on-link through the 6to4 interface ::/0 to IPv6 Internet Anycast: 192.88.99.1 RFC 3056 'Connection of IPv6 Domains via IPv4 Clouds' (6to4) 6to4 relay IPv6 Internet Routes: 2002::/16 to 6to4 relay www.dfn.de Offizielle IPv4 Adresse 2002:IPv4-Adresse::IPv4-Adresse Routes: 2002::/16 on-link through the 6to4 interface ::/0 to 6to4 relay through the 6to4 interface 2002:9D3C:1:1::/64 to local subnet through the LAN interface Precedence Label Prefix (RFC 3484) ---------- ----- -------------------------------- 50 0 ::1/128 Loopback Address 40 1 ::/0 All IPv6 Traffic 30 2 2002::/16 6to4 Traffic 20 3 ::/96 IPv4 compatible Traffic 10 4 ::ffff:0:0/96 IPv4 mapped Traffic 5 5 2001::/32 Teredo 6to4 host A 6to4 Router Windows 7 Windows Vista Routes: ::/0 to 6to4 router through the LAN interface 2002:9D3C:1:1::/64 on-link through the LAN interface Verbesserung: 6RD - RFC 5569 Dual Stack Home Office Router RFC 1918 IPv4 Adressen 38

Transition Technologies 6to4 Status: Netzwerkkabel wurde entfernt RA-Flags A=M=O=1 6to4 Router Windows Vista Windows 7 Host Im WLAN 39

Transition Technologies 6to4 Oct 10 12:53:12 zam047-168 352385: Oct 10 12:53:11: %SEC-6-IPACCESSLOGNP: list acl_vlan11 denied 41 134.94.xxx.aaa -> 192.88.99.1, 1 packet Oct 10 12:53:41 zam047-168 352392: Oct 10 12:53:40: %SEC-6-IPACCESSLOGNP: list acl_vlan11 denied 41 134.94.xxx.bbb -> 192.88.99.1, 1 packet Oct 10 12:54:16 zam047-168 352407: Oct 10 12:54:15: %SEC-6-IPACCESSLOGNP: list acl_vlan11 denied 41 134.94.xxx.ccc -> 192.88.99.1, 1 packet Cisco ACL Entry: deny 41 any any log 40

Transition Technologies - Teredo Teredo.ipv6.microsoft.com Network Address Translation RFC 1918 IPv4 Adressen Teredo Server www.dfn.de Teredo client B IPv4 Internet RFC 4380 Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs) Teredo Relay IPv6 Internet IPv4/IPv6 Router Network Address Translation Teredo address: 2001::ServerAddr:Flags:ObscExtPort:ObscExtAddr RFC 1918 IPv4 Adressen Teredo client A 41

Transition Technologies - Teredo Your Input > 2001::CE49:7601:E866:EFFF:62C3:FFFE IPv6 Address > 2001:0000:ce49:7601:e866:efff:62c3:fffe Prefix Info > Teredo Unicast Address (RFC4380) - 2001::/32 External IPv4 Addr(NAT) > 157.60.0.1 External IPv4 Port > 4096 Server IPv4 Addr > 206.73.118.1 Teredo address: 2001::ServerAddr:Flags:ObscExtPort:ObscExtAddr Obscuring: 0xFFFFFFFF XOR External IPv4 Address 42

Transition Technologies - Teredo Die Applikation muss explizit IPv6 anfordern! Linux: Miredo Prefix 2001::/32 External IPv4 Addr(NAT) 217.235.223.220 External IPv4 Port 59925 Server IPv4 Addr 94.245.121.253 43

Transition Technologies - Teredo 44

Transition Technologies Tunnel Broker SixXS 6in4 AYIYA (Anything in Anything) Hurricane Electric 6in4 gogo6/freenet6 6in4 TSP (RFC 5572 - Tunnel Setup Protocol) 45

Transition Technologies Tunnel Broker AICCU (Automatic) IPv6 Client Configuration Utility) nutzt UDP Port 5072! LAN < > (on-link) < > radvd / LINUX (ipv6 forwarding) / aiccu < > IPv6 Internet 46

Transition Technologies - Gefährdung ISATAP 6to4 DNS Spoofing / LLMNR ( ping -6 isatap ) IPv4 ist Local Link -> Firewall Setup? Windows mit Internet Connection Sharing wird zum nativen IPv6 Router Privacy Extensions aktiv erschwert Aufklärung Häufigkeit nimmt stark zu unbedarfte Admins/Nutzer Gästenetze (z.b. EDUROAM) Studie: http://www.ietf.org/proceedings/80/slides/v6ops-11.pdf (University of Southampton) Teredo UDP Encapsulated Traffic schwierig zu filtern 47

Transition Technologies - Lösungsansätze Der Windows SysAdmin führt zum Abschalten der Tunnel folgende Befehle aus: netsh interface ipv6 6to4 set state disabled undoonstop=disabled netsh interface ipv6 netsh interface ipv6 isatap set state disabled set teredo disable und Neustart 48

Transition Technologies - Lösungsansätze Der Windows Domain Admin nutzt zum Abschalten der Tunnel AD GPO: Computer Configuration > Policies > Administrative Templates > Network > IPv6 Configuration Mögliche Pv6 Einstellungen: Enable all IPv6 components (Windows default) Disable all IPv6 components Disable 6to4 Disable ISATAP Disable Teredo Disable Teredo and 6to4 Disable all tunnel interfaces Disable all LAN and PPP interfaces Disable all LAN, PPP and tunnel interfaces Prefer IPv4 over IPv6. 49

Transition Technologies - Lösungsansätze Native IPv6 Deployment Transition Technologies starten nicht Road Warrior (Mobile Devices): Tunnel deaktivieren Protocol 41 blocken (Enterprise Firewall, Router ACLs) Teredo UDP Port 3544 blocken (Microsoft Default) Cisco: Flexible Packet Matching (cisco.com/go/fpm) Personal Firewalls mit IPv6 Unterstützung einsetzen Vorsicht mit Zusatzprodukten / Security Suiten Konfigurationsempfehlungen im Enterprise: Tunnel deaktivieren Monitoring 50

FAZIT Gefährdungen u. Lösungen Wichtig: Schulung, Training, Einführung Zeitfaktor beachten IPv6 wird zurecht als Zusatzbelastung gesehen spezifische IPv6 Security Threats beachten CERT? / BSI? / Hersteller? IPv6 ist aktiv ignorieren ist gefährlich, auch für die Verfügbarkeit von Netzfunktionen, die augenscheinlich ja mit IPv4 laufen aggressiv durch MS Transition Technologies Layer-2 Sperre: 0x86dd (EtherType IPv6) temporäre Notlösung keine Strategie mit Zukunft 51

Literatur [1] IPv6 Security Protection measures for the next Internet Protocol; E. Vyncke; Cisco Press; ISBN-13 978-1-58705-594-2 [2] Understanding IPv6; J. Davies; Microsoft Press; ISBN-13 978-0-7356-2446-7 [3] IPv6 for Enterprise Networks; S. McFarlan et al.; Cisco Press; ISBN-13: 978-1-58714-227-7 [4] Requirements for IPv6 in ICT Equipment; J. Zorz, S. Steffann [5] Router Security Configuration Guide Supplement Security for IPv6 Routers; NSA [6] Guidelines for the Secure Deployment of IPv6 Recommendations of the National Institute of Standards and Technology [7] Berichte - Sicherheit in vernetzten Systemen (19. DFN Workshop) Fragen? 52

IPv6 im JSC - Core-to-Edge Ansatz - Aufteilung in 5 Phasen IPv6-Test-Sites: www.dfn.de www.heise.de www.ripe.net www.lrz.de Nebenleitung Hauptleitung Firewall XWiN Router Dual Stack Hosts - JSC Workstation-Netze LAN Router Dual Stack Server im JSC Server-Netz 53

IPv6 im JSC Phase 1 - WAN-Anbindung, Firewall, LAN-Routing BGP4, ACLs, Stateful Inspection (März 2011) Phase 2 - Client-Netz (Abt. JSC-KS) SLAAC, EUI-64 Enforcement Phase 3 - Client-Netz (JSC weit, > 400 Systeme) SLAAC, Konfigurationsempfehlungen, IPv6-Day Phase 4 - Server-Netz (File-Server, Terminal-Server) manuelle Konfiguration, Monitoring, DNS Phase 5 - Fazit Debriefing aus den Bereichen, Dokumentation (ab September 2011) danach: Weiterführung im normalen Produktionsumfeld Bachelor thesis: Full-stack IPv6 compatibility of UNICORE 54

FAZIT IPv6 Testbed im JSC Dual Stack Betrieb ohne Mehraufwand im Tagesgeschäft Zugriffe auf IPv6 Inhalte und Dienste funktionieren Subnetze im JuNet Mechanismen aus Phase 3 anwendbar DMZs und spezielle Server-Netze Mechanismen aus Phase 4 anwendbar und weiterhin stabiler IPv6 Core: WAN/LAN-Routing und Firewall solide Ausgangsbasis für weitere Anforderungen Deployment in den Instituten möglich Rollout: IPv6 First-Hop-Security Campus-weit 55

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback