IPv6 Monitoring: Wo sind meine Daten? Wilhelm Boeddinghaus Strato AG 05. Januar 2012
Wer spricht heute? Dipl. Inf. (FH) Wilhelm Boeddinghaus Leiter des Netzwerkes Strato AG Die Strato AG ist eine Tochter der Deutschen Telekom AG Folie 2
IPv6 Monitoring Agenda Einführung Betriebssysteme Router Statistiken Webstatistiken DoS Erkennung Folie 3
IPv6 Monitoring - Einführung Welche Fragen beantwortet das Monitoring? Statistiken Wie viel Traffic fliesst? Angriffe Automatische Erkennung Security Sind meine Filter richtig gesetzt? Welche Dienste laufen schon über IPv6? Folie 4
IPv6 Monitoring - Einführung Welche Fragen beantwortet das Monitoring? Wo entstehen die Daten? Intern im Unternehmen Extern auf Web und Emailservern Abrechnung oder Kontrolle von Abrechnung Welche Merkmale haben die Daten? Wie müssen Filter aussehen, um die Daten zu erfassen? Folie 5
IPv6 Monitoring - Datenschutz Wichtiges Thema, aber nicht in diesem Tutorial Keine juristische Betrachtung des Themas Bei Logfiles gleiche Bedeutung wie bei IPv4 Anonymisierung? Bei IPv6 Adressen kann es Probleme geben IPv6 Adresse aus MAC Adresse erzeugt Folie 6
IPv6 Monitoring Wo ist das Problem? Switche sehen Layer3 Pakete als Bytes und unterscheiden nicht zwischen IPv6 und IPv4 Nutzt das Betriebssytem IPv4 oder IPv6? Oder hängt das von der Applikation ab? Ich kann meine Email nicht abrufen IPv4 oder IPv6, wie soll es der Kunde unterscheiden? Folie 7
Betriebssysteme Alle gängingen Betriebssysteme unterstützen IPv6 Einige schalten IPv6 per default an Windows 7 / Windows Vista Windows Server 2008 R2 Linux MacOS ios (Apple, nicht Cisco ) Folie 8
Windows 7 IPv6 ist angeschaltet! Ist das allen Beteiligten im Unternehmen bekannt? Welche Daten werden mit IPv6 transportiert? Welche Wege nehmen die Daten? Werden Tunnel genutzt? Wie kann IPv6 sichtbar gemacht werden? Folie 9
Windows 7 IPv6 ist angeschaltet Windows Vista, Windows 7 und Server 2008 R2 haben per Default IPv6 an. Link Local Adresse wird generiert Neighbor Discovery wird durchgeführt Kommunikation über IPv6 wird bevorzugt Bei vielen Unternehmen ist nicht bekannt, dass IPv6 schon läuft Sicherheit??? Folie 10
Windows 7 IPv6 Sichtbarkeit ipconfig Ethernet adapter Local Area Connection: Connection-specific DNS Suffix. : xxxxxxxxx Description........... : Intel(R) 82567LM Gigabit Network Connection Physical Address......... : 00-21-70-E0-F0-3C DHCP Enabled........... : Yes Autoconfiguration Enabled.... : Yes IPv6 Address............: 2a01:238:xxxx:xxxx:353e:827b:ba2e:8702(Preferred) Temporary IPv6 Address...... : 2a01:238:xxxx:xxxx:3c00:d0d1:23d9:f62(Preferred) Link-local IPv6 Address..... : fe80::353e:827b:ba2e:8702%10(preferred) Default Gateway......... : fe80::224:97ff:fef0:7bb7%10 Folie 11
Windows 7 IPv6 Bordmittel netsh interface ipv6>show siteprefixes Prefix Lifetime Interface ------------------------ ------------ ------------------------------ 2a01:238:xxxx:xxxx:/64 60d Local Area Connection Folie 12
Windows 7 IPv6 Bordmittel netsh interface ipv6>show tcpstats MIB-II TCP Statistics ------------------------------------------------------ Timeout Algorithm: Van Jacobson's Algorithm Minimum Timeout: 10 Maximum Timeout: 4294967295 Maximum Connections: Dynamic Active Opens: 140 Passive Opens: 4 Attempts Failed: 0 Established Resets: 4 Currently Established: 0 In Segments: 2394 Out Segments: 1908 Retransmitted Segments: 5 In Errors: 0 Out Resets: 70 Folie 13
Windows 7 IPv6 Bordmittel netsh interface ipv6>show udpstats MIB-II UDP Statistics ------------------------------------------------------ In Datagrams: 1689 In Invalid Port: 0 In Erroneous Datagrams: 0 Out Datagrams: 2424 Folie 14
Windows 7 IPv6 Bordmittel netsh interface ipv6>show ipstats MIB-II IP Statistics ------------------------------------------------------ Forwarding is: Disabled Default TTL: 128 In Receives: 7174 In Header Errors: 0 In Address Errors: 3161 Datagrams Forwarded: 0 In Unknown Protocol: 0 In Discarded: 0 In Delivered: 4884 Out Requests: 6157 Routing Discards: 0 Out Discards: 0 Out No Routes: 54 Reassembly Timeout: 60 Reassembly Required: 0 Reassembled Ok: 0 Reassembly Failures: 0 Fragments Ok: 0 Fragments Failed: 0 Fragments Created: 0 Folie 15
Windows 7 IPv6 Bordmittel netsh interface ipv6>show global General Global Parameters --------------------------------------------- Default Hop Limit : 128 hops Neighbor Cache Limit : 256 entries per interface Route Cache Limit : 128 entries per compartment Reassembly Limit : 33455168 bytes ICMP Redirects : enabled Source Routing Behavior : dontforward Task Offload : enabled Dhcp Media Sense : enabled Media Sense Logging : disabled MLD Level : all MLD Version : version3 Multicast Forwarding : disabled Group Forwarded Fragments : disabled Randomize Identifiers : enabled Address Mask Reply : disabled Current Global Statistics --------------------------------------------- Number of Compartments : 1 Number of NL clients : 7 Number of FL providers : 4 Folie 16
Windows 7 Monitoring Microsoft bietet ein gutes und kostenloses Tool Folie 17
Windows 7 Monitoring Auswertung nach Adresse Folie 18
Windows 7 Monitoring Auswertung nach ICMPv6 Folie 19
Wireshark ICMPv6 Wireshark ICMPv6 Folie 20
Wireshark Filter Filter nach Ethertype: eth.type == 0x86dd IPv6 Traffic: ipv6 ICMPv6: icmpv6 Eine Source Adresse: ipv6.src == fe80::2d0:59ff:fe05:ec54 IPv6-over-IPv4 tunneled traffic : ip.proto == 41 Capture native IPv6 traffic only: ipv6 and not ip.proto == 41 Folie 21
Wireshark Links www.wireshark.org http://media.packetlife.net/media/library/13/wires hark_display_filters.pdf Folie 22
Windows 7 Src Address RFC 3484 - Welche Absender Adresse nutzt mein Rechner / Server? netsh interface ipv6>show prefixpolicies Querying active state... Precedence Label Prefix ---------- ----- -------------------------------- 50 0 ::1/128 (IPv6 Loopback) 40 1 ::/0 (IPv6 Default Route) 30 2 2002::/16 (6to4 Tunnel) 20 3 ::/96 (IPv4 Kompatibilität, depricated) 10 4 ::ffff:0:0/96(ipv4 mapped Addresses) 5 5 2001::/32 (Teredo) Folie 23
Linux IPv6 ist angeschaltet! Ist das allen Beteiligten im Unternehmen bekannt? Welche Daten werden mit IPv6 transportiert? Welche Wege nehmen die Daten? Werden Tunnel genutzt? Wie kann IPv6 sichtbar gemacht werden? Folie 24
Linux server:~# ifconfig eth0 eth0 Link encap:ethernet HWaddr 00:d0:59:05:ec:54 inet6 addr: 2a01:238:xxxx:xxxx:452a:47b1:ab60:5bf4/64 Scope:Global inet6 addr: fe80::2d0:59ff:fe05:ec54/64 Scope:Link inet6 addr: 2a01:238:xxxx:xxxx:5610:de34:5509:1a2b/64 Scope:Global RX packets:1813920 errors:0 dropped:0 overruns:0 frame:0 TX packets:2274602 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:366259499 (349.2 MiB) TX bytes:369024247 (351.9 MiB) Folie 25
Linux Src Address RFC 3484 - Welche Absender Adresse nutzt mein Rechner / Server? /etc/gai.conf #precedence ::1/128 50 #precedence ::/0 40 #precedence 2002::/16 30 #precedence ::/96 20 #precedence ::ffff:0:0/96 10 Folie 26
MAC OS X IPv6 ist angeschaltet Privacy Extensions können zugeschaltet werden Folie 27
ios ios kann IPv6 Seit Version 4.3 auch mit Privacy Extensions User sieht es nicht und merkt es auch nicht Aber die Schildkröte bei www.kame.net schwimmt Folie 28
Privacy Extensions RFC 4941 Der Hostanteil der IPv6 Adresse wird per MD5 generiert 1234:5678:90ab:cdef:1234:5678:90ab:cdef Kann stündlich neu berechnet werden Wie soll das im Monitoring abgebildet werden? Datenschutz - Sicherheit Folie 29
Adresswahl Es gibt die Vorgabe nach RFC 3484 Global Unicast wird für externe Kommunikation genutzt Mehrere Adressen möglich Privacy Extensions werden genutzt Link Local für Kommunikation auf dem Link Filter auf das richtige Netzwerk schauen lassen Folie 30
Router Statistiken Router arbeiten auf Layer 3 IPv4 und IPv6 Ist eine getrennte Anzeige möglich? Sind getrennte Werte per SNMP verfügbar? Sind Routing Protokolle überwachbar? Folie 31
Router Statistiken Juniper MX 960 Transit statistics: Input bytes : 4945390034106012 369421416 bps Output bytes : 3911923330675231 1852305280 bps Input packets: 18124039206533 140590 pps Output packets: 4794644352220 265118 pps IPv6 transit statistics: Input bytes : 52122900797 Output bytes : 40015432152 Input packets: 127285828 Output packets: 172157199 Folie 32
Router Statistiken Cisco Catalyst 6500 Zeigt nur Bytes an, keine Unterscheidung von IPv4 und IPv6 Soll sich mit neuer Serie von Boards ändern Cisco CRS1 Zeigt nur Bytes an, keine Unterscheidung von IPv4 und IPv6 Folie 33
Router Statistiken Cisco 7200 G1 Zeigt nur Bytes an, keine Unterscheidung von IPv4 und IPv6 Folie 34
Router SNMP RFC 4292 IP-FORWARD-MIB RFC 4293 IP-MIB RFC 4022 TCP-MIB RFC 4113 UDP-MIB Aber, die Hersteller müssen es unterstützen! Folie 35
Webstatistiken Apache braucht 2 x Virtual Host Konfiguration IPv6 und IPv4 können getrennte oder gemeinsame Logfiles nutzen Apache schreibt Logfiles mit IPv6 Adressen IPv6 Geo IP bisher eingeschränkt möglich Sind getrennte Statistiken sinnvoll? Folie 36
Webstatistiken Awstats http://awstats.sourceforge.net/ Licence: Gnu GPL Plug-In IPv6 muss eingeschaltet sein Geo IP funktioniert nicht Kann auch Email und FTP Logs auswerten Folie 37
Webstatistiken Awstats # PLUGIN: IPv6 # PARAMETERS: None # REQUIRED MODULES: Net::IP and Net::DNS # DESCRIPTION: This plugin gives AWStats capability to make reverse DNS # lookup on IPv6 addresses. LoadPlugin="ipv6" Folie 38
Webstatistiken Folie 39
Webstatistiken Awstats Betriebsysteme Folie 40
Webstatistiken Awstats Browser Folie 41
Webstatistiken Awstats Geo IP Es sind nur wenige Datenbanken vorhanden Einbindung ist nicht intuitiv Folie 42
Webstatistiken Webalizer Fully supports IPv4 and IPv6 addresses. (Zitat von http://www.mrunix.net/webalizer/) Webalizer Xtended http://www.patrickfrei.ch/webalizer/ Changelog (December 8, 2007) Changes/Additions: - Added full IPv6 support Folie 43
Webstatistiken Webtrends Folie 44
Webstatistiken Webtrends Folie 45
Webstatistiken Google Analytics Google Analytics arbeitet unabhängig von IPv4 und IPv6 Es ist nicht leicht möglich, die IP Adresse der Besucher zu ermitteln. Google scheint das nicht zu wollen. Piwik Die Unterstützung für IPv6 kam mit Version 1.4 Aktuell ist die Version 1.6 Scheint keine hohe Priorität zu haben Folie 46
Geo IP Die IANA hat jeder RIR einen IPv6 Block zugeteilt APNIC: 2400::/12 ARIN: 2600::/12 LACNIC: 2800::/12 RIPE: 2a00::/12 Afrinic: 2c00::/12 Grobes GeoIP damit möglich Folie 47
Geo IP für IPv6 Maxmind GeoLite Country Sortiert nach Ländern Monatliches Update Download als CSV Datei Wird breit unterstützt Folie 48
Geo IP für IPv6 IP2Location Download der Datenbank als binary Länder für IPv6 frei verfügbar Bringt als Ausgabe das Landeskürzel: DE API zur Auswertung der Database Perl, Ruby, Phyton, Apache Modul VB.Net C#, C, Objective C, Java Folie 49
Geo IP für IPv6 Quova Quova is offering an Alpha IPv6 geolocation product With the following fields: Country State City Organization Folie 50
Geo IP für IPv6 software77.net/geo-ip/ Geo::IPfree Perl Modul Kompatibel mit AWStats Weitere Möglichkeiten Geo::IP Perl Modul Folie 51
Geo IP für IPv6 GeoIP ist wichtig für lokale Werbung Eine Pizzeria will nur im Stadtteil werben Mit IPv6 ist das noch nicht möglich Folie 52
DoS Erkennung Wie wird ein DoS erkannt? Menge der Packete Menge der Daten Typ der Packete Syn, oder nur ACK ohne Syn Problem Angriff mit IPv4 oder IPv6 oder beiden Protokollen, oder alternierend? Folie 53
DoS Erkennung Schwellwerte? Wann wird Alarm ausgelöst? Für IPv4 Für IPv6 Für eine Kombination aus beiden Protokollen TCP oder UDP oder ICMPv6 Folie 54
DoS Erkennung Netflow v9 kann IPv6 Daten exportieren IPV6_SRC_ADDR IPV6_DST_ADDR IPV6_SRC_MASK IPV6_DST_MASK IPV6_FLOW_LABEL Damit ist eine Unterscheidung zwischen IPv6 und IPv4 möglich Folie 55
DoS Erkennung NFSEN Netflow Sensor http://nfsen.sourceforge.net/ Open Source Software Kann Neflow 9 lesen und interpretieren Ausgabe nach IPv4 und IPv6 möglich Folie 56
DoS - Reaktion Sperren ist der erste Gedanke Aber was wird gesperrt? Zeigt das Monitoring die IP Adresse oder das Netz des Angreifers? Privacy Extensions ermöglichen wechselnde Adressen des Angreifers Oder gar wechseln der Adresse mit Perl Was muss das Monitoring erfassen? Folie 57
Troubleshooting Warum kommen IPv6 Verbindungen nicht zustande? 12% - 20% der 6to4 Tunnel kommen nicht zustande Protokoll 41 wird gefiltert? Adressbereich 2002::/16 wird gefiltert MTU Path Discovery Geoff Houston, RIPE62 Amsterdam Folie 58
Troubleshooting Warum kommen IPv6 Verbindungen nicht zustande? Ca. 40% der Teredo Tunnel kommen nicht zustande Erst ICMP, dann Syn Filter auf Adressbereiche Geoff Houston, RIPE62 Amsterdam Folie 59
Troubleshooting ARP Neighbour Discovery Die Zuordnung IP MAC war bisher ein Layer 2 Protokoll (ARP Address Resolution Protocol) IPv6 realisiert das mit ICMPv6 1:1 Übernahme von alten Firewallregeln geht nicht Monitoring, ob ICMPv6 frei fliessen darf Folie 60
Fazit IPv6 ist sichtbar Die meisten Betriebssysteme bevorzugen es Router können IPv6, zeigen es aber nicht immer an GeoIP muss verbessert werden Folie 61
Vielen Dank Netzwerk & Routing E-Mail boeddinghaus@strato.de https://www.xing.com/profile/wilh elm_boeddinghaus STRATO AG Pascalstraße 10 10587 Berlin