Ein Leitfaden Stefan Marksteiner Joanneum Research Hagenberg, 17. April 2013
Inhalt 1 Einleitung 2 3 4 5
Einleitung
Einleitung IETF Best Current Practice fordert IPv6 für alle IP-Fähigen Knoten Zeit sich mit IPv6-Security auseinanderzusetzen Baseline
Technologie Adressierung Monitoring
Technologie Adressierung Monitoring Technologie IST-Stand erheben IPv6-Unterstützung bei neuen Security Devices sicherstellen Ein geringer Aufwand im Vorhinein spart hinterher Kosten, daher frühzeitig IPv6 in die Planung miteinbeziehen
Technologie Adressierung Monitoring Firewalls Die wichtigsten Punkte für IPv6-Firewalls Stateful Inspection ICMPv6 Extension Header-Handling Option Support Behandlung von Fragmenten Deep Packet Inspection
Technologie Adressierung Monitoring Firewall-Hersteller (Studie Ende 2011) Untersucht: Astaro, Check Point, Cisco, Fortinet, Juniper, McAfee, Palo Alto Alle Hersteller unterstützen Stateful Inspection Alle Hersteller unterstützen ICMPv6 EH: Astaro Nein; McAfee keine Info; wird sonst unterstützt Options: Astaro und Checkpoint Nein; McAfee keine Info; wird sonst unterstützt Alle Hersteller unterstützen Fragmente Check Point unterstützt explizit keine IPv6 Deep Packet Inspection
Technologie Adressierung Monitoring IDS/IPS Die wichtigsten Punkte für IPv6-IPS Signaturen Malformed Packets Extension Header Fragmente Tunnel Protokolle
Technologie Adressierung Monitoring IDS/IPS-Hersteller (Studie Ende 2011) Untersucht: Cisco, HP, IBM, Juniper, McAfee, Radware, Sourcefire Juniper keine prinzipielle IPv6-Unterstützung, nur bestimmte Signaturen Signaturen zwischen 20% und 60% relativ zu IPv4 Teilweise keine Angabe von HP und Radware Andere Hersteller unterstützen alle vorher genannten Punkte
Technologie Adressierung Monitoring VPN/SWG-Hersteller (Studie Ende 2011) Untersucht: Cisco, HP, IBM, Juniper, McAfee, Radware, Sourcefire Alle Hersteller unterstützen eine Art VPN Secure Web Gateways durchwachsen, fast alle arbeiten daran Akutell unstersützt von: Blue Coat, McAfee, Trend Micro, Websense
Technologie Adressierung Monitoring USGv6 Programm der US-Regierung Zertifiziert auch NPDs Subkategorien FW, APFW, IDS, IPS Testlabore nach ISO/IEC 17025
Technologie Adressierung Monitoring USGv6 - Zertifizierte Hersteller Firewalls Aruba, Check Point, Cisco, Juniper, McAfee, SonicWall, Stonesoft IDS / IPS Cisco, HP, Juniper, McAfee, Sourcefire (in Progress)
Technologie Adressierung Monitoring lokale Adressen für interne Services Unique Local Addresses (ULA) für interne Kommunikation Link Local Addresses (LLA) für Kleinstunternehmen ohne Segmentierung LLA sind ohnehin für jedes Interface Pflicht
Technologie Adressierung Monitoring Nicht-offensichtliche IIDs Nummerierung nach Sequenz oder Ähnlichem erleichtert Netzwerk-Scanning Daher ein internes Schema verwenden Einfache Arithmetik oder Salted Hash Nicht im DNS veröffentlichen (Zonen verwenden) Nicht für öffentliche Services
Technologie Adressierung Monitoring Privacy Extensions Sind pseudozufällig und daher schwer erratbar Periodischer Wechsel verringert die Angriffsfläche Erhöhen jedoch den Wartungsaufwand (Logging, Monitoring, Troubleshooting, ACLs) Eher für KMU, da dort der Aufwand überschaubar ist
Technologie Adressierung Monitoring Segmentierung Unterstützt das Prinzip der minimalen Rechte (durch ACLs) Durch den großen Adressbereich bleiben genug IIDs Schutz gegen diverse LAN-Angriffe
Technologie Adressierung Monitoring Monitoring IPv6 IPS (auch SNORT) Durchsuchen der Neighbor Caches Windows:netsh interface ipv6 show neighbors Cisco: show ipv6 neighbors Logfile-Analyse Penetration Tests THC-IPv6, SI6 IPv6 Toolkit, Metasploit, Nessus, NMAP, Scapy,...
Black/Whitelisting EH Adressräume ICMPv6 Fragmente Transition Perimeter-Sicherung
Black- und Whitelisting Black/Whitelisting EH Adressräume ICMPv6 Fragmente Transition Prinzipelles Blocken inbound Selektives Blocken outbound Relative Position von Router zu Firewall wichtig
Extension Header Einleitung Black/Whitelisting EH Adressräume ICMPv6 Fragmente Transition Blockieren nicht verwendeter Header Blockieren veralteter Header (besonders RH0 = Source Routing) Letzer Header enthält Nummer des Payload-Protokolls (z.b. TCP) Defintiv zu verbieten: 143-152; 253-255 Leider (noch) keine offizielle EH-Liste Sequenz der EHs nicht festgelegt
Header-Options Einleitung Black/Whitelisting EH Adressräume ICMPv6 Fragmente Transition Komplexere Numerierung Blockieren nicht verwendeter Options Blockieren veralteter Options Vorsicht bei Options mit Beginn 10 (auch bei Endpoint Identification) => Smurf Amplifier Blockieren der Router Alert-Option Große Paddings blockieren => Covert Channels
Flow Labels Einleitung Black/Whitelisting EH Adressräume ICMPv6 Fragmente Transition Dienen dazu, Paketen einem "Flow" zuzuordnen Können evtl. durch Spoofing für QoS-Hacking benutzt werden Flow Flooding kann DoS verursachen Covert Channels Lösung: Flow Labels umschreiben (verletzt jedoch IPv6-Spezifikation)
Adressräume Einleitung Black/Whitelisting EH Adressräume ICMPv6 Fragmente Transition Vergebene Adress-Bereiche: 2000::/3; FC00::/7; FE80::/10; FF00::/8 Andere Bereiche sind zu blockieren FC00::/7 und FE80::/10 sind LLAs bzw. ULAs und daher zu blockieren Ausnahme: Wenn Firewall zwischen Router und Hosts, LLAs erlauben
Multicast Einleitung Black/Whitelisting EH Adressräume ICMPv6 Fragmente Transition Multicast-Adressen (FF00::/8) sind als Sender zu blockieren Als Empfänger-Adressen entsprechend dem Scope filtern.
Anti-Spoofing Einleitung Black/Whitelisting EH Adressräume ICMPv6 Fragmente Transition Outbound: fremde Adressen als Absender filtern Inbound: Adressen aus dem eigenen Netz als Absender filtern Inbound: nicht verwendete Adressen aus dem eigenen Netz generell filtern
Internet Control Message Protocol Black/Whitelisting EH Adressräume ICMPv6 Fragmente Transition ICMPv6 Filter-Policy mit jener von IPv4 abgleichen Zumindest erlauben: Typen 2,4,135,136 Wenn Firewall zwischen Router und Hosts, zusätzlich 133,134 (SLAAC) erlauben Bei Einsatz von Multicast, zusätzlich 133,134,151,152,153 (MLD/MRD) erlauben Bei Performance-Problem das Firewall analysieren
Filtern von Fragmenten Black/Whitelisting EH Adressräume ICMPv6 Fragmente Transition Problem bei vorhersagbaren IDs (auch in aktuellen WIN-Versionen) Fragmente < 1024 Byte blockieren Fragmente ohne Upper Layer Header blockieren Keine Fragmente zu Infrastrukturgeräten zulassen
Transition Technologies Black/Whitelisting EH Adressräume ICMPv6 Fragmente Transition Dual-Stack statt Übersetzungsmechanismen benutzen Wenn Tunnel benötigt werden, statische statt dynamische verwenden Firewall-Filter für alle übrigen (nicht benötigten) Tunnel-Protokolle aufsetzen. Achtung: Tunnel-Protokolle können vom auch Host initiert werden Protokolle/Ports: IP41(IPv6), IP47(GRE) UDP3544(Teredo)
NDP Security Host Security Verschlüsselung Infrastruktur Routing
NDP Security Host Security Verschlüsselung Infrastruktur Routing Neighbor Discovery Protocol Security Ähnliche Probleme wie mit ARP bzw. DHCP in IPv4 Im Prinizip kann sich jeder Host als SLAAC bzw. Gateway-Router ausgeben IPSec nicht hilfreich, da für bestimmte NDP-Nachrichten SAs manuell hergestellt werden müssen
NDP Security Host Security Verschlüsselung Infrastruktur Routing SEcure Neighbor Discovery Nutzt CGAs, RSA-Signaturen, Timestamps und Nonces zur Absicherung Benötigt PKI Zertifizierungspfade benötigen hohes Datenaustauschvolumen Fragmentierung ermöglicht Angriffe Keine native Windows-Unterstützung
NDP Security Host Security Verschlüsselung Infrastruktur Routing Router Advertisement-Guard Stateful- und Stateless-Variante Auch auf SEND-Basis Können durch Header-Chaining und Fragmentierung umgangen werden
NDP Security Host Security Verschlüsselung Infrastruktur Routing Andere Methoden SAVI (experimentell) Port-ACLs Host-Filter
NDP Security Host Security Verschlüsselung Infrastruktur Routing Absichern des Neighbor Caches Manuelles Setzen wichtiger NC-Einträge sichert gegen Manipulation Windows: netsh interface ipv6 add neighbors Cisco/Juniper: ipv6 neighbor
NDP Security Host Security Verschlüsselung Infrastruktur Routing Host Security Verwenden von IPv6-PFWs und HIPS Windows, Linux, und BSD-Systeme haben IPv6-PFWs IPv6-HIPS gibt es kommerziell (zb. McAfee, IBM) und Open Source (z.b. Snort) Patch-Management wichtig: auch IPv6-Stacks werden gepatcht
NDP Security Host Security Verschlüsselung Infrastruktur Routing Verschlüsselung IPSec sollte von jedem IPv6-Knoten unterstützt werden Benötigt Schlüsselverteilung, daher nur für Kritische Links empfohlen
NDP Security Host Security Verschlüsselung Infrastruktur Routing Absicherung von Infrastruktur-Geräten Prinzipiell Rate-Limiting und Filter für Control Plane-Operationen Zugangsbeschränkung für Management-Protokolle (SSH, SNMP, Syslog)
NDP Security Host Security Verschlüsselung Infrastruktur Routing Absicherung der Routen Durch Authentifizierung RIPng, OSPFv3: IPSec BGP, IS-IS: protokolleigene Authentifizierung Bei OSPFv3 one-to-many-beziehungen => schwieriges Schlüsselmanagement Statische Routen bei wenigen Einträgen
Einleitung Am effizientesten sind Maßnahmen am Perimeter nicht vernachlässigen, da sie später schwer umsetzbar sind Die vorgestellten Maßnahmen sind als Baseline gedacht! IPv6 ist immer noch wenig praktisch erprobt => Markt beobachen Viele IPv6-Security Drafts in letzer Zeit
Herzlichen Dank für Ihre Aufmerksamkeit! Fragen?