Sicherer Aufbau von IPv6-Netzwerken IPv6-Kongress Frankfurt/Main 20. und 21. Mai 2010
Vorgeschichte BSI + BRAINTEC BSI Grundschutzhandbuch BSI ISi-Reihe BSI ISi-LANA NSI ISi-IPv6 H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 2
ISi-Reihe Vorgehensweisen und Maßnahmen zu allen wesentlichen Fragen der Internet- Sicherheit Technisch orientiert Konkrete Vorschläge Zielgruppen-spezifische Aufbereitung Varianten zur individuellen Anpassung Beispiele für kleine, mittlere und große Organisationen mit Schutzbedarf normal und hoch H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 3
ISi-Reihe Aufbau der einzelnen Themen: Studie ISi-S für IT-Fachleute Leitlinie ISi-L für IT-Führungskräfte Checklisten ISi-Check generisch oder produktbezogen für Administratoren, Programmierer, und Web-Entwickler H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 4
Grundschutzhandbuch ISi-Reihe Was? IT-Grundschutz Gesamter Informationsverbund (Organisation, Personal, Infrastruktur,Technik) ISi-Reihe Technische Themen der Internet-Sicherheit Wie? BSI-Standard 100-2 Ablaufplan Womit? Maßnahmenkatalog Grundarchitektur mit Varianten Wozu? Revisionen, Zertifizierung Konzeption H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 5
Elemente der Isi-Reihe ISi-LANA: Sichere Anbindung von lokalen Netzen an das Internet ISi-IPv6: Sichere IPv6-Netzwerkarchitektur ISi-WLAN: Wireless LAN ISi-Client: Absicherung eines PC-Clients ISi-Server: Absicherung eines Servers ISi-VoIP: Sichere Internet-Telefonie ISi-Fern: Sicherer Fernzugriff auf lokale Netze ISi-VPN: Virtual Private Network ISi-IDS ISi-Firewall ISi-Crypt ISi-Auth ISi-Mail-Server: Sicherer Betrieb von E-Mail-Servern ISi-Mail-Client: Sichere Nutzung von E-Mail ISi-Web-Server: Sicheres Bereitstellen von Web-Angeboten ISi-Web: Sichere Nutzung von Web-Angeboten H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 6
Warum IPv6? Die Adressen gehen aus (Stimmt das wirklich? Bis wann?) Die Routing-Tabellen werden zu groß Alle wollen mehr Sicherheit Endbenutzer wollen Plug & Play-Installation Erleichterungen beim Umnummerieren von Netzen wäre schön Quality of Service ist notwendig Neue Anwendungen (Aber welche?) Aber ist das alles auch sicher? H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 7
Warum ISi-IPv6? Gründe Mangelnde Erfahrung Unzureichendes Wissen Fehlende Dokumentation Ziele Checklisten Anleitungen Hilfen und Beispiele H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 8
Was hat sich verändert? Viele kleine Netze Tunnel NAT Parallele Strukturen H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 9
Sicherer Netzwerkaufbau H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 10
Viele Adressen Eigenes Subnetz, wenn möglich und sinnvoll Eigene Adresse für jeden Service << Bild mit eigenen Adressen am Server>> H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 11
Offene Punkte - Tunnel Zu viele verschiedene Versionen von Tunneln werden angeboten Verunsicherung der Anwender Oft viel Handarbeit notwendig Routing ist manchmal noch etwas chaotisch: Tunnel werden oft an dezentralen Punkten terminiert BGP-Announcements, die auf Tunnel basieren sind oft verwirrend Tunnel führen beim Routing of zu falschen Hop-Counts: Eine Route durch einen Tunnel quer über den Atlantik und zurück mit nur zwei Hops auf jeder Seite kann näher erscheinen als die direkte Route Aber: Tunnel sind derzeit einfach noch oft der einzige Weg, um IPv6-Konnektivität am gewünschten Ort zu realisieren H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 12
Sicherer Umgang mit Tunneln Automatische Tunnel abschalten Teredo 6to4 <<Bild mit Tunnel-Endpunkt am Client>> Tunnelendpunkte kontrollieren <<Bild mit Tunnel-Endpunkt am Firewall>> H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 13
Internet-Anbindung H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 14
NAT als Lösung? NATs are evil (?!?) Ja aber manche denken, dass sie trotzdem nützlich und vielleicht sogar notwendig für die Einführung von IPv6 sind PNAT kann es ermöglichen, aus einer reinen IPv6-Welt auf existierende Angebote in der IPv4-Welt zuzugreifen Tunnel lösen nur die Transportfrage der Zugriff auf Legacy-Anwendungen funktioniert nur über PNAT (oder entsprechende Application-Gateways) Die bessere Lösung ist dual-stack oder IPv6+ALG Verfügbare für die meisten (aber noch nicht alle) zentralen Dienste Mail (smtp, pop, imap.) DNS WWW BIND, sendmail, postfix, qmail, exim, qpopper, apache, IIS, Proftp, ssh, telnetd und viele andere Programme unterstützen IPv6 bereits vollständig Sicher gibt es noch Defizite und fehlende Teile aber irgendwo muss man ja schließlich starten H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 15
NAT - ULA Unique Local Address Verhindern Lecks durch Unachtsamkeit Machen keine Probleme beim Verbinden von Netzen Erlauben großzügige Aufteilung in Subnetze Zugriff zum Internet über ALG Zusätzlich: Zugriff über Globale Adressen und Firewall möglich (bei geringem Schutzbedarf) H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 16
DMZ <<Im Bild noch ULA und global Adressen einzeichen>> H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 17
Entfallene Gefährdungen systematischer Ausforschung eines Netzes wie ICMP Sweep / ICMP Inverse Mapping ARP Spoofing / ARP Poisoning / Gratuitous ARP H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 18
Neue Gefährdungen Rogue Router Advertisements Overflow von Blacklists H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 19
Weitere Stolpersteine Alte Geräte (legacy equipment) Webcams, USV-Interfaces, Zugangskontrollsysteme, Zeiterfassungen und eine Unzahl weiterer kleiner oder lokaler Systeme haben kein IPv6 Alte Router werden von neuer Software mit IPv6 nicht mehr unterstützt Ältere Drucker, Scanner und sonstige Geräte im lokalen Netz sprechen kein IPv6 Low-cost Systeme Bei vielen allen Geräten für den Massenmarkt (Router, Access-Points, NAS) spart man sich noch die Integration von IPv6 Aber Achtung: mit Windows 7 bringt Microsoft ein neues Rendezvous-Verfahren für Heim-Netzwerke an den Markt, das auf IPv6 basiert und Rechner miteinander, sowie mit NAS und Druckern ohne manuelle Konfiguration verbindet Fehlende Elemente Leicht administrierbare Firewalls Accounting bisher kaum etwas vorhanden IDS die meisten Systeme sind bei IPv6 noch ziemlich blind Diagnose- Werkzeuge, Werkzeuge zur SLA-Überwachung Konfigurationswerkzeuge für Systeme (YAST, CONFIXX, PLEX.) H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 20
Weitere Fragen I MTU-Discovery Fehler führen zu schwer erkennbaren Problemen in der Erreichbarkeit Wie konfigurieren? Nur Auto-Konfiguration: Kein DNS Gefahr für Angriffe und Manipulation Nur DHCP: Kein Fall-Back bei Separierung der Netze Single-point-of-Failure DHCP + Auto-Konfiguration Höhere Sorgfalt bei der Abstimmung erforderlich Einstellungen an Routern und Am DHCP-Server müssen synchron erfolgen Adress-Auswahl Auswahl der richtigen Quell- und Zieladressen beeinflusst das Routing Software kennt diese Möglichkeiten von IPv6 noch nicht H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 21
Weitere Fragen II Multi-Homing ist einfach mit IPv6 Aber statt BGP im Router entscheidet das Endgerät über die Adressauswahl, welche Anbindung verwendet werden soll Weitere Lösungen noch in Diskussion: Neue Hardware-Adressunabhängige Identifier (HIP, MULTI6) Multicast (and Anycast) ersetzen lokal im Netz die Broadcasts von IPv4 H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 22
DNS und IPv6 ICANN hat IPv6 für die DNS-root-Server gestartet Noch nicht alle root-server unterstützen dies Nicht alle DNS-Server der TLDs verwenden IPv6 Nur wenige Registries und noch weniger Registrare akzeptieren IPv6-Adressen DNS im lokalen Netz Kaum noch Probleme Reverse-Lookup für IPv6 who has: 4321::12:3:4:567:89ab IPv6 DNS entry: b.a.9.8.7.6.5.0.4.0.0.0.3.0.0.0.2.1.0.0.0.0.0.0.0.0.0.0.1.2.3.4.ip6.arpa IN PTR my6host H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 23
Früh starten, jetzt starten IPv6 wird mittelfristig zur Notwendigkeit für alle am Netz werden Wer jetzt mit der Umsetzung beginnt, verringert Risiken durch Zeitdruck später Es dauert vorhandene System zu analysieren, alle Hersteller und Lieferanten an Bord zu holen, das IPv6-Netz zu planen und die Umstellung zu beginnen Können Sie sich noch an die Umstellung zum Jahr 2000 erinnern? Die Einführung von IPv6 muss sich nicht so anfühlen und Panik ist nicht angebracht aber wer zu lange wartet könnte ähnlichen Druck verspüren wie damals H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 24
Weitere Informationen www.bsi.de www.ietf.org Inzwischen mehr als 200 Standards mit IPv6-Bezug www.ripe.net www.ipv6actnow.org/ www.isoc.org www.potaroo.net www.isoc.org/educpillar/resources/ipv6.shtml H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 25
Dipl. Inform. Hans Peter Dittler 72-77 Informatik-Studium Universität Karlsruhe 77-79 Wissenschaftlicher Mitarbeiter Universität Karlsruhe 80-94 Entwickler, Abteilungsleite und Technischer Geschäftsführer Conware Computer Consulting 95-96 BRAINTEC Berater seit 97 Geschäftsführer BRAINTEC Netzwerk-Consulting GmbH seit 86 aktiv bei der Standardisierung in verschiedenen Gruppen bei IEEE und IETF seit 92 Gründungsmitglied und Vorstand ISOC.DE seit 07 Beirat bei PIR(TLD.org) und DotBerlin seit 09 Vorstandsvorsitzender der ICNOVA AG H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 26
BRAINTEC Netzwerk-Consulting GmbH Hans Peter Dittler www.braintec-consult.de hpdittler@braintec-consult.de dittler@isoc.de Herstellerunabhängige Beratung für Vernetzung und Kommunikation Karlsruhe H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 27