Sicherer Aufbau von IPv6-Netzwerken. IPv6-Kongress Frankfurt/Main 20. und 21. Mai 2010

Ähnliche Dokumente
IPv6 ante Portas Was geschah bisher?

WLAN Konfiguration. Michael Bukreus Seite 1

How-to: Webserver NAT. Securepoint Security System Version 2007nx

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

Verwendung des IDS Backup Systems unter Windows 2000

Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen

Routing und DHCP-Relayagent

ANYWHERE Zugriff von externen Arbeitsplätzen

Netzwerkeinstellungen unter Mac OS X

STRATO Mail Einrichtung Microsoft Outlook

Informationen zum neuen Studmail häufige Fragen

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in der Software 6.0

UserManual. Handbuch zur Konfiguration einer FRITZ!Box. Autor: Version: Hansruedi Steiner 2.0, November 2014

Pädagogische Hochschule Thurgau. Lehre Weiterbildung Forschung

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

A1 -Einstellungen Outlook 2013

Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Statuten in leichter Sprache

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

ISA 2004 Netzwerkerstellung von Marc Grote

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

RUB-Netzbetreuertreffen RIPE IPv6 PIP OpenVPN WLAN Robin Schröder RUB-NOC

Tacx Trainer-Software Version 3.6 Bedienung

A1 -Einstellungen Outlook 2007

Einrichtungsanleitung Router MX200

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Windows Server 2012 R2 Essentials & Hyper-V

A1 -Einstellungen für Android

Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems

Dr. Alexander Schwinn Bastian Mell. Die PaketPLUS -Beilage

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

Walther- Übungsaufgabe 24. Januar 2016 Rathenau- Routing Name: Gewerbeschule Freiburg DHCP Klasse: E3FI1T Seite 1 Punkte: /20 Note:

ACHTUNG: Es können gpx-dateien und mit dem GP7 aufgezeichnete trc-dateien umgewandelt werden.

Installation SQL- Server 2012 Single Node

Lizenzen auschecken. Was ist zu tun?

System-Update Addendum

Übung 6. Tutorübung zu Grundlagen: Rechnernetze und Verteilte Systeme (Gruppen MI-T7 / DO-T5 SS 2015) Michael Schwarz

Step by Step Webserver unter Windows Server von Christian Bartl

Multiplayer Anweisungen

Wireless LAN PCMCIA Adapter Installationsanleitung

Formular»Fragenkatalog BIM-Server«

Anleitung zur Nutzung des SharePort Utility

Reporting Services und SharePoint 2010 Teil 1

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Cisco Security Monitoring, Analysis & Response System (MARS)

Benutzerhandbuch MedHQ-App

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

IPv6 genug Adressen für alle?

Einrichten eines E- Mail Kontos mit Mail (Mac OSX)

Anbindung des eibport an das Internet

Übung - Datensicherung und Wiederherstellung in Windows Vista

Konfigurieren mit Mozilla Thunderbird

Virtual Channel installieren

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Firewalls für Lexware Info Service konfigurieren

How-To-Do. Fernwartung einer VIPA Steuerung via Ethernet

Abgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

Netzwerk einrichten unter Windows

Eine Anleitung, wie Sie Mozilla Thunderbird 2 installieren und konfigurieren können. Installation Erstkonfiguration... 4

Powermanager Server- Client- Installation

Firewalls für Lexware Info Service konfigurieren

a.i.o. control AIO GATEWAY Einrichtung

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

FrogSure Installation und Konfiguration

Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

1. Konfiguration Outlook 2007 MAPI (mit Autodiscover).

FL1 Hosting Technische Informationen

Virtual Private Network

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Internet Explorer Version 6

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Die Backup-Voreinstellungen finden Sie in M-System Server unter dem Reiter "Wartung".

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

HowTo: erweiterte VLAN Einrichtung & Management von APs mittels des DWC- 1000/DWS-4026/DWS-3160

Anleitung zum BW-Bank Computer-Check Windows-Firewall aktivieren

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Mail-Account Unimail mit der Einstellungen für Outlook Express 5.0

Gründe für fehlende Vorsorgemaßnahmen gegen Krankheit

IPV6. Eine Einführung

Windows 2008 Server im Datennetz der LUH

ICS-Addin. Benutzerhandbuch. Version: 1.0

Migration zu IPv6. Ronald Nitschke

Was ich als Bürgermeister für Lübbecke tun möchte

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in Windows Live Mail

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in Outlook Express

Tutorial -

Umstieg auf Microsoft Exchange in der Fakultät 02

I. Allgemeine Zugangsdaten für den neuen Server: II. Umstellung Ihres Windows Arbeitsplatzrechners

Einrichtung Konto Microsoft Outlook 2010

Fax einrichten auf Windows XP-PC

ADSL-Verbindungen über PPtP (Mac OS X 10.1)

MSXFORUM - Exchange Server 2003 > Konfiguration NNTP unter Exchange 2003

1 Einleitung. Lernziele. Symbolleiste für den Schnellzugriff anpassen. Notizenseiten drucken. eine Präsentation abwärtskompatibel speichern

Anleitung: Confixx auf virtuellem Server installieren

Transkript:

Sicherer Aufbau von IPv6-Netzwerken IPv6-Kongress Frankfurt/Main 20. und 21. Mai 2010

Vorgeschichte BSI + BRAINTEC BSI Grundschutzhandbuch BSI ISi-Reihe BSI ISi-LANA NSI ISi-IPv6 H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 2

ISi-Reihe Vorgehensweisen und Maßnahmen zu allen wesentlichen Fragen der Internet- Sicherheit Technisch orientiert Konkrete Vorschläge Zielgruppen-spezifische Aufbereitung Varianten zur individuellen Anpassung Beispiele für kleine, mittlere und große Organisationen mit Schutzbedarf normal und hoch H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 3

ISi-Reihe Aufbau der einzelnen Themen: Studie ISi-S für IT-Fachleute Leitlinie ISi-L für IT-Führungskräfte Checklisten ISi-Check generisch oder produktbezogen für Administratoren, Programmierer, und Web-Entwickler H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 4

Grundschutzhandbuch ISi-Reihe Was? IT-Grundschutz Gesamter Informationsverbund (Organisation, Personal, Infrastruktur,Technik) ISi-Reihe Technische Themen der Internet-Sicherheit Wie? BSI-Standard 100-2 Ablaufplan Womit? Maßnahmenkatalog Grundarchitektur mit Varianten Wozu? Revisionen, Zertifizierung Konzeption H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 5

Elemente der Isi-Reihe ISi-LANA: Sichere Anbindung von lokalen Netzen an das Internet ISi-IPv6: Sichere IPv6-Netzwerkarchitektur ISi-WLAN: Wireless LAN ISi-Client: Absicherung eines PC-Clients ISi-Server: Absicherung eines Servers ISi-VoIP: Sichere Internet-Telefonie ISi-Fern: Sicherer Fernzugriff auf lokale Netze ISi-VPN: Virtual Private Network ISi-IDS ISi-Firewall ISi-Crypt ISi-Auth ISi-Mail-Server: Sicherer Betrieb von E-Mail-Servern ISi-Mail-Client: Sichere Nutzung von E-Mail ISi-Web-Server: Sicheres Bereitstellen von Web-Angeboten ISi-Web: Sichere Nutzung von Web-Angeboten H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 6

Warum IPv6? Die Adressen gehen aus (Stimmt das wirklich? Bis wann?) Die Routing-Tabellen werden zu groß Alle wollen mehr Sicherheit Endbenutzer wollen Plug & Play-Installation Erleichterungen beim Umnummerieren von Netzen wäre schön Quality of Service ist notwendig Neue Anwendungen (Aber welche?) Aber ist das alles auch sicher? H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 7

Warum ISi-IPv6? Gründe Mangelnde Erfahrung Unzureichendes Wissen Fehlende Dokumentation Ziele Checklisten Anleitungen Hilfen und Beispiele H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 8

Was hat sich verändert? Viele kleine Netze Tunnel NAT Parallele Strukturen H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 9

Sicherer Netzwerkaufbau H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 10

Viele Adressen Eigenes Subnetz, wenn möglich und sinnvoll Eigene Adresse für jeden Service << Bild mit eigenen Adressen am Server>> H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 11

Offene Punkte - Tunnel Zu viele verschiedene Versionen von Tunneln werden angeboten Verunsicherung der Anwender Oft viel Handarbeit notwendig Routing ist manchmal noch etwas chaotisch: Tunnel werden oft an dezentralen Punkten terminiert BGP-Announcements, die auf Tunnel basieren sind oft verwirrend Tunnel führen beim Routing of zu falschen Hop-Counts: Eine Route durch einen Tunnel quer über den Atlantik und zurück mit nur zwei Hops auf jeder Seite kann näher erscheinen als die direkte Route Aber: Tunnel sind derzeit einfach noch oft der einzige Weg, um IPv6-Konnektivität am gewünschten Ort zu realisieren H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 12

Sicherer Umgang mit Tunneln Automatische Tunnel abschalten Teredo 6to4 <<Bild mit Tunnel-Endpunkt am Client>> Tunnelendpunkte kontrollieren <<Bild mit Tunnel-Endpunkt am Firewall>> H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 13

Internet-Anbindung H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 14

NAT als Lösung? NATs are evil (?!?) Ja aber manche denken, dass sie trotzdem nützlich und vielleicht sogar notwendig für die Einführung von IPv6 sind PNAT kann es ermöglichen, aus einer reinen IPv6-Welt auf existierende Angebote in der IPv4-Welt zuzugreifen Tunnel lösen nur die Transportfrage der Zugriff auf Legacy-Anwendungen funktioniert nur über PNAT (oder entsprechende Application-Gateways) Die bessere Lösung ist dual-stack oder IPv6+ALG Verfügbare für die meisten (aber noch nicht alle) zentralen Dienste Mail (smtp, pop, imap.) DNS WWW BIND, sendmail, postfix, qmail, exim, qpopper, apache, IIS, Proftp, ssh, telnetd und viele andere Programme unterstützen IPv6 bereits vollständig Sicher gibt es noch Defizite und fehlende Teile aber irgendwo muss man ja schließlich starten H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 15

NAT - ULA Unique Local Address Verhindern Lecks durch Unachtsamkeit Machen keine Probleme beim Verbinden von Netzen Erlauben großzügige Aufteilung in Subnetze Zugriff zum Internet über ALG Zusätzlich: Zugriff über Globale Adressen und Firewall möglich (bei geringem Schutzbedarf) H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 16

DMZ <<Im Bild noch ULA und global Adressen einzeichen>> H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 17

Entfallene Gefährdungen systematischer Ausforschung eines Netzes wie ICMP Sweep / ICMP Inverse Mapping ARP Spoofing / ARP Poisoning / Gratuitous ARP H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 18

Neue Gefährdungen Rogue Router Advertisements Overflow von Blacklists H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 19

Weitere Stolpersteine Alte Geräte (legacy equipment) Webcams, USV-Interfaces, Zugangskontrollsysteme, Zeiterfassungen und eine Unzahl weiterer kleiner oder lokaler Systeme haben kein IPv6 Alte Router werden von neuer Software mit IPv6 nicht mehr unterstützt Ältere Drucker, Scanner und sonstige Geräte im lokalen Netz sprechen kein IPv6 Low-cost Systeme Bei vielen allen Geräten für den Massenmarkt (Router, Access-Points, NAS) spart man sich noch die Integration von IPv6 Aber Achtung: mit Windows 7 bringt Microsoft ein neues Rendezvous-Verfahren für Heim-Netzwerke an den Markt, das auf IPv6 basiert und Rechner miteinander, sowie mit NAS und Druckern ohne manuelle Konfiguration verbindet Fehlende Elemente Leicht administrierbare Firewalls Accounting bisher kaum etwas vorhanden IDS die meisten Systeme sind bei IPv6 noch ziemlich blind Diagnose- Werkzeuge, Werkzeuge zur SLA-Überwachung Konfigurationswerkzeuge für Systeme (YAST, CONFIXX, PLEX.) H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 20

Weitere Fragen I MTU-Discovery Fehler führen zu schwer erkennbaren Problemen in der Erreichbarkeit Wie konfigurieren? Nur Auto-Konfiguration: Kein DNS Gefahr für Angriffe und Manipulation Nur DHCP: Kein Fall-Back bei Separierung der Netze Single-point-of-Failure DHCP + Auto-Konfiguration Höhere Sorgfalt bei der Abstimmung erforderlich Einstellungen an Routern und Am DHCP-Server müssen synchron erfolgen Adress-Auswahl Auswahl der richtigen Quell- und Zieladressen beeinflusst das Routing Software kennt diese Möglichkeiten von IPv6 noch nicht H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 21

Weitere Fragen II Multi-Homing ist einfach mit IPv6 Aber statt BGP im Router entscheidet das Endgerät über die Adressauswahl, welche Anbindung verwendet werden soll Weitere Lösungen noch in Diskussion: Neue Hardware-Adressunabhängige Identifier (HIP, MULTI6) Multicast (and Anycast) ersetzen lokal im Netz die Broadcasts von IPv4 H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 22

DNS und IPv6 ICANN hat IPv6 für die DNS-root-Server gestartet Noch nicht alle root-server unterstützen dies Nicht alle DNS-Server der TLDs verwenden IPv6 Nur wenige Registries und noch weniger Registrare akzeptieren IPv6-Adressen DNS im lokalen Netz Kaum noch Probleme Reverse-Lookup für IPv6 who has: 4321::12:3:4:567:89ab IPv6 DNS entry: b.a.9.8.7.6.5.0.4.0.0.0.3.0.0.0.2.1.0.0.0.0.0.0.0.0.0.0.1.2.3.4.ip6.arpa IN PTR my6host H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 23

Früh starten, jetzt starten IPv6 wird mittelfristig zur Notwendigkeit für alle am Netz werden Wer jetzt mit der Umsetzung beginnt, verringert Risiken durch Zeitdruck später Es dauert vorhandene System zu analysieren, alle Hersteller und Lieferanten an Bord zu holen, das IPv6-Netz zu planen und die Umstellung zu beginnen Können Sie sich noch an die Umstellung zum Jahr 2000 erinnern? Die Einführung von IPv6 muss sich nicht so anfühlen und Panik ist nicht angebracht aber wer zu lange wartet könnte ähnlichen Druck verspüren wie damals H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 24

Weitere Informationen www.bsi.de www.ietf.org Inzwischen mehr als 200 Standards mit IPv6-Bezug www.ripe.net www.ipv6actnow.org/ www.isoc.org www.potaroo.net www.isoc.org/educpillar/resources/ipv6.shtml H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 25

Dipl. Inform. Hans Peter Dittler 72-77 Informatik-Studium Universität Karlsruhe 77-79 Wissenschaftlicher Mitarbeiter Universität Karlsruhe 80-94 Entwickler, Abteilungsleite und Technischer Geschäftsführer Conware Computer Consulting 95-96 BRAINTEC Berater seit 97 Geschäftsführer BRAINTEC Netzwerk-Consulting GmbH seit 86 aktiv bei der Standardisierung in verschiedenen Gruppen bei IEEE und IETF seit 92 Gründungsmitglied und Vorstand ISOC.DE seit 07 Beirat bei PIR(TLD.org) und DotBerlin seit 09 Vorstandsvorsitzender der ICNOVA AG H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 26

BRAINTEC Netzwerk-Consulting GmbH Hans Peter Dittler www.braintec-consult.de hpdittler@braintec-consult.de dittler@isoc.de Herstellerunabhängige Beratung für Vernetzung und Kommunikation Karlsruhe H.P. Dittler - BRAINTEC Netzwerk-Consulting 01.05.2010 27

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback