docpaper
download 
Report Transcription
paper
Willkommen auf der LIVE 2012 IPv6 – alles wird gut? Stand: 16.09.2012 Lizenz: Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Lizenz dieses Dokuments: Sie dürfen: das Werk bzw. den Inhalt vervielfältigen, verbreiten und öffentlich zugänglich machen Abwandlungen und Bearbeitungen des Werkes bzw. Inhaltes anfertigen Zu den folgenden Bedingungen: Namensnennung: Sie müssen den Namen des Autors/Rechteinhabers in der von ihm festgelegten Weise nennen (Antago GmbH, Nennung mit Name, Logo und Link auf https://www.antago.info) Keine kommerzielle Nutzung: Dieses Werk bzw. dieser Inhalt darf nicht für kommerzielle Zwecke verwendet werden. Weitergabe unter gleichen Bedingungen: Wenn Sie das lizenzierte Werk bzw. den lizenzierten Inhalt bearbeiten oder in anderer Weise erkennbar als Grundlage für eigenes Schaffen verwenden, dürfen Sie die daraufhin neu entstandenen Werke bzw. Inhalte nur unter Verwendung von Lizenzbedingungen weitergeben, die mit denen dieses Lizenzvertrages identisch oder vergleichbar sind. Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Dürfen wir uns vorstellen? Antago: Unternehmen und Portfolio Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Was bietet Ihnen Antago? Die Antago GmbH ist ein europaweit tätiges Unternehmen im Bereich der IT- und Informationssicherheit. Wir sorgen für die strukturierte, bedarfsorientierte Absicherung von Informationen. Unabhängig, kompetent und angemessen bieten wir Ihnen: Security Scans und Penetrationstests Kompetente Sicherheitsuntersuchungen inkl. Risikoanalyse und Maßnahmenkatalog Security Incident Handling und IT-Forensik Unterstützung bei Sicherheitsvorfällen Informationssicherheitsmanagmentsysteme (ISMS) Analyse und Erarbeitung bedarfsorientierter Sicherheitskonzepte (auch gem. IT-Grundschutz / ISO 27001) Risikoanalysen und Sicherheitskonzepte Bedarfsorientierte Sicherheit: „So wenig wie möglich, so viel wie nötig!“. Security Awareness Sensibilität im Unternehmen schaffen – die Sicherheitslücke Nr. 1 adressieren. Livehackings und Schulungen Know-How aus erster Hand. Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Bitte keine Missverständnisse! Ein wichtiges Vorwort Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 IPv6 wird kommen IPv6 wird kommen. Sie können sich nicht dagegen wehren. Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Es gibt Notwendigkeiten für IPv6 Die Umstellung ist notwendig. Auch in Europa werden die IP-Adressen knapp. Die Umstellung wird aktuell von den Providern nachdrücklich in Angriff genommen. IPv6 ist übrigens heute schon in Ihrem Netz... Alle ernsthaften Betriebssysteme bringen IPv6 seit längerem mit und aktivieren es bei der Installation per Default. Mehr und mehr Systeme funktionieren ohne IPv6 gar nicht mehr. Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Was sollten Sie tun? Verschließen Sie nicht Ihre Augen! IPv6 wird kommen. Sie brauchen eine Strategie. Investieren Sie heute in IPv6. Bilden Sie Mitarbeiter aus und/oder sichern Sie sich externe Ressourcen. Sprechen Sie mit Ihrem Provider. Erarbeiten Sie einen Migrationsplan: Führen Sie eine Bestandsaufnahme und eine Risikoanalyse durch und planen Sie die Umstellung auf IPv6 langfristig und gründlich. Warten Sie mit der Umstellung! Bereiten Sie sich vor aber lassen Sie sich nicht hetzen! Lassen Sie andere Unternehmen Erfahrungen sammeln. Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 IPv4 vs. IPv6 Was wird neu? Ein kurzer Blick auf das Protokoll. Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Probleme mit IPv4 Alt. Zu wenig Adressen (32-bit-Adressraum) Adressraum ist stark fragmentiert Routing ist dadurch sehr aufwendig – die entsprechenden Routingtabellen sind sehr groß - Über 100.000 Einträge in der globalen Routing-Tabelle Subnetting kann zur Qual werden. Wird durch Krücken gestützt... NAT, IPSec, ... Überflüssige Optionen im Header (z.B. die Checksumme) Philosopie: „Sicherheit? Not my problem!“ - Datensicherheit ist optional Keine explizite Unterstützung von QoS-Mechanismen Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Was werden wir bei IPv6 vermissen? Alt...? Ja, aber schön! Kurze IP-Adressen. Statisches Verhalten. Vertrautheit. Anonymität? Robustheit? ... Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Attacken bei Pv4 vs. IPv6: Same, same... but different IPv6 IPv4 Smurf-Attacks Sniffing (Tunneling) Cowboy-Devices Scan nach Devices ARP-Spoofing ImplementationsProbleme Attacken gegen Applikationen Flooding Das Team der Antago NDP-Spoofing HeaderManipulation Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Der Fisch stank vom Kopfe her... IPv4 Das Team der Antago IPv6 Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 IPv6-Header VERS (4 Bit): Versionnummer (6) TRAF. CLASS (8 Bit): Identifikation verschiedener Prioritäten FLOW LABEL (20 Bit): Zusammenfassen von Paketen zu Datenströmen NEXT HEADER (8 Bit): Typ des nächsten IPv6 Erweiterungs-Headers - 8 Bit HOP LIMIT (8 Bit): Erkennen von Routing Loops - 8 Bit SOURCE / DESTINATION ADDRESS (je 128 Bit): IPv6 Adresse - 128 Bit Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Schreibweise der IPv6-Adressen IPv6-Adressen sind 128 Bit lang, es können 3,4 * 10^38 Systeme adressiert werden Die genaue Anzahl beträgt 340.282.366.920.938.463.463.374.607.431.768.211.456... Notation: 2-Byte Gruppen in Hex-Schreibweise durch „:“ getrennt FE80 : 0030 : 0000 : 0000 : 04A1 : C9FF : BADE : FEE0 führende Nullen und „Null“-Byte Gruppen entfallen (kompaktere Darstellung) FE80 : 30 ::: 4A1 : C9FF : BADE : FEE0 mehrmalige Nullgruppen können einmalig durch ein doppeltes „:“ ausgedrückt werden (zumeist Verkürzung der Netzadresse) FE80 : 30 :: 4A1 : C9FF : BADE : FEE0 Netzmaske (Anzahl der Bits, über die das Netz adressiert ist) wird ans Ende gestellt FE80 : 30 :: 4A1 : C9FF : BADE : FEE0/ 64 Merke: DNS ist Dein Freund. Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Problem: IPv6 und die Privatsphäre... Ordnung = In Reih' und Glied? Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Alles für Routing: der erste Teil der IPv6-Adresse (I) Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Alles für Routing: der erste Teil der IPv6-Adresse (II) RFC 2374 wurde als zu unflexibel eingestuft und durch RFC 3587 abgelöst, der allen Beteiligten große Freiheit gibt: Unterteilung des Adressraumes in öffentlichen (TLA, NLA, SLA) und lokalen Bereich (je 64 Bit) Nur Top-Level Aggregation ID muss zentral verwaltet werden Adressvergabe erfolgt blockweise hierarchisch von oben nach unten: RFC 3177 empfiehlt die folgende Vergabe-Strategie bei Subnetzen: Private Haushalte, kleine und mittlere und große Unternehmen: /48 (64k Subnetze). In Ausnahmefällen: /47 (128k Subnetze) oder ein „slightly shorter“ Präfix. Mobile Devices mit mehreren Interfaces: /64 Dialup-Device in einem : /128 Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Alles für den Host: der zweite Teil der IP-Adresse In IPv6 müssen DHCP-Server nicht mehr für die Vergabe von IP-Adressen verwendet werden – in aller Regel generiert sich jeder Host seine IP-Adresse(n) selbst. Dabei wird standardmäßig des Verfahren „StateLess Address AutoConfiguration (kurz: SLAAC)“ verwendet. Es können aber auch andere Verfahren zum Einsatz kommen: Adressvergabe über DHCPv6-Server Zufälliges Würfeln von IPv6-Adressen (Privacy Extensions) Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Wie arbeitet SLAAC? SLAAC verwendet die MAC-Adresse um die Host-ID zu generieren: In der Mac Adresse wird in der Mitte "FF:FE" eingefügt Bit 7 der MAC Adresse (Universal/Local Bit) wird gesetzt Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Stateless Autoconfiguration (RFC 2462) Host bildet aus MAC-Adresse die Host-ID und prüft, ob die ID eindeutig ist Der Prefix FE80::/10 plus Host-ID wird zu einer Link-Local-Adresse Host sendet Router Solicitation Message aus Router antwortet mit Router Advertisement Message (RA) RA beinhaltet u.a. den (oder die) globalen Netzprefix(e) (/64!) Host bildet daraus eine (oder mehrere) global routingfähige Adresse(n) RA wird auch für die Konfiguration einer Default-Route verwendet (Host wählt Router aus). Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Die Folgen der IPv6-Adressen Provider können ihre Infrastruktur nun sehr statisch gestalten. Provider können nun jedem DSL-/UMTS-/XYZ-Kunden ein eigenes, fest zugeordnetes Subnetz verpassen. Folge: Erster Teil der IP ist für jeden Kunden statisch - jeder Kunde lässt sich anhand des ersten Teils der IP-Adresse eindeutig zuordnen. Zusätzlich gilt: Wenn der zweite Teil der IP via SLAAC erzeugt wird... Das Equipment eines Teilnehmers kann einfach erkannt und getrackt werden (man schaue auf den zweiten Teil der IP). Egal in welchem Netz der Kunde steckt: Die Netz-ID ändert sich, die Host-ID bleibt gleich. Sein Gerät trägt eine weltweit eindeutige ID, die in jedem IP-Paket steht. Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Probleme mit der Privatsphäre... Bei IPv4 war die Privatsphäre zwangsläufig gegeben: IP-Adressen mussten immer wieder neu vergeben werden. Reanonymisierung der IP (Zuordnung IP -> User) nicht ohne zeitnahe Provider-Anfrage möglich. Mit IPv6 steht nun ein riesiger Adressraum zur Verfügung: IP-Adressen können statisch vergeben werden. Reanonymisierung einer IP ist nicht mehr notwendig. Überwachung wird spürbar einfacher (Zeitdruck entfällt, IP=User?) SLAAC bildet den zweiten Teil der IP-Adresse aus der MAC Geräte können eindeutig(er) identifiziert werden. User können eindeutig(er) zugeordnet/getrackt werden – egal aus welchem Netz sie kommen. Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 IPv4: Ein Kommen und ein Gehen... Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 IPv6: alles sehr übersichtlich und sehr statisch... Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Wie ist Ihr Provider/Router/Betriebssystem? Wie bereits erwähnt: Die RFCs geben allen Beteiligten große Freiheit Kunden müssen vom Provider nicht immer die gleichen Subnetze erhalten Es muss nicht immer SLAAC bei der Vergabe der Interface-ID verwendet werden. Wer bestimmt also, wie statisch Ihre IP-Adresse bei IPv6 ist? Subnetz: Provider Interface-ID: Infrastruktur (Router, Server) Betriebssystem Ihres Endgerätes Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Ein Blick auf die Privacy Extensions Nur bedingt einsatzbereit... Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 RFC 3041 - Privacy Extensions In RFC 3041 ist die Möglichkeit gegeben, den Hostteil der IPv6-Adresse zufällig zu erzeugen. Allerdings sind IPv6-Adressen nach RFC 3041 zeitlich begrenzt gültig und werden danach neu vergeben. In welchen Abständen dies geschieht, hängt vom Betriebssystem und den Routern ab. Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Wechsel der IP-Adresse im laufenden Betrieb? Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Problem: DNS... Windows (7, 2008 etc.) kann IPv6-Records im lokalen DNS registrieren. Damit sind Systeme über ihren Namen auflös- und erreichbar. Allerdings gilt dies nur für SLAAC-Adressen. Temporäre Adressen werden nicht aufgenommen. Folge: Beim Einsatz von Privacy Extensions sind die Clients nicht mehr zu administrieren... Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Noch ne Folge... :-) Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Weitere Probleme... Ein ganzer Haufen?! Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 History Repeating? IPv4-Implementierungen hatten immer wieder dicke, dicke Sicherheitslücken. Ping of Death, Teardrop, Land, NewTear, Bonk, Boink, ... Exploitbare Verwundbarkeiten in vielen Stacks Mit der Zeit wurden problematische Teile von IPv4 erkannt und Gegenmaßnahmen erarbeitet (meistens auf Filter-Basis). Source Routing, Smurf-Attacks, Fragmentation Attacks, ... ARP-Poisoning, DHCP-Starvation, Rouge DHCP-Servers, ... Wiederholt sich die Geschichte? ...trotz ausreichend langer Testphase? ;-) SourceRouting wurde übrigens 2007 bei IPv6 „wiederentdeckt“... Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Schutz auf Layer 2? Fehlanzeige! Viele Layer 2 Security Mechanismen sind für IPv6 (noch) nicht vorhanden. DHCPv6 Snooping / Protection Port Access Listen (Layer 3 Filter am Switchport) RA-Guard wie in RFC6101 beschrieben (RA Messages nur von Router Ports zulassen) Dynamic DAD inspection (Mac => IPv6 Address learning) ND rate limiting Selbst große Hersteller strecken aktuell die Waffen! Werden Ihre Switches ein Update bekommen? Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Gibt es ein IPv6-NAT? Der Streit um NAT für IPv6 (NAT66) tobt seit mehreren Jahren! Pro: Sicherheit, Privatsphäre Kontra: „Nur ein totes NAT ist ein gutes NAT!“ Ende-zu-Ende-Prinzip wird verletzt P2P-Software hat es ungleich schwerer (z.B. Skype!) Ausfall eines NAT-Systems hängt komplette Netze ab Mittlerweile sind averschiedene Gruppen fleißig dabei, NAT66 für Linux zu implementieren (lang lebe OpenSource!) ipv6nat, NAT66 for netfilter, NAPT66 Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Quintessenz und Wiederholung Also: Was tun? Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Was sollten Sie tun? Verschließen Sie nicht Ihre Augen! IPv6 wird kommen. Sie brauchen eine Strategie. Investieren Sie heute in IPv6. Bilden Sie Mitarbeiter aus und/oder sichern Sie sich externe Ressourcen. Sprechen Sie mit Ihrem Provider. Erarbeiten Sie einen Migrationsplan: Führen Sie eine Bestandsaufnahme und eine Risikoanalyse durch und planen Sie die Umstellung auf IPv6 langfristig und gründlich. Warten Sie mit der Umstellung! Bereiten Sie sich vor aber lassen Sie sich nicht hetzen! Lassen Sie andere Unternehmen Erfahrungen sammeln. Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 So kontaktieren Sie uns Antago: einfach mehr Sicherheit Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Unsere Kontaktdaten – wir freuen uns auf Sie! Sie haben Fragen? Sie benötigen weitere Informationen oder ein unverbindliches Angebot? Wir freuen uns auf Sie! Antago GmbH Heinrichstraße 10 D 64283 Darmstadt Internet: Phone: Fax: E-Mail: Das Team der Antago https://www.antago.info +49 . 6151 . 428568 . 0 +49 . 6151 . 428568 . 1 sicherheit[at]antago.info Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012 Das Team der Antago Antago GmbH | Heinrichstraße 10 | 64283 Darmstadt | https:// www.antago.info Nov 2012
