© Fraunhofer Rückverfolgen von IPv6-Adressen mit aktivierten Privacy Extensions Martin Turba,...

© Fraunhofer

Rückverfolgen von IPv6-Adressenmit aktivierten Privacy ExtensionsMartin Turba, Fraunhofer CC-LANIPv6-Kongress 2014, Frankfurt, 22. Mai 2014

© Fraunhofer

Agenda

1 Motivation –Wozu müssen wir IPv6-Endgeräte identifizieren?

2 Grundlagen –Dual-Stack, Adressvergabe, NDP und Privacy Extensions

3 Konzept und Implementierung –Anwendungsfälle identifizieren und umsetzen

4 Zusammenfassung

© Fraunhofer

Forschungsthemen:

Gesundheit, Ernährung und Umwelt

Schutz und Sicherheit

Information und Kommunikation

Verkehr und Mobilität

Energie und Wohnen

Produktion und Umwelt

60 Institute

Mehr als 20,000 Mitarbeiter

Fraunhofer – über 20,000 Mitarbeiter in 60 Instituten

© Fraunhofer

Wer ist das Competence Center LAN, was machen wir?

Fraunhofer-InstituteAISEC / SIT / IGD und UMSICHT

Zentrale Unterstützung für alle Fraunhofer-Institute und Einrichtungen rund um das Thema LAN und LAN-verwandte Themen (z.B. Security, WAN, Mobility, Verkabelung, …)

© Fraunhofer

Was ist das Competence Center LAN, was machen wir?

Competence Center LAN

Fraunhofer-Institute

Frau

nh

ofe

r-Z

en

trale Dienstleistun

gen & Projekte

Strategie-Prozess

Industrie

© Fraunhofer

MotivationWozu müssen wir IPv6-Endgeräte identifizieren?

© Fraunhofer

Stetiges Wachstum nativer IPv6-Anbindungen und neue Funktionen

Stetiges Wachstum nativer IPv6-Anbindungen

Neue Features mit IPv6

Extensions Header

Privacy Extensions

…

Quelle:

https://www.ams-ix.net/technical/statistics/sflow-stats/ipv6-traffic

© Fraunhofer

Etablierte Netzwerkmanagement-Methoden für IPv4 sind nicht unmittelbar auf IPv6 übertragbar

Einige Fraunhofer-Institute haben IPv6 bereits produktiv im Einsatz, weitere Standorte der Fraunhofer-Gesellschaft werden für IPv6 erweitert

Erschwerte Administration und Überwachung

Etablierte Methoden wie in IPv4 können nicht mehr angewendet werden

Mangelnder Reifegrad bei Netzwerkmanagement Software für IPv6

Keine Rückverfolgung bei Verstößen gegen Sicherheitsrichtlinien

Auffinden von falsch konfigurierten Endgeräten nicht möglich

Bachelorarbeit: Kevin Templar, „Identifizieren von Endgeräten in einer Dual-Stack-Umgebung mit aktivierten IPv6 Privacy Extensions“, Februar 2014

© Fraunhofer

GrundlagenDual-Stack, Adressvergabe, NDP und Privacy Extensions

© Fraunhofer

Dual-Stack-Umgebung – Parallelbetrieb IPv4 und IPv6

Paralleler Betrieb IPv4 und IPv6

DNS unterstützt durch doppelte Records

Einfache Migrationsstrategie

Dual-Stack-Umgebung [MSSH11]

© Fraunhofer

Verschiedene Methoden der Vergabe von IPv6-Adressen

Statisch

Kein Unterschied zu IPv4

Dynamisch

Stateful

DHCPv6-Server wird zur Adressenverteilung benötigt

Stateless Adress Autconfiguration (SLAAC)

MAC-Adresse als Merkmal (modified EUI-64)

Privacy Extensions

Zufällig generierte Adresse Beispiele für SLAAC- und PE-Adressen [TEMP14]

© Fraunhofer

Das Neighbor Discovery Protocol entspricht in etwa dem Address Resolution Protocol in IPv4

Entspricht etwa Address Resolution Protocol (ARP) aus IPv4

Identifizierung von IPv6-Adresse zu MAC-Adresse

Neighbor Discovery Cache

MAC-Adresse

IPv6-Adresse

Status

Alter

Router-Interface

Zustandsdiagramm Neighbor Discovery Status [TEMP14]

© Fraunhofer

Zufälliges Generieren von IPv6-Adressen –IPv6 Privacy Extensions

Interface ID wird zufällig generiert

Zeitlich befristete Gültigkeit

Priorisierte Kommunikation

Dienen zur Verschleierung

Diagramm zum Generierung Privacy Extensions [BWVO11]

© Fraunhofer

Konzept und ImplementierungAnwendungsfälle identifizieren und umsetzen

© Fraunhofer

Zwei wesentliche Anwendungsfälle wurden untersucht

Anforderungen identifizieren

Evaluierung (freier) Software

Observium

NDPmon

Überprüfen der Varianten

Neighbor Discovery Cache

Mitschneiden des Netzwerkverkehr

Anwendungsfälle [TEMP14]

© Fraunhofer

Laborinfrastruktur zur Simulation einer Dual-Stack-Umgebung mit unterschiedlichen Endgeräten

Simulation Dual-Stack-Umgebung

Native IPv6-Internetanbindung

Unterschiedliche Endgeräte

Windows

Linux

Aufbau der Labor- und Entwicklungsumgebung [TEMP14]

© Fraunhofer

Eigene Implementierung, da getestete Software nicht die Anforderungen erfüllen konnte

Getestete Software nur sehr eingeschränkt nutzbar

Keine deckt alle Anforderungen ab

Eigene Implementierung

Auslesen Neighbor Discovery Cache

Notwendige Informationen sind im Neighbor Cache enthalten

Abfrage über SNMP möglich

Auszug Neighbor Discovery Cache [TEMP14]

© Fraunhofer

Eine eigene App für Splunk wurde entwickelt

Eingesetzte Software „Splunk“

Erstellung eigener App „IPv6“

Grundkonfiguration

Zugriffsbeschränkung

Daten nach 30 Tagen Verlauf löschen

Erweiterungen (Apps) hinzugefügt

SNMP Modular Input

Sideview Utils

Navigationsleiste der App „IPv6“ [TEMP14]

© Fraunhofer

Die Daten werden über verschiedene SNMP-Abfrage erfasst

Schematischer Aufbau der Komponenten

Auszug der SNMP-Abfrage der Cisco MIB

Schematischer Aufbau der Komponenten [TEMP14]

SNMP-Abfrage der Cisco MIB [TEMP14]

© Fraunhofer

Weiterverarbeiten der Daten zur Indizierung

Felder extrahieren und zuordnen

Erstellen von Key-Value-Paare

Notwendig für weitere Verarbeitung/Suchabfragen

Feldnamen, Inhalte und reguläre Ausdrücke [TEMP14]

© Fraunhofer

Erkennen verschiedener IPv6-Adresstypen (Umgebungs-spezifisch)

Suchabfragen korrelieren mittels „Search Processing Language“

IPv6 Adresstypen erkennen

Suchkommando für Adresstypen [TEMP14]

© Fraunhofer

Umsetzen der Anforderungen als Benutzeroberfläche –Endgerät anhand von IPv6-Adresse finden

Suche nach der MAC-Adresse eines Endgeräts anhand einer IPv6-Adresse zu einem bestimmten Zeitpunkt

Suche nach einem Endgerät anhand einer IPv6-Adresse [TEMP14]

© Fraunhofer

Umsetzen der Anforderungen als Benutzeroberfläche –Aktive IPv6-Adressen in einem VLAN auflisten

Auflistung aller aktiven Adressen in einem VLAN

Suche aller aktiven IPv6-Endgeräte in einem VLAN [TEMP14]

© Fraunhofer

Zusammenfassung

Rückverfolgen von Endgeräten mit aktivierten Privacy Extensions in eigener Umgebung muss ermöglicht werden, z.B. für

Troubleshooting

Sicherheitsvorfälle

Anforderungen können mit Informationen aus SNMP-MIBs, die mittels Logging-System korreliert und visuell aufbereitet werden, erfüllt werden

Umgesetzt als Splunk-App

Kann um weitere Datenquellen erweitert werden

© Fraunhofer

Rückverfolgen von IPv6-Adressenmit aktivierten Privacy ExtensionsMartin Turba, Fraunhofer CC-LANIPv6-Kongress 2014, Frankfurt, 22. Mai 2014

Kontakt: 

Martin Turba Kevin TemplarFraunhofer IGD Fraunhofer IGDFraunhoferstr. 5 Fraunhoferstr. 564283 Darmstadt 64283 Darmstadtmartin.turba@igd.fraunhofer.dekevin.templar@igd.fraunhofer.de

© Fraunhofer

Referenzen / Bildnachweise

[MSSH11] McFarland, Shannon ; Sambi, Muninder ; Sharma, Nikhil ; Hooda, Sanjay: IPv6 for Enterprise Networks. Cisco Press, 2011.

[BWVO11] Barrera, David ; Wurster, Glenn ; Van Oorschot, PC: Back to the Future: Revisiting IPv6 Privacy Extensions. In: login 36, 2011.

[TEMP14] Templar, Kevin: Identifizieren von Endgeräten in einer Dual-Stack-Umgebung mit aktivierten IPv6 Privacy Extensions. 2014.