IPv6 Monitoring - guug.de · IPv6 Monitoring Folie 3 Agenda Einführung Betriebssysteme Router Statistiken Webstatistiken DoS Erkennung IPv6 Monitoring - Wo sind meine Daten?

Wilhelm Boeddinghaus

Strato AG

05. Januar 2012

IPv6 Monitoring: Wo sind meine Daten?

Wer spricht heute?

Folie 2

Dipl. Inf. (FH) Wilhelm Boeddinghaus

Leiter des Netzwerkes Strato AG

Die Strato AG ist eine Tochter der Deutschen

Telekom AG

IPv6 Monitoring - Wo sind meine Daten?

IPv6 Monitoring

Folie 3

Agenda

Einführung

Betriebssysteme

Router Statistiken

Webstatistiken

DoS Erkennung


IPv6 Monitoring - Einführung

Folie 4

Welche Fragen beantwortet das Monitoring?

Statistiken – Wie viel Traffic fliesst?

Angriffe – Automatische Erkennung

Security – Sind meine Filter richtig gesetzt?

Welche Dienste laufen schon über IPv6?


IPv6 Monitoring - Einführung

Folie 5

Welche Fragen beantwortet das Monitoring?

Wo entstehen die Daten?

Intern im Unternehmen

Extern auf Web und Emailservern

Abrechnung oder Kontrolle von Abrechnung

Welche Merkmale haben die Daten?

Wie müssen Filter aussehen, um die Daten zu

erfassen?


IPv6 Monitoring - Datenschutz

Folie 6

Wichtiges Thema, aber nicht in diesem Tutorial

Keine juristische Betrachtung des Themas

Bei Logfiles gleiche Bedeutung wie bei IPv4

Anonymisierung ?

Bei IPv6 Adressen kann es Probleme geben

IPv6 Adresse aus MAC Adresse erzeugt


IPv6 Monitoring

Folie 7

Wo ist das Problem?

Switche sehen Layer3 Pakete als Bytes und unterscheiden

nicht zwischen IPv6 und IPv4

Nutzt das Betriebssytem IPv4 oder IPv6?

Oder hängt das von der Applikation ab?

Ich kann meine Email nicht abrufen

IPv4 oder IPv6, wie soll es der Kunde unterscheiden?


Betriebssysteme

Folie 8

Alle gängingen Betriebssysteme unterstützen IPv6

Einige schalten IPv6 per default an

Windows 7 / Windows Vista

Windows Server 2008 R2

Linux

MacOS

iOS (Apple, nicht Cisco )


Windows 7

Folie 9

IPv6 ist angeschaltet !

Ist das allen Beteiligten im Unternehmen bekannt?

Welche Daten werden mit IPv6 transportiert?

Welche Wege nehmen die Daten?

Werden Tunnel genutzt?

Wie kann IPv6 sichtbar gemacht werden?


Windows 7 – IPv6 ist angeschaltet

Folie 10

Windows Vista, Windows 7 und Server 2008 R2

haben per Default IPv6 an.

Link Local Adresse wird generiert

Neighbor Discovery wird durchgeführt

Kommunikation über IPv6 wird bevorzugt

Bei vielen Unternehmen ist nicht bekannt, dass IPv6

schon läuft

Sicherheit ???


Windows 7 – IPv6 Sichtbarkeit

Folie 11

ipconfig

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . : xxxxxxxxx

Description . . . . . . . . . . . : Intel(R) 82567LM Gigabit Network Connection

Physical Address. . . . . . . . . : 00-21-70-E0-F0-3C

DHCP Enabled. . . . . . . . . . . : Yes

Autoconfiguration Enabled . . . . : Yes

IPv6 Address. . . . . . . . . ....: 2a01:238:xxxx:xxxx:353e:827b:ba2e:8702(Preferred)

Temporary IPv6 Address. . . . . . : 2a01:238:xxxx:xxxx:3c00:d0d1:23d9:f62(Preferred)

Link-local IPv6 Address . . . . . : fe80::353e:827b:ba2e:8702%10(Preferred)

Default Gateway . . . . . . . . . : fe80::224:97ff:fef0:7bb7%10


Windows 7 – IPv6 Bordmittel

Folie 12

netsh interface ipv6>show siteprefixes Prefix Lifetime Interface

------------------------ ------------ ------------------------------

2a01:238:xxxx:xxxx:/64 60d Local Area Connection



Folie 13

netsh interface ipv6>show tcpstats MIB-II TCP Statistics

------------------------------------------------------

Timeout Algorithm: Van Jacobson's Algorithm

Minimum Timeout: 10

Maximum Timeout: 4294967295

Maximum Connections: Dynamic

Active Opens: 140

Passive Opens: 4

Attempts Failed: 0

Established Resets: 4

Currently Established: 0

In Segments: 2394

Out Segments: 1908

Retransmitted Segments: 5

In Errors: 0

Out Resets: 70



Folie 14

netsh interface ipv6>show udpstats MIB-II UDP Statistics

------------------------------------------------------

In Datagrams: 1689

In Invalid Port: 0

In Erroneous Datagrams: 0

Out Datagrams: 2424



Folie 15

netsh interface ipv6>show ipstats MIB-II IP Statistics

------------------------------------------------------

Forwarding is: Disabled

Default TTL: 128

In Receives: 7174

In Header Errors: 0

In Address Errors: 3161

Datagrams Forwarded: 0

In Unknown Protocol: 0

In Discarded: 0

In Delivered: 4884

Out Requests: 6157

Routing Discards: 0

Out Discards: 0

Out No Routes: 54

Reassembly Timeout: 60

Reassembly Required: 0

Reassembled Ok: 0

Reassembly Failures: 0

Fragments Ok: 0

Fragments Failed: 0

Fragments Created: 0



Folie 16

netsh interface ipv6>show global General Global Parameters

---------------------------------------------

Default Hop Limit : 128 hops

Neighbor Cache Limit : 256 entries per interface

Route Cache Limit : 128 entries per compartment

Reassembly Limit : 33455168 bytes

ICMP Redirects : enabled

Source Routing Behavior : dontforward

Task Offload : enabled

Dhcp Media Sense : enabled

Media Sense Logging : disabled

MLD Level : all

MLD Version : version3

Multicast Forwarding : disabled

Group Forwarded Fragments : disabled

Randomize Identifiers : enabled

Address Mask Reply : disabled

Current Global Statistics

---------------------------------------------

Number of Compartments : 1

Number of NL clients : 7

Number of FL providers : 4


Windows 7 – Monitoring

Folie 17

Microsoft bietet ein gutes und kostenloses Tool



Folie 18

Auswertung nach Adresse



Folie 19

Auswertung nach ICMPv6


Wireshark ICMPv6

Folie 20

Wireshark ICMPv6


Wireshark Filter

Folie 21

Filter nach Ethertype: eth.type == 0x86dd

IPv6 Traffic: ipv6

ICMPv6: icmpv6

Eine Source Adresse: ipv6.src ==

fe80::2d0:59ff:fe05:ec54

IPv6-over-IPv4 tunneled traffic : ip.proto == 41

Capture native IPv6 traffic only: ipv6 and not

ip.proto == 41


Wireshark Links

Folie 22

www.wireshark.org

http://media.packetlife.net/media/library/13/Wires

hark_Display_Filters.pdf


http://www.wireshark.org/

http://media.packetlife.net/media/library/13/Wireshark_Display_Filters.pdf



Windows 7 – Src Address

Folie 23

RFC 3484 - Welche Absender Adresse nutzt mein Rechner / Server ?

netsh interface ipv6>show prefixpolicies

Querying active state...

Precedence Label Prefix

---------- ----- --------------------------------

50 0 ::1/128 (IPv6 Loopback)

40 1 ::/0 (IPv6 Default Route)

30 2 2002::/16 (6to4 Tunnel)

20 3 ::/96 (IPv4 Kompatibilität, depricated)

10 4 ::ffff:0:0/96(IPv4 mapped Addresses)

5 5 2001::/32 (Teredo)


Linux

Folie 24

IPv6 ist angeschaltet !

Ist das allen Beteiligten im Unternehmen bekannt?

Welche Daten werden mit IPv6 transportiert?

Welche Wege nehmen die Daten?

Werden Tunnel genutzt?

Wie kann IPv6 sichtbar gemacht werden?


Linux

Folie 25

server:~# ifconfig eth0

eth0 Link encap:Ethernet HWaddr 00:d0:59:05:ec:54

inet6 addr: 2a01:238:xxxx:xxxx:452a:47b1:ab60:5bf4/64 Scope:Global

inet6 addr: fe80::2d0:59ff:fe05:ec54/64 Scope:Link

inet6 addr: 2a01:238:xxxx:xxxx:5610:de34:5509:1a2b/64 Scope:Global

RX packets:1813920 errors:0 dropped:0 overruns:0 frame:0

TX packets:2274602 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:366259499 (349.2 MiB) TX bytes:369024247 (351.9 MiB)


Linux – Src Address

Folie 26

RFC 3484 - Welche Absender Adresse nutzt mein

Rechner / Server ?

/etc/gai.conf

#precedence ::1/128 50

#precedence ::/0 40

#precedence 2002::/16 30

#precedence ::/96 20

#precedence ::ffff:0:0/96 10


MAC OS X

Folie 27

IPv6 ist angeschaltet

Privacy Extensions können zugeschaltet werden


iOS

Folie 28

iOS kann IPv6

Seit Version 4.3 auch mit Privacy Extensions

User sieht es nicht und merkt es auch nicht

Aber die Schildkröte bei www.kame.net schwimmt


http://www.kame.net/

Privacy Extensions

Folie 29

RFC 4941

Der Hostanteil der IPv6 Adresse wird per MD5

generiert

1234:5678:90ab:cdef:1234:5678:90ab:cdef

Kann stündlich neu berechnet werden

Wie soll das im Monitoring abgebildet werden?

Datenschutz - Sicherheit


Adresswahl

Folie 30

Es gibt die Vorgabe nach RFC 3484

Global Unicast wird für externe Kommunikation

genutzt

Mehrere Adressen möglich

Privacy Extensions werden genutzt

Link Local für Kommunikation auf dem Link

Filter auf das richtige Netzwerk schauen lassen


Router Statistiken

Folie 31

Router arbeiten auf Layer 3

IPv4 und IPv6

Ist eine getrennte Anzeige möglich?

Sind getrennte Werte per SNMP verfügbar?

Sind Routing Protokolle überwachbar?


Router Statistiken

Folie 32

Juniper MX 960

Transit statistics:

Input bytes : 4945390034106012 369421416 bps

Output bytes : 3911923330675231 1852305280 bps

Input packets: 18124039206533 140590 pps

Output packets: 4794644352220 265118 pps

IPv6 transit statistics:

Input bytes : 52122900797

Output bytes : 40015432152

Input packets: 127285828

Output packets: 172157199


Router Statistiken

Folie 33

Cisco Catalyst 6500

Zeigt nur Bytes an, keine Unterscheidung von

IPv4 und IPv6

Soll sich mit neuer Serie von Boards ändern

Cisco CRS1

Zeigt nur Bytes an, keine Unterscheidung von

IPv4 und IPv6


Router Statistiken

Folie 34

Cisco 7200 G1

Zeigt nur Bytes an, keine Unterscheidung

von IPv4 und IPv6


Router SNMP

Folie 35

RFC 4292 IP-FORWARD-MIB

RFC 4293 IP-MIB

RFC 4022 TCP-MIB

RFC 4113 UDP-MIB

Aber, die Hersteller müssen es

unterstützen!


Webstatistiken

Folie 36

Apache braucht 2 x Virtual Host Konfiguration

IPv6 und IPv4 können getrennte oder gemeinsame

Logfiles nutzen

Apache schreibt Logfiles mit IPv6 Adressen

IPv6 Geo IP bisher eingeschränkt möglich

Sind getrennte Statistiken sinnvoll?


Webstatistiken

Folie 37

Awstats

http://awstats.sourceforge.net/

Licence: Gnu GPL

Plug-In ”IPv6” muss eingeschaltet sein

Geo IP funktioniert nicht

Kann auch Email und FTP Logs auswerten




Webstatistiken

Folie 38

Awstats

# PLUGIN: IPv6

# PARAMETERS: None

# REQUIRED MODULES: Net::IP and Net::DNS

# DESCRIPTION: This plugin gives AWStats capability to make reverse

DNS

# lookup on IPv6 addresses.

LoadPlugin="ipv6"


Webstatistiken

Folie 39


Webstatistiken

Folie 40

Awstats Betriebsysteme


Webstatistiken

Folie 41

Awstats Browser


Webstatistiken

Folie 42

Awstats Geo IP

Es sind nur wenige Datenbanken vorhanden

Einbindung ist nicht intuitiv


Webstatistiken

Folie 43

Webalizer

Fully supports IPv4 and IPv6 addresses. (Zitat von

http://www.mrunix.net/webalizer/)

Webalizer Xtended

http://www.patrickfrei.ch/webalizer/

Changelog (December 8, 2007)

Changes/Additions: - Added full IPv6 support


http://www.mrunix.net/webalizer/

http://www.mrunix.net/webalizer/



Webstatistiken

Folie 44

Webtrends


Webstatistiken

Folie 45

Webtrends


Webstatistiken

Folie 46

Google Analytics

Google Analytics arbeitet unabhängig von IPv4 und IPv6

Es ist nicht leicht möglich, die IP Adresse der Besucher zu ermitteln. Google scheint das nicht zu wollen.

Piwik

Die Unterstützung für IPv6 kam mit Version 1.4

Aktuell ist die Version 1.6

Scheint keine hohe Priorität zu haben


Geo IP

Folie 47

Die IANA hat jeder RIR einen IPv6 Block zugeteilt

APNIC: 2400::/12

ARIN: 2600::/12

LACNIC: 2800::/12

RIPE: 2a00::/12

Afrinic: 2c00::/12

Grobes GeoIP damit möglich


Geo IP für IPv6

Folie 48

Maxmind GeoLite Country

Sortiert nach Ländern

Monatliches Update

Download als CSV Datei

Wird breit unterstützt


Geo IP für IPv6

Folie 49

IP2Location

Download der Datenbank als binary

Länder für IPv6 frei verfügbar

Bringt als Ausgabe das Landeskürzel: DE

API zur Auswertung der Database

Perl, Ruby, Phyton, Apache Modul

VB.Net C#, C, Objective C, Java


Geo IP für IPv6

Folie 50

Quova

Quova is offering an Alpha IPv6 geolocation product

With the following fields:

Country

State

City

Organization


Geo IP für IPv6

Folie 51

software77.net/geo-ip/

Geo::IPfree Perl Modul

Kompatibel mit AWStats

Weitere Möglichkeiten

Geo::IP Perl Modul


http://software77.net/geo-ip/



Geo IP für IPv6

Folie 52

GeoIP ist wichtig für lokale Werbung

Eine Pizzeria will nur im Stadtteil werben

Mit IPv6 ist das noch nicht möglich


DoS Erkennung

Folie 53

Wie wird ein DoS erkannt?

Menge der Packete

Menge der Daten

Typ der Packete

Syn, oder nur ACK ohne Syn

Problem

Angriff mit IPv4 oder IPv6 oder beiden Protokollen, oder

alternierend?


DoS Erkennung

Folie 54

Schwellwerte?

Wann wird Alarm ausgelöst?

Für IPv4

Für IPv6

Für eine Kombination aus beiden Protokollen

TCP oder UDP oder ICMPv6


DoS Erkennung

Folie 55

Netflow v9 kann IPv6 Daten exportieren

IPV6_SRC_ADDR

IPV6_DST_ADDR

IPV6_SRC_MASK

IPV6_DST_MASK

IPV6_FLOW_LABEL

Damit ist eine Unterscheidung zwischen IPv6 und

IPv4 möglich


DoS Erkennung

Folie 56

NFSEN Netflow Sensor

http://nfsen.sourceforge.net/

Open Source Software

Kann Neflow 9 lesen und interpretieren

Ausgabe nach IPv4 und IPv6 möglich


DoS - Reaktion

Folie 57

Sperren ist der erste Gedanke

Aber was wird gesperrt?

Zeigt das Monitoring die IP Adresse oder das Netz des

Angreifers?

Privacy Extensions ermöglichen wechselnde Adressen des

Angreifers

Oder gar wechseln der Adresse mit Perl

Was muss das Monitoring erfassen?


Troubleshooting

Folie 58

Warum kommen IPv6 Verbindungen nicht

zustande?

12% - 20% der 6to4 Tunnel kommen nicht zustande

Protokoll 41 wird gefiltert ?

Adressbereich 2002::/16 wird gefiltert

MTU – Path Discovery

Geoff Houston, RIPE62 Amsterdam


Troubleshooting

Folie 59

Warum kommen IPv6 Verbindungen nicht

zustande?

Ca. 40% der Teredo Tunnel kommen nicht zustande

Erst ICMP, dann Syn

Filter auf Adressbereiche

Geoff Houston, RIPE62 Amsterdam


Troubleshooting

Folie 60

ARP – Neighbour Discovery

Die Zuordnung IP – MAC war bisher ein Layer

2 Protokoll (ARP Address Resolution Protocol)

IPv6 realisiert das mit ICMPv6

1:1 Übernahme von alten Firewallregeln geht

nicht

Monitoring, ob ICMPv6 frei fliessen darf


Fazit

Folie 61

IPv6 ist sichtbar

Die meisten Betriebssysteme

bevorzugen es

Router können IPv6, zeigen es aber nicht

immer an

GeoIP muss verbessert werden


Vielen Dank STRATO AG

Pascalstraße 10

10587 Berlin E-Mail [email protected]

https://www.xing.com/profile/Wilh

elm_Boeddinghaus

Netzwerk & Routing


mailto:[email protected]

https://www.xing.com/profile/Wilhelm_Boeddinghaus



Documents

IPv6 Monitoring - guug.de · IPv6 Monitoring Folie 3 Agenda Einführung Betriebssysteme Router Statistiken Webstatistiken DoS Erkennung IPv6 Monitoring - Wo sind meine Daten?