IPv6 Security - Chancen und Herausforderungen · IPv6 bringt Verbesserungen, die sich auf die Netzwerksicherheit positiv auswirken können: Inhärente IPsec Unterstützung Gröÿere

IPv6 Security - Chancen und Herausforderungen

Thomas Sche�erBettina Schnor

Fachbereich ElektrotechnikBeuth Hochschule Berlin

{sche�[email protected]}

Institut für InformatikUniversität Potsdam

{[email protected]}

Grundlagen

Übersicht

1 GrundlagenWarum IPv6?NetzwerksicherheitICMPv6 / Autocon�guration / Extension Header

2 Sicherheitsprobleme in IPv6Stateless Autocon�gurationSecure Neighbor DiscoverSource Routing in IPv6

3 Firewalls & Netzwerksicherheitip6tablesHost Security

4 Literatur

Sche�er, Schnor (Berlin, Potsdam) IPv6 Sicherheit 2 / 39

Grundlagen Warum IPv6?

Warum IPv6?

Quality of Service

Inhärente Sicherheit (native IPsec Unterstützung)

Mobilitätsunterstützung (Mobile IP)

Auto-con�guration (Plug-and-Play)

Erweiterbarkeit bzgl. zukünftiger Protokollanforderungen

Kleinere Routingtabellen

aber:

Bereits durch die weitere IPv4-Standardisierung abgedeckt!

Wichtigster Grund:

Genügend IP-Adressen!


Grundlagen Netzwerksicherheit

Netzwerksicherheit IPv6

IPv6 bringt Verbesserungen, die sich auf die Netzwerksicherheit positivauswirken können:

Inhärente IPsec Unterstützung

Gröÿere Subnetze

aber:

IPv6 bringt durch eine Reihe von Features auch neue Herausforderungenmit sich. Neue Implementierungen besitzen zum Teil noch nicht diegeforderte Produktreife.

Die potentiellen Problemfelder gilt es frühzeitig zu erkennen und geeigneteSchutzmaÿnahmen vorzuschlagen.



3 Phasen der Sicherheitsbetrachtung von IPv6

1 IPv6 ist ein sicheres Netzwerkprotokoll, es besitzt inhärentenIPsec-Support.

2 IPv6-Netze müssen genauso wie IPv4-Netze geschützt werden, eswerden identische Tools benötigt.

3 IPv6 besitzt neue Protokoll-Features (Routing Header,Autokon�guration, ...).Es sind neuartige Angri�e möglich.



Netzwerksicherheit IPv6 - Subnetzgröÿe

Subnetzgröÿe für IPv6 beträgt mindestens: 264(1, 8× 1018 Hosts) �Gröÿe durch die Interface ID abgesteckten Host-Anteils derIP-Adresse

Derzeitige Wurmattacken verwenden z.B. Hostscans, um möglicheAngri�sziele zu identi�zieren.

Hostscan in einem IPv6 Subnetz:

Bei angenommener Gleichverteilung von 10.000 Hosts in diesemAdressraum und 1 Million Anfragen pro Sekunde (400 Mbit/s) dauertes durchschnittlich 2,8 Jahre, bis der erste Host gefunden wird.



Netzwerksicherheit IPv6 - Subnetzgröÿe

Aber Angri�e werden erleichtert, falls:

Host-ID auf Basis MAC-Adresse

Manuell kon�gurierte Host-ID, die leicht zu erinnern ist (::10, ::20,eingebettete IPv4-Adresse usw.)

Namensau�ösung über DNS

Angri�e werden trivial, falls der Angreifer lokalen Zugri� hat:

IPv6 unterstützt well-known Multicast Adressen (RFC 2375):All-Nodes (FF02::1), All-Routers (FF05::2), All-DHCP Server(FF05::3)

Absetzen eines gefälschten Routing Advertisements und Sni�en derAnfragen zur Duplicate Address Detection (DAD)



IPv6 Scoped Multicast-Adressen

1 1 1 1 1 1 1 1 GroupID

8 Bit Multicast ID 112 Bit Gruppen ID4 Bit 4 Bit

Flag Scope

Flag - 'well-known'/'transient' Adresse, u.a.Scope - Reichweite der Multicast Gruppe

0 32 64 96 127

F F 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 G G G G G G G GNode-Local Multicast

Link-Local Multicast

Site-Local Multicast

F F 0 2 0 0 0 0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0F F 0 5 0 0 0 0

0 0 0 0 0 0 0 0 G G G G G G G G

0 0 0 0 0 0 0 0 G G G G G G G G

F F 0 8 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 G G G G G G G GOrganisation-Local Multicast

Global Multicast F F 0 E 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 G G G G G G G G

0 32 64 96 127

F 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 G G G G G G G GIPv6 Address

Solicited Node Address F F 0 2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 F F G G G G G

Prefix Host-ID

24 bit


Grundlagen ICMPv6 / Autocon�guration / Extension Header

ICMPv6

Das ICMPv6 Protokoll ist im Gegensatz zu ICMP(v4) ein zentralesProtokoll für den Einsatz von IPv6. Es stellt eine Vielzahl von Funktionenbereit, welche in IPv4 entweder nicht existierten oder durch andereProtokolle abgedeckt wurden:

Stateless Address Autocon�guration und Router Discovery

L2-Adressau�ösung mittels ICMPv6 Neighbour Discovery Protocol(NDP). IPv4 benutzt das ARP Protokoll auf Layer 2.

Ermittlung der Erreichbarkeit und der Parameter desÜbertragungspfades: Echo Request/Response, Path MTU Discovery.

Verwaltung der Multicast-Gruppenzugehörigkeit durch MulticastListener Discovery und Multicast Router Discovery. IPv4 benutzt dazudas IGMP Protokoll.



1 Router Solicitation (Typ 133): Wenn ein Netzwerkinterface aktiviertwird, können Hosts eine Router Solicitation aussenden, um sofort einneues Router Advertisement anzufordern.

2 Router Advertisement (Typ 134): Router geben in regelmäÿigenAbständen ihre Anwesenheit im Netz bekannt und teilen damit denHosts verschiedene Link-und Internetparameter mit.Router Advertisements enthalten Pre�x-Information, welche für dieAdresskon�guration benutzt werden, vorgeschlagene MTU, etc.

3 Neighbor Solicitation (Typ 135): Werden durch einen Node versendet,um die Link-Layer Adresse eines Nachbarn zu ermitteln, bzw. um zuüberprüfen, ob der Nachbar noch unter unter dieser Adresse erreichbarist.Neighbor Solicitations werden auch benutzt, um mittels DuplicateAddress Detection die Einzigartigkeit der kon�gurierten Adressen zuüberprüfen.



4 Neighbor Advertisement (Typ 136): Sind die Antwortnachrichten aufeine Neighbor Solicitation Nachricht. Ein Node kann aber auchselbständig Unsolicited Neighbor Advertisements versenden, um einegeänderte Link-Layer Adresse bekanntzugeben.



Address Autokon�guration

Address Autocon�guration wird benutzt, um einem IPv6 Hostautomatisch IP-Adressen zuzuweisen. Dadurch wird sichergestellt,dass der Host im Netzwerk ohne explizite Kon�gurationkommunizieren kann.

Es gibt 2 Methoden der Autocon�guration, die zustandslose(stateless) Autokon�guration ist das Default-Verfahren:

Um eine gültige IP Adresse zu bilden, nutzt der Host verfügbarePre�x-Information (z.B. aus dem Router Discovery Prozess) und testetanschlieÿend die Adresse mittels Duplicate Address Detection (DAD)auf Einzigartigkeit.Als stateful-Mechanismus, bietet DHCPv6 zusätzliche Features derAutocon�guration. DHCPv6 steht aber nicht für alle Betriebssystemezur Verfügung.



Stateless Address Autocon�guration

23 47

0 32 64 96 127

F 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 G G G G G G G GIPv6 Address Prefix Host-ID (EUI-64)

0 0 0 0 GOUI G G G G GNIC0

OUI NICF F F E

Bit 7 wird komplementär ersetzt

Ethernet MAC Address

EUI-64 Address

Link-Local Prefix F E 8 0 0 0 0 0 0 0 0 0 0 0 0 0

Jedes Interfaces muss mindestens eine Link-Local Unicast AdressebesitzenInterface Identi�er(letzten 64 Bit) der Endsysteme muss nur imTeilnetz eindeutig sein und wird meist aus der MAC Adresse desInterfaces erzeugt




Autokon�guration gilt nur für Hosts, nicht für Router.

IPv6 haben eines assoziierte Lebenszeit: Gültige Adressen sindpreferred. Adressen, die bald ablaufen werden auf den Zustanddeprecated gesetzt. Letztere dürfen in neuen Verbindungen nicht mehrbenutzt werden.

Duplicate Address Detection: Nachdem eine link-lokale Adresseerzeugt wurde, wird diese mit einer Neighbour Soliciting Messageverschickt, um ihre Eindeutigkeit zu testen.Falls die Adresse schon existiert, schickt der Besitzer der Adresse eineNeighbour Advertising Message mit dieser Info zurück und dieAutokon�guration wird abgebrochen.




Duplicate Address Detection

Host AIP: A (tentative)

ICMP-Type: 135Src: 0 (::), Dest: Solicited Node A, Target: A

Host BIP: B

-

Wenn die IP-Adresse von Host A bereits auf diesem Link vergeben ist, kannsie nicht dem Interface zugewiesen werden.



IPv6 Extension Header

IPv6 verfügt über einen �exiblen Mechanismus für die Erweiterung desProtokolls um zusätzliche Funktionalitäten. Dazu können weitereHeader (Extension Header) zwischen IP und L4-Header eingefügtwerden.

IPv6 RoutingHeader

FragmentHeader ICMPv6

43 44 58

IPv6 ICMPv658

Next Header

IPv6 TCP Data6

Next Header

IPv6 ESP50

Next Header

17UDP Data

Next Header

Next Header Next Header


Sicherheitsprobleme in IPv6

Übersicht




4 Literatur


Sicherheitsprobleme in IPv6 Stateless Autocon�guration


Probleme:

Jeder kann sich am Netzwerk anmelden und erhält eine gültigeAdresse!

Duplicate Address Detection kann für DOS-Attacke ausgenutztwerden.

Router Advertisements und Neighbor Solicitation Nachrichten könnengefälscht werden (vgl. ARP-Spoo�ng in IPv4)

Abhilfe:

1 Authenti�zierte Neighbour Discovery Message (AH-Header gemäÿRFC 4302)

2 Verwendung des Secure Neighbor Discovery Protokolls (RFC 3971)




DOS-Angri� auf Duplicate Address Detection

Host AIP: A (tentative)

AngreiferIP: B

ICMP-Type: 135Src: 0 (::), Dest: Solicited Node A, Target: IP A

-

ICMP-Type: 136Src: IP A, Dest: Multicast AllNodes, Target: A

�

Ein Angreifer antwortet wiederholt auf die DAD-Anfrage von Host A undverhindert somit, dass Host A eine gültige IPv6 Adresse kon�gurieren kann.



Probleme des Zusammenspiels vonICMPv6 und IPsec IKE

Die IPv6 Sicherheitsarchitektur sieht vor, dass alle IP Pakete mittelsIPsec gesichert werden können, auch ICMPv6 Nachrichten.Allerdings gibt es ein Bootstrap-Problem im Fall derAutokon�guration. Um ein IKE UDP zu versenden müsste zuerst eineNeighbour Solicitation Nachricht versendet werden. Diese wäre dannaber noch ungesichert...

IPsec kann Unicast und Multicast Verkehr sichern, allerdings kann IKESecurity Associations(SA) nur für Unicast Verkehr automatischaushandeln.Die folgenden ICMPv6 Nachrichten müssten deshalb manuellkon�gurierte SAs verwenden:Router und Neighbor Solicitation, Router und Neighbor Advertisement.


Sicherheitsprobleme in IPv6 Secure Neighbor Discover

Sichere Neighbor Discovery mittels SEND

Die Spezi�kation des Neighbor Discovery Protokolls (RFC4861)emp�ehlt die Verwendung von IPsec zum Schutz von NDPNachrichten nur für kleinere Netze.

Das SEcure Neighbor Discovery (SEND) Protokoll wurde entworfenum mögliche Angri�e gegen NDP abzuwehren.Das Protokoll nutzt kryptographisch generierte Adressen, welche eineBindung der Adresse an den generierenden Node gestatten. DasVerfahren funktioniert auch für automatisch generierte IP-Adressen.

aber:

Betriebssystemunterstützung ist mangelhaft: Linux experimentell;WinXP und Vista keine; Cisco IOS 12.4 unterstützt SEND.

Keine Erfahrung im Betrieb, evtl. anfällig für Angri�e die Ressourcenbinden





Secure Neighbor Discovery



Secure Neighbor Discovery


Sicherheitsprobleme in IPv6 Source Routing in IPv6

Source Routing

Der Absender eines Pakets kann über den IPv6-Routing Header RH0bestimmen, über welche Knoten ein Paket auf seinem Weg durch dasNetzwerk laufen soll.

Source-Routing in IPv6 per Standard RFC2640 verp�ichtend auch fürEndgeräte (IPv6-Nodes) vorgeschrieben

Besondere 'Liberalitätsanforderung' bei der Headerverarbeitung: "IPv6nodes must attempt to process extension headers in any order andoccurring any number of times in the same packet. . . "

RFC5095 hat den Routing Header RH0 als schädlich eingestuft undverworfen


Firewalls & Netzwerksicherheit

Übersicht




4 Literatur


Firewalls & Netzwerksicherheit

Netzwerksicherheit: ICMPv6 und Firewalls

Sean Convery, Darrin Miller (CISCO): IPv6 and IPv4 Threat Comparison

and Best-Practice Evaluation:�Current best practice for IPv4 �rewalling of ICMP is sometimes debated,

but it is generally accepted that stringent ICMP �ltering is a best practice.�

Firewall verwirft alle ICMP-Nachrichten aus dem Internet, bis auf

ICMPv4: echo reply, echo request, destination unreachable, Timeexceeded, Fragmentation needed but don't-Fragment bit gesetzt,ggf. IGMP

ICMPv6: echo reply, echo request, no route to destination,ggf. multicast listener message, GGF. router solicitation, routeradvertisement, neighbor solicitation, neighbor advertisement

ICMPv6-Nachrichten, die die Firewall zum Ziel-Host durchlassensollte/muss: packet too big (Type 2 message), parameter problem (Typ 4message)


Firewalls & Netzwerksicherheit ip6tables

IPv6 Firewall mit ip6tables I

IPv6 Firewalls lassen sich unter Linux mit ip6tables verwalten.

Der Regelaufbau entspricht der Syntax von iptables für IPv4

Es existieren eine Reihe von Modulen die protokoll-spezi�scheFunktionen bereitstellen, z.B. für die Behandlung von ExtensionHeadern.

Firewall-Regel hinzufügen

ip6tables [-t table] -I chain [rulenum] rule-specification

[options]


Firewalls & Netzwerksicherheit ip6tables

IPv6 Firewall mit ip6tables II

IPv6-spezi�sche Module

ah - IPsec Authentication Header

esp - IPsec ESP Header

dst - Destination Header

hbh - Hop-by-Hop Header

rt - Routing Header

icmpv6 - ICMPv6

Module können auf 2 Arten geladen werden:

Implicit, wenn ein Protokoll mit -p oder �protocol spezi�ziert wird

Explizit mit der -m oder �match Option


Firewalls & Netzwerksicherheit Host Security

Filtern von ICMPv6 Nachrichten - Permit

ICMPv6 Typ Art Richtung Action

1 Destination Unreachable In Permit2 Packet Too Big In/Out Permit3 Time Exceeded In/Out Permit4 Parameter Problem In/Out Permit128 Echo Request Out Permit129 Echo Reply In Permit133, 134 Router Discovery In/Out Permit135, 136 Neighbor Discovery In/Out Permit130, 131, 132, 143 MLD Nachrichten In/Out Permit



Filtern von ICMPv6 Nachrichten - Drop

ICMPv6 Typ Art Richtung Action

100, 101 Private Experimentation In/Out Drop200, 201 Private Experimentation In/Out Drop137 Redirect In/Out Drop138 Router Renumbering In/Out Drop139 ICMP Node Information Query In Drop140 ICMP Node Information Response Out Drop

nicht genutzte/zugewiesene ICMPNachrichten

In/Out Drop

http://www.iana.org/assignments/icmpv6-parameters


http://www.iana.org/assignments/icmpv6-parameters


Filtern des Routing Headers Typ 0

Laut RFC 5095 sollen Pakete mit Routing Header vom Typ 0 (SourceRouting) verworfen werden, da diese ein hohes Sicherheitsrisiko darstellen.

Firewall-Regel

ip6tables -A INPUT -m rt �rt-type 0 -j DROP



Filtern von AutoConf Nachrichten

Wenn Address Autokon�guration verwendet wird, sind vielfältigeAngri�smöglichkeiten gegeben.Um 'nicht-lokale' Angri�e zu unterbinden, verarbeitet derIP-Netzwerkstack keine Nachrichten mit einem Hop-Count < 255Zusätzlich können diese ICMP-Nachrichten an den Netzgrenzenge�ltert werden.

Verwerfen von Nachrichten mit Hop Count < 255

ip6tables -I INPUT -p icmpv6 �icmpv6-type -m hl �hl-lt 255

-j DROP

Lokale ICMP-Nachrichten

RS: Type 133, RA: Type 134, NS: Type 135, NA: Type 136Redirect: Type 137, Inverse NS: Type 141, Inverse NA: Type 142Send Path Solicitation/Advertisement: Type 148 / 149



Allgemeines zu IPv6 Firewalls

Es ist darauf zu achten, dass die Firewallregeln identische Policies fürIPv4 wie auch für IPv6 implementieren.

Nicht genutzte Protokolle und Addressbereiche sollten ge�ltert werden.

IPv6 fordert eine gesta�eltes Firwall-Deployment: Host + NetworkFirewalls sind sinnvoll

Die Erkennung von getunnelten IPv6 Datenverkehr ist z.T. schwierig.Im Bestreben um ein möglichst sauberes Netz sollte auch abgehenderIPv6 Verkehr ge�ltert werden (egress-Filtering).

Paket mit Source-Adressen, die nicht dem lokalen Netz entstammen.ICMP-Packete mit nicht zugeordneten Type-Nummern, Autoconf, etc.



Weitere potentielle Problemgebiete:

IPv6 Transitionsmechanismen (Automatisches Tunneling, 6to4, ...)

Fragmentation und IPv6 Extension-Header Mechanismen

Netzwerk-Renumbering

Mobile IPv6

...



Fazit:

IPv6 ist ein neues, interessantes Kommunikationsprotokoll mit eigenenFeatures.Ein gutes Verständnis des Protokolls ist notwendig um sichere Netzezu bauen.

Erfahrung erwächst aus der aktiven praktischen Anwendung!

Toolsupport in den letzten Jahren stark verbessert. Es fehlen aberverlässliche, einfach zu bedienende Test-Tools.

Herausforderung

Neue Protokolle bringen neue Herausforderungen aber auch neue Chancenmit sich


Literatur

Übersicht




4 Literatur


Literatur

J. Abley, P. Savola, and G. Neville-Neil.Deprecation of Type 0 Routing Headers in IPv6.RFC 5095 (Proposed Standard), December 2007.

Philippe Biondi and Arnaud Ebalard.IPv6 Routing Header Security.CanSecWest, 2007.

Sean Convery and Darrin Miller.IPv6 and IPv4 Threat Comparison and Best-Practice Evaluation(v1.0).Cisco Systems Technical Report, March 2004.

Scott Hogg and Eric Vyncke.IPv6 Security.Cisco Press, 2008.


Fragen?

Documents

IPv6 Security - Chancen und Herausforderungen · IPv6 bringt Verbesserungen, die sich auf die Netzwerksicherheit positiv auswirken können: Inhärente IPsec Unterstützung Gröÿere