Upload
phungbao
View
218
Download
2
Embed Size (px)
Citation preview
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
Unmanaged IPv6 im LAN Gefahren und Lösungen
Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner DFN–Betriebstagung (56. BT) 14.03.2012 (Version: 14.03.2012)
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
2
Native IPv6 – Gefährdungen Überblick
Sniffer
Rogue Devices
Layer 3 Spoofing MITM
Flooding
Application Layer Attacks
IPv4 Bedrohungen
IPv6 Bedrohungen
NDP Spoofing
Header Manipu- lation
ARP Spoofing
Nichts wirklich Neues – aber: auch reine IPv4-Netze sind zusätzlich gefährdet!
Werner Anrath
Scans
Smurf
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
Dual Stack Implementierungen
Windows, Linux, MacOS X
Native IPv6 Technik – Stateless Address Autoconfiguration, IIDs, DNS u. LLMNR
Gefährdungspotentiale
Erfahrungsbericht
Lösungsansätze
RA Guard – Angriffe (THC)
Transition Technologies Technik – ISATAP, 6to4, Teredo
Gefährdungspotentiale
Erfahrungsbericht
Lösungsansätze
Fazit Anhang: IPv6 im JSC – Kurzvorstellung (Referenz)
3
Inhaltsübersicht
Werner Anrath
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
4
IPv6 Implementierung – Dual Stack
- Applikationen und Dienste - DNS / LLMNR , mDNS / RDP / SSH / SMB / FTP
Network Adapter Drivers
IPv4 IPv6
802.3 PPP 802.11 Loopback IPv4
tunnel
Transport Layer
NetworkLayer
Framing Layer
TCP UDP
Werner Anrath
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
• IPv6 ist installiert und aktiv
• Stateless Autoconfiguration aktiv (RFC 2462 / RFC 4862)
• IPv6 Stack: zahlreiche Verbesserungen (Dual Layer)
• GUI, CLI and GPO Konfiguration
• Integrated Internet Protocol security (IPsec) verfügbar
• Privacy Extensions (RFC 3041 /RFC 4941) aktiv
• Domain Name System (DNS) Unterstützung
• Source and Destination Address Selection (RFC 3484)
• DHCPv6 Client aktiv
• Link-Local Multicast Name Resolution (LLMNR)
• Transition Technologies (Tunnel) aktiv
• Windows Firewall ist IPv6 fähig, Stateful Inspection
5
Windows Betriebssysteme: Vista / 7 / 2008
Werner Anrath
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
• IPv6 ist installiert und aktiv
• Stateless Autoconfiguration aktiv (RFC 2462 / RFC 4862)
• GUI und CLI Konfiguration möglich
• Privacy Extensions (RFC 3041 / RFC 4941)
• Domain Name System (DNS) Unterstützung
• Source and Destination Address Selection (RFC 3484)
• DHCPv6 Client optional (ISC Implementierung)
• Multicast DNS
• Transition Technologies (Miredo) optional
• Firewall: ip6tables, Stateful Inspection ab Kernel 2.6.20
6
Linux Betriebssysteme
Werner Anrath
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
• IPv6 installiert und aktiv (ab 10.4)
• Stateless Autoconfiguration (RFC2462 / RFC 4862)
• GUI und CLI Konfiguration möglich
• Privacy Extensions (RFC 3041 / RFC 4941) optional
• Source and Destination Address Selection (RFC3484)
• Administrative Schnittstelle nicht vorhanden
• DHCPv6 ab 10.7 verfügbar
• Multicast DNS Unterstützung
• Transition Technology (6to4) optional
• ip6fw – keine grafische Konfigurationsschnittstelle
• Standardeinstellung: accept
7
Mac OS X
Werner Anrath
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
8
Native IPv6 – Link Local Scope und LLMNR
Werner Anrath
C:\> ping ibm-r52
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
LINUX SYSLOG Einträge
Nov 6 12:43:31 linux-hsrk sshd[9811]: Accepted keyboard-
interactive/pam for root from fe80::9c6b:6db2:331a:133c%eth0
port 50699 ssh2
Nov 6 12:45:57 linux-hsrk sshd[9972]: Accepted keyboard-
interactive/pam for root from fe80::9c6b:6db2:331a:133c%eth0
port 50700 ssh2
Nov 9 16:29:29 linux-hsrk sshd[12866]: Accepted keyboard-
interactive/pam for root from fe80::221:6aff:fe0d:8cbe%eth0 port
49260 ssh2
Native IPv6 Link Local Kommunikation - SSH
9 Werner Anrath
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
• Link-Local Address (EUI-64 IID) generieren
• Neighbor Solicitation (NS) für Duplicate Address Detection (DAD)
senden
• Autoconfiguration abbrechen, falls ein Neighbor Advertisement (NA)
einen Adresskonflikt anzeigt
• Router Solicitation aussenden
• Falls kein Router Advertisement (RA) empfangen wird, starte DHCPv6
• Falls ein Router Advertisement (RA) empfangen wird:
• generiere Adressen für die enthaltenen Prefixe; danach DAD
• M Flag == 1 im Router Advertisement (RA):
• starte DHCPv6 um weitere Adressen und Parameter zu erhalten
• M Flag == 0 und O Flag == 1 im Router Advertisement (RA):
• starte DHCPv6 um weitere Konfigurationsparameter zu erhalten (z.B DNS
Parameter)
10
Native IPv6 – Autoconfiguration (RFC2462)
Werner Anrath
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
• DAD
• THC-IPv6 Toolkit: dos-new-ipv6
• NS / NA
• THC-IPv6 Toolkit: fake_advertise6, parasite6
• CISCO IOS Cat6K
• NDP Rate Limiting, Tunable ? (no)
• installed ND packet state is 3 seconds open
• RS / RA – dazu gleich mehr
• THC-IPv6 Toolkit: fake_router6, flood_router6
• ICMPv6 Redirect
• Rogue DHCPv6
• Personal Firewall Bugs und IPv6 (Hilfestellung RFC 4890)
11
Native IPv6 – Gefährdungen Überblick
Werner Anrath
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
12 Werner Anrath
Native IPv6 – Gefährdung durch Rogue RAs
IPv6 Internet ?
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
13 Werner Anrath
Native IPv6 – Gefährdung durch Rogue RAs
IPv6 Internet ?
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
14 Werner Anrath
Native IPv6 – Gefährdung durch Rogue RAs
IPv6 Internet ?
6in4 ? UDP ?
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
Native IPv6 – Gefährdung durch Rogue RAs
15 Werner Anrath
Jülich: 2001:638:404::/48
Anmerkung: Externe DNS-Responses mit AAAA haben Auswirkung! www.dfn.de www.t-online.de www.heise.de
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
16
Native IPv6 – Interface Identifier
Werner Anrath
IPv6
Interface
Identifier
Link-Local
Random
Link-Local
EUI-64
Global
Unicast
Addr
Random
Global
Unicast
Addr
Temporary
Global
Unicast
Addr
EUI-64
Windows
XP - + - + +
Windows 7 + - + + - Windows 8 + - + + - Windows
2008 + - + - -
Mac OS 10.6 - + - - + Mac OS 10.7 - + - + + openSUSE
11.3 - + - - +
openSUSE
12.1 - + - + +
Debian 6.0 - + - - + Ubuntu
11.10 - + - - +
iOS 4.3 - + - + + Android 2.3 - + - - +
RFC 4291 (ADDR-ARCH) RFC 3041 / 4941 (Privacy Extensions)
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
17
Native IPv6 – EUI-64 Interface Identifier
Werner Anrath
Beispiel - IPv6 Address > 2001:0638:0404:a800:0215:77ff:fe76:74b9 Prefix Info > Global Unicast Address (RFC3587) - 2000::/3 Interface ID Info > IEEE EUI-64 based Interface ID found (RFC4291) Hardware Address (IEEE - 48 bit MAC) 00-15-77-76-74-b9 IPv6 Solicited-Node Multicast Address ff02::1:ff76:74b9 Corresponding Ethernet Multicast Address 33-33-ff-76-74-b9 getaddrinfo Result > 2001:638:404:a800:215:77ff:fe76:74b9
Möglichen Muster – Modified EUI-64 IID: ::x2xx:xxFF:FExx:xxxx ::x6xx:xxFF:FExx:xxxx ::xAxx:xxFF:FExx:xxxx ::xExx:xxFF:FExx:xxxx
Enforcement Cisco ASA: ipv6 enforce-eui64 if_name Cisco IOS: ACLs definieren Linux: ip6tables -A INPUT -m eui64
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
18
Native IPv6 – RFC 3041 Interface Identifier
Werner Anrath
Beispiel - IPv6 Address > 2001:0db8:4711:c800:08f1:343a:2610:b3b3 Prefix Info Global Unicast Address (RFC3587) - 2000::/3 Interface ID Info > Locally administered Bit not set (U/L Bit) Randomized Interface Identifier (RFC3041/RFC4941) IPv6 Solicited-Node Multicast Address ff02::1:ff10:b3b3 Corresponding Ethernet Multicast Address 33-33-ff-10-b3-b3 getaddrinfo Result > 2001:db8:4711:c800:8f1:343a:2610:b3b3 Zuordnung zur MAC-Adresse:
- Neighbor Cache auslesen CISCO: show ipv6 neighbors Linux: ip -6 neighb show MS-Win: netsh interface ipv6 show neighbors - NDPMON
IPv6 Neighbor Discovery Protocol Monitor ndpmon.sourceforge.net/download.html
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
19
Native IPv6 – Interface Identifier
Werner Anrath
Privacy Extensions Address In order to prevent the potential tracking of a host by identifying the host with its static EUI-64 Interface Identifier (IID) part of his IPv6 address, a host can use the privacy extension, which uses a random number as the IID. With privacy extension addresses, a host cannot be tracked any more as the address changes over time. This is fine for a residential user but not acceptable for hosts inside a managed organization: the security/network operators must be able to track a malicious or misconfigured host within their network
Quelle: IPv6 Security Brief – Last Updated October 2011 – CISCO White Paper
IPv6 maintenance Working Group (6man) F. Gont Internet-Draft UK CPNI Updates: 4861 (if approved) December 15, 2011 Intended status: Standards Track Expires: June 17, 2012
Managing the Address Generation Policy for Stateless Address Autoconfiguration in IPv6 draft-gont-6man-managing-slaac-policy-00
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
20
Native IPv6 – Interface Identifier
Werner Anrath
Der Windows SysAdmin kann Privacy Extensions abschalten: netsh interface ipv6 set privacy state=disabled store=persistent netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent und danach Neustart
Ab openSUSE 12.1 sind Privacy Extensions aktiv und können durch Einträge wie net.ipv6.conf.eth0.use_tempaddr = 0 in /etc/sysctl.conf abgeschaltet werden. und danach Neustart
Mac OS X 10.7 Privacy abschalten: Die Datei /etc/sysctl.conf muss folgende Zeile enthalten: net.inet6.ip6.use_tempaddr=0 und danach Neustart
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
21
Native IPv6 – Bedeutung DNS / LLMNR
Werner Anrath
RFC 5006 / 6106 RDNS Option
O=1 - d.h. Stateless DHCPv6 Solicitation -> liefert u.a. DNS-Parameter
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
22
Native IPv6 – Bedeutung DNS / LLMNR
Werner Anrath
Linux-Datei: /etc/gai.conf Windows: netsh interface ipv6 show prefix
RFC3484
Nützliche Anleitung an dieser Stelle ist http://oldwiki.openwrt.org/IPv6_howto.html
Source Address Selection: · Prefer the same address type · Prefer the same address scope · Prefer nondeprecated addresses · Prefer home addresses over care-of addresses · Prefer outgoing interfaces · Prefer matching label · Prefer public addresses over temporary addresses · Use longest matching prefix
Destination Address Selection: · Avoid unusable destinations · Prefer matching scope · Prefer nondeprecated addresses · Prefer home addresses over care-of addresses · Prefer matching label · Prefer higher precedence · Prefer native transport · Prefer smaller scope · Use longest matching prefix · Otherwise, leave order unchanged
Precedence Label Prefix ---------- ----- -------------------------------- 50 0 ::1/128 Loopback Address 40 1 ::/0 All IPv6 Traffic 30 2 2002::/16 6to4 Traffic 20 3 ::/96 IPv4 compatible Traffic 10 4 ::ffff:0:0/96 IPv4 mapped Traffic 5 5 2001::/32 Teredo
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
• Rogue Windows Router: ICS Active
• Ursache Transition Technology 6to4 (Details dazu später)
• Tunnel Broker – Anwender, die IPv6 Kompetenz aufbauen
• SixXS / Hurricane Electric
• bisher keine Angriffe
• unerwartete Nebeneffekte:
• Firewallfreischaltungen: Protocol 41 Punkt-zu-Punkt
• Folge: IPv6 adjazent weltweit
• DNS, LLMNR (RFC 4795) und RFC 3484 (IPv6 preferred)
• IETF
• RFC 6104 – Rogue IPv6 RA Problem Statement
• RFC 6105 – IPv6 Router Advertisement Guard
• draft-gont-v6ops-ra-guard-implementation-01 (Feb 2012)
• draft-gont-6man-nd-extension-headers-02 (Jan 2012)
23
Native IPv6 – Erfahrungen Rogue RAs
Werner Anrath
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
• Personal Firewalls / Enterprise Firewall
• ip6tables / Windows Firewall (RFC 4890 beachten)
• Layer 2 Port Access Control Lists
• Rogue RAs blocken (RA Guard Feature / IPv6 Port ACL)
• Rogue DHCPv6 blocken
• NDPMON (RAFIXD, RAMOND)
• Konfigurationsempfehlungen
• Road Warrior beachten (SLAAC, DHCPv6, Tunnel)
• Enterprise-Router Preference: High • Cisco: ipv6 nd router-preference (high|medium|low)
• Schulung, Training und Erfahrungen sammeln:
• kontrollierte Einführung intensivieren
• IETF: Neighbor Discovery – Reduzierung
• kein Fragmentation/Destination/Hop-by-Hop/ICMPv6-RA Link Local
24
Native IPv6 – Lösungsansätze
Werner Anrath
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
25
Native IPv6 – Lösungsansätze
Werner Anrath
!! CISCO Cat 4500 Sup 7 IPv6 access-list BlockRA !! Layer 2 IPv6 Port ACL deny icmp any any router-advertisement log sequence 10 deny udp any eq 547 any eq 546 log sequence 20 permit ipv6 any any sequence 30 interface FastEthernet1/11 !! Beispiel-Port – Layer 2 switchport access vlan nn switchport mode access ………………………………… ipv6 traffic-filter BlockRA in
RA / DHCPv6-Guard Konfiguration! Roadmap bei Neukauf beachten!
Kompromiss
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
26
Native IPv6 – Lösungsansätze (Roadmap)
Werner Anrath
Quelle: Cisco – BRKSPG2603 (How to Securely Operate an IPv6 Network) – Cisco Live London 2012
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
27
Native IPv6 – Lösungsansätze
Werner Anrath
Layer 2 RA / DHCPv6-Guard
C2948 / C2948G
C4948
C4948E
C4003 / C4006
C4506 / 4506-E
C4507R / C4507R-E / C4510R
C4507R+E
Aktuelle Situation in Jülich: neue Switch-Hardware im Zulauf
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
28
Native IPv6 – Lösungsansätze
Werner Anrath
RAMOND Tool to `clear' (by sending spoofed zero lifetime adverts) rogue-routes http://ramond.sourceforge.net
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
29
Native IPv6 – Lösungsansätze
Werner Anrath
SLAAC kann in den Microsoft Windows Betriebssystemen pro Netzwerkadapter wie folgt deaktiviert werden: netsh interface ipv6 set interface „IfIndex“ routerdiscovery=disabled netsh interface ipv6 set interface „IfIndex“ routerdiscovery=disabled store=persistent
Linux-Administratoren können im Bedarfsfall die Autokonfiguration eines Netzwerkadapters, hier im Beispiel eth0, durch einen Eintrag in die /etc/sysctl.conf deaktivieren: net.ipv6.conf.eth0.autoconf = 0 (keine Adressen bilden) oder net.ipv6.conf.eth0.accept_ra=0 (keine Adressen bilden, keine Routes setzen)
SLAAC kann im Einzelfall deaktivert werden! interface Vlan201 description Server-Netz - statische Konfiguration der Hosts no ip address ipv6 address 2001:db8:cafe:6400::6400:1/64 ipv6 address FE80::6400:1 link-local ipv6 nd prefix 2001:db8:cafe:6400::/64 2592000 604800 no-autoconfig ! IOS Beispiel – RA ohne Autoconfiguration Flag
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
30
Native IPv6 – RA Guard Angriffe
Werner Anrath
Problem (THC): flood_router6 - Fragment Header - Destination Options Header - Hop-by-Hop Options Header
(RFC2460)
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
31
Native IPv6 – RA Guard Angriffe
Werner Anrath
Problem (THC): fake_router6 inklusive (falscher) DNS Parameter
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
32 Werner Anrath
Native IPv6 – RA Guard Angriffe (Fragmentierung)
IPv6 HDR
IPv6 HDR
IPv6 HDR
Dest Opt Hdr Length
Dest Opt HDR
ICMPv6 (Rogue RA)
Frag HDR
Frag HDR
Dest Opt Hdr Length
Dest Opt HDR
Dest Opt HDR
ICMPv6 (Rogue RA)
Original Packet
1st Fragment
2nd Fragment Position?
ACL-Entry: deny ipv6 any any undetermined-transport Aber dann -> neue Angriffsvariante: Overlapping Fragments (ICMPv6 echo / ICMPv6 RA) (RFC 5722 Handling of Overlapping IPv6 Fragments )
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
33
Native IPv6 – RA Guard Angriffe
Werner Anrath
Problem (THC): flood_router6 - Fragment Header - Destination Options Header
(RFC2460)
Wireshark-Filter: ip6 (richtig) icmp6 (falsch)
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
• Komponenten - DHCPv6 Infrastruktur
• DHCPv6 clients
• DHCPv6 servers
• DHCPv6 relay agents
• DHCPv6 bietet Stateful Address Configuration oder Stateless Configuration für IPv6 hosts
• Managed Address Configuration (M) Flag im RA • M Flag == 1 => DHCPv6 Solicitation (Stateful)
• Other Stateful Configuration (O) flag im RA • O Flag == 1 => DHCPv6 Solicitation(Stateless)
• weitere Konfigurationsparameter beziehen
34
Native IPv6 – Gefährdung DHCPv6
Werner Anrath
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
• DHCPv6 Server wenig verbreitet
• keine automatische Installation der Server-Komponente in
Client-Systemen (vgl. IPv4 und ICS)
• grundsätzlich vergleichbare Problematik wie IPv4 DHCP
• unbedingt Abstimmung mit RA (SLAAC, M Bit und O Bit) nötig
• DHCPv6 Threats
• Starvation (deplete Pool)
• DoS (spray Solicitation Messages)
• Scanning
• Missinformation (rogue Parameters)
• THC-Toolkit:
• linux# ./fake_dhcp6s interface {prefix/len} {dns-server} {……..
• linux# ./flood_dhcp6c {options} interface {domain-name}
35
Native IPv6 – Erfahrung DHCPv6
Werner Anrath
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
Transition Technologies - Technik
36 Werner Anrath
IPv6 Header Extension Headers
Upper Layer Protocol Data Unit
IPv6 Header Extension Headers
Upper Layer Protocol Data Unit
IPv4 Header
IPv6 Packet
IPv4 Packet
IPv4 header Protocol field set to 41
Manuelle Tunnel: 6in4 Automatische Tunnel – Transition Technologies: ISATAP, 6to4, Teredo
… aber auch Varianten mit GRE, IPSEC oder UDP Encapsulation
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft IPv4 Header:
Destination Address: 131.127.33.19 Source Address: 192.168.47.11 IPv6 Header: Destination Address: 2001:DB8:0:7:0:5EFE:131.127.33.19 Source Address: 2001:DB8:0:7:0:5EFE:192.168.47.11
37
Transition Technologies - ISATAP
ISATAP Host A
IPv4-only Network
ISATAP Host B
IPv6-capable Network
ISATAP Router
Prefix: 2001:DB8:0:7::/64
Routes: 2001:DB8:0:7::/64 on-link through the ISATAP interface ::/0 to FE80::5EFE:10.0.0.1 through the ISATAP interface
2001:DB8:0:7:0:5EFE:121.127.33.19
2001:DB8:0:7:0:5EFE:192.168.47.11
DNS Server
1. DNS Anfrage für “ISATAP” / LLMNR oder netsh interface ipv6 isatap <show/set>
2. IPv4-encapsulated router solicitation
3. IPv4-encapsulated router advertisement
www.dfn.de
Werner Anrath
interface Tunnel6 description ISATAP Tunnel no ip address no ip redirects ipv6 address 2001:db8:0:7::/64 eui-64 ipv6 enable no ipv6 nd suppress-ra tunnel source FastEthernet0 tunnel mode ipv6ip isatap
[64-bit prefix]:0:5EFE:w.x.y.z
RFC 5214 Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
38
Transition Technologies – 6to4
6to4 Router
Windows 7 Windows Vista
6to4 host A
IPv4 Internet
6to4 host/router B
IPv6 Internet 6to4 relay
Routes: 2002::/16 on-link through the 6to4 interface ::/0 to 6to4 relay through the 6to4 interface 2002:9D3C:1:1::/64 to local subnet through the LAN interface
Routes: 2002::/16 on-link through the 6to4 interface
::/0 to IPv6 Internet
Routes: 2002::/16 on-link through the 6to4 interface ::/0 to 6to4 relay through the 6to4 interface
Routes: ::/0 to 6to4 router through the LAN interface 2002:9D3C:1:1::/64 on-link through the LAN interface
Routes: 2002::/16 to 6to4 relay
www.dfn.de
Offizielle IPv4 Adresse 2002:IPv4-Adresse::IPv4-Adresse
Anycast: 192.88.99.1
Dual Stack Home Office Router
RFC 1918 IPv4 Adressen
Verbesserung: 6RD - RFC 5569
Werner Anrath
RFC 3056 'Connection of IPv6 Domains via IPv4 Clouds' (6to4)
Precedence Label Prefix (RFC 3484) ---------- ----- -------------------------------- 50 0 ::1/128 Loopback Address 40 1 ::/0 All IPv6 Traffic 30 2 2002::/16 6to4 Traffic 20 3 ::/96 IPv4 compatible Traffic 10 4 ::ffff:0:0/96 IPv4 mapped Traffic 5 5 2001::/32 Teredo
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
Transition Technologies – 6to4
39 Werner Anrath
Windows 7 Host Im WLAN
6to4 Router Windows Vista
Status: Netzwerkkabel wurde entfernt
RA-Flags A=M=O=1
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
Transition Technologies – 6to4
40 Werner Anrath
Oct 10 12:53:12 zam047-168 352385: Oct 10 12:53:11: %SEC-6-IPACCESSLOGNP: list acl_vlan11 denied 41 134.94.xxx.aaa -> 192.88.99.1, 1 packet Oct 10 12:53:41 zam047-168 352392: Oct 10 12:53:40: %SEC-6-IPACCESSLOGNP: list acl_vlan11 denied 41 134.94.xxx.bbb -> 192.88.99.1, 1 packet Oct 10 12:54:16 zam047-168 352407: Oct 10 12:54:15: %SEC-6-IPACCESSLOGNP: list acl_vlan11 denied 41 134.94.xxx.ccc -> 192.88.99.1, 1 packet
Cisco ACL Entry: deny 41 any any log
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
41
Transition Technologies - Teredo
Teredo Server
Teredo Relay
Teredo client A
IPv4 Internet
Teredo.ipv6.microsoft.com
Teredo client B
Teredo address: 2001::ServerAddr:Flags:ObscExtPort:ObscExtAddr
www.dfn.de
IPv6 Internet
RFC 1918 IPv4 Adressen
RFC 1918 IPv4 Adressen
RFC 4380 Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs)
Werner Anrath
IPv4/IPv6 Router
Network Address Translation
Network Address Translation
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
42
Transition Technologies - Teredo
Teredo address: 2001::ServerAddr:Flags:ObscExtPort:ObscExtAddr
Obscuring: 0xFFFFFFFF XOR External IPv4 Address
Werner Anrath
Your Input > 2001::CE49:7601:E866:EFFF:62C3:FFFE IPv6 Address > 2001:0000:ce49:7601:e866:efff:62c3:fffe Prefix Info > Teredo Unicast Address (RFC4380) - 2001::/32 External IPv4 Addr(NAT) > 157.60.0.1 External IPv4 Port > 4096 Server IPv4 Addr > 206.73.118.1
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
43
Transition Technologies - Teredo
Die Applikation muss explizit IPv6 anfordern!
Linux: Miredo Prefix 2001::/32
Werner Anrath
External IPv4 Addr(NAT) 217.235.223.220 External IPv4 Port 59925 Server IPv4 Addr 94.245.121.253
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
44
Transition Technologies - Teredo
Werner Anrath
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
• SixXS
• 6in4
• AYIYA (Anything in Anything)
• Hurricane Electric
• 6in4
• gogo6/Freenet6
• 6in4
• TSP (RFC 5572 - Tunnel Setup Protocol)
45
Transition Technologies – Tunnel Broker
Werner Anrath
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
46
Transition Technologies – Tunnel Broker
Werner Anrath
AICCU (Automatic) IPv6 Client Configuration Utility) … nutzt UDP Port 5072!
LAN <–> (on-link) <–> radvd / LINUX (ipv6 forwarding) / aiccu <–> IPv6 Internet
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
• ISATAP
• DNS Spoofing / LLMNR ( ping -6 isatap )
• IPv4 ist Local Link -> Firewall Setup?
• 6to4
• Windows mit Internet Connection Sharing wird zum nativen IPv6 Router
• Privacy Extensions aktiv – erschwert Aufklärung
• Häufigkeit nimmt stark zu – unbedarfte Admins/Nutzer
• Gästenetze (z.B. EDUROAM)
• Studie: http://www.ietf.org/proceedings/80/slides/v6ops-11.pdf (University of
Southampton)
• Teredo
• UDP Encapsulated Traffic schwierig zu filtern
47
Transition Technologies - Gefährdung
Werner Anrath
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
48
Transition Technologies - Lösungsansätze
Werner Anrath
Der Windows SysAdmin führt zum Abschalten der Tunnel folgende Befehle aus: netsh interface ipv6 6to4 set state disabled undoonstop=disabled netsh interface ipv6 isatap set state disabled netsh interface ipv6 set teredo disable und Neustart
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
49
Transition Technologies - Lösungsansätze
Werner Anrath
Der Windows Domain Admin nutzt zum Abschalten der Tunnel AD GPO: Computer Configuration > Policies > Administrative Templates > Network > IPv6 Configuration Mögliche Pv6 Einstellungen: Enable all IPv6 components (Windows default) Disable all IPv6 components Disable 6to4 Disable ISATAP Disable Teredo Disable Teredo and 6to4 Disable all tunnel interfaces Disable all LAN and PPP interfaces Disable all LAN, PPP and tunnel interfaces Prefer IPv4 over IPv6.
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
• Native IPv6 Deployment – Transition Technologies starten nicht
• Road Warrior (Mobile Devices): Tunnel deaktivieren
• Protocol 41 blocken (Enterprise Firewall, Router ACLs)
• Teredo UDP Port 3544 blocken (Microsoft Default)
• Cisco: Flexible Packet Matching (cisco.com/go/fpm)
•Personal Firewalls mit IPv6 Unterstützung einsetzen
• Vorsicht mit Zusatzprodukten / Security Suiten
• Konfigurationsempfehlungen im Enterprise:
• Tunnel deaktivieren
• Monitoring
50
Transition Technologies - Lösungsansätze
Werner Anrath
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
• Wichtig: Schulung, Training, Einführung
• Zeitfaktor beachten
• IPv6 wird zurecht als Zusatzbelastung gesehen
• spezifische IPv6 Security Threats beachten
• CERT ? / BSI ? / Hersteller ?
• IPv6 ist aktiv
• ignorieren ist gefährlich, auch für die Verfügbarkeit von Netzfunktionen, die
augenscheinlich ja mit IPv4 laufen
• aggressiv durch MS Transition Technologies
• Layer-2 Sperre: 0x86dd (EtherType IPv6)
• temporäre Notlösung
• keine Strategie mit Zukunft
51
FAZIT – Gefährdungen u. Lösungen
Werner Anrath
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
52
Literatur
Werner Anrath
[1] IPv6 Security – Protection measures for the next Internet Protocol; E. Vyncke; Cisco Press; ISBN-13 978-1-58705-594-2 [2] Understanding IPv6; J. Davies; Microsoft Press; ISBN-13 978-0-7356-2446-7 [3] IPv6 for Enterprise Networks; S. McFarlan et al.; Cisco Press; ISBN-13: 978-1-58714- 227-7 [4] Requirements for IPv6 in ICT Equipment; J. Zorz, S. Steffann [5] Router Security Configuration Guide Supplement – Security for IPv6 Routers; NSA [6] Guidelines for the Secure Deployment of IPv6 Recommendations of the National Institute of Standards and Technology
[7] Berichte - Sicherheit in vernetzten Systemen (19. DFN Workshop)
Fragen?
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
53
IPv6 im JSC
Werner Anrath
Firewall
IPv6-Test-Sites: www.dfn.de
www.heise.de www.ripe.net
www.lrz.de
Dual Stack Hosts - JSC Workstation-Netze
LAN Router
XWiN Router
Nebenleitung
Hauptleitung
Dual Stack Server im JSC Server-Netz
- Core-to-Edge Ansatz - Aufteilung in 5 Phasen
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
• Phase 1 - WAN-Anbindung, Firewall, LAN-Routing
• BGP4, ACLs, Stateful Inspection (März 2011)
• Phase 2 - Client-Netz (Abt. JSC-KS)
• SLAAC, EUI-64 Enforcement
• Phase 3 - Client-Netz (JSC weit, > 400 Systeme)
• SLAAC, Konfigurationsempfehlungen, IPv6-Day
• Phase 4 - Server-Netz (File-Server, Terminal-Server)
• manuelle Konfiguration, Monitoring, DNS
• Phase 5 - Fazit
• Debriefing aus den Bereichen, Dokumentation (ab September 2011)
• danach: Weiterführung im normalen Produktionsumfeld
• Bachelor thesis: Full-stack IPv6 compatibility of UNICORE
54
IPv6 im JSC
Werner Anrath
Mitglie
d in d
er
Helm
holtz-G
em
ein
scha
ft
• Dual Stack Betrieb ohne Mehraufwand im Tagesgeschäft
• Zugriffe auf IPv6 Inhalte und Dienste funktionieren
• Subnetze im JuNet
• Mechanismen aus Phase 3 anwendbar
• DMZs und spezielle Server-Netze
• Mechanismen aus Phase 4 anwendbar
• und weiterhin
• stabiler IPv6 Core: WAN/LAN-Routing und Firewall
• solide Ausgangsbasis für weitere Anforderungen
• Deployment in den Instituten möglich
• Rollout: IPv6 First-Hop-Security Campus-weit
FAZIT – IPv6 Testbed im JSC
55 Werner Anrath