55
Mitglied in der Helmholtz-Gemeinschaft Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner DFNBetriebstagung (56. BT) 14.03.2012 (Version: 14.03.2012)

Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Embed Size (px)

Citation preview

Page 1: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

Unmanaged IPv6 im LAN Gefahren und Lösungen

Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner DFN–Betriebstagung (56. BT) 14.03.2012 (Version: 14.03.2012)

Page 2: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

2

Native IPv6 – Gefährdungen Überblick

Sniffer

Rogue Devices

Layer 3 Spoofing MITM

Flooding

Application Layer Attacks

IPv4 Bedrohungen

IPv6 Bedrohungen

NDP Spoofing

Header Manipu- lation

ARP Spoofing

Nichts wirklich Neues – aber: auch reine IPv4-Netze sind zusätzlich gefährdet!

Werner Anrath

Scans

Smurf

Page 3: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

Dual Stack Implementierungen

Windows, Linux, MacOS X

Native IPv6 Technik – Stateless Address Autoconfiguration, IIDs, DNS u. LLMNR

Gefährdungspotentiale

Erfahrungsbericht

Lösungsansätze

RA Guard – Angriffe (THC)

Transition Technologies Technik – ISATAP, 6to4, Teredo

Gefährdungspotentiale

Erfahrungsbericht

Lösungsansätze

Fazit Anhang: IPv6 im JSC – Kurzvorstellung (Referenz)

3

Inhaltsübersicht

Werner Anrath

Page 4: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

4

IPv6 Implementierung – Dual Stack

- Applikationen und Dienste - DNS / LLMNR , mDNS / RDP / SSH / SMB / FTP

Network Adapter Drivers

IPv4 IPv6

802.3 PPP 802.11 Loopback IPv4

tunnel

Transport Layer

NetworkLayer

Framing Layer

TCP UDP

Werner Anrath

Page 5: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

• IPv6 ist installiert und aktiv

• Stateless Autoconfiguration aktiv (RFC 2462 / RFC 4862)

• IPv6 Stack: zahlreiche Verbesserungen (Dual Layer)

• GUI, CLI and GPO Konfiguration

• Integrated Internet Protocol security (IPsec) verfügbar

• Privacy Extensions (RFC 3041 /RFC 4941) aktiv

• Domain Name System (DNS) Unterstützung

• Source and Destination Address Selection (RFC 3484)

• DHCPv6 Client aktiv

• Link-Local Multicast Name Resolution (LLMNR)

• Transition Technologies (Tunnel) aktiv

• Windows Firewall ist IPv6 fähig, Stateful Inspection

5

Windows Betriebssysteme: Vista / 7 / 2008

Werner Anrath

Page 6: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

• IPv6 ist installiert und aktiv

• Stateless Autoconfiguration aktiv (RFC 2462 / RFC 4862)

• GUI und CLI Konfiguration möglich

• Privacy Extensions (RFC 3041 / RFC 4941)

• Domain Name System (DNS) Unterstützung

• Source and Destination Address Selection (RFC 3484)

• DHCPv6 Client optional (ISC Implementierung)

• Multicast DNS

• Transition Technologies (Miredo) optional

• Firewall: ip6tables, Stateful Inspection ab Kernel 2.6.20

6

Linux Betriebssysteme

Werner Anrath

Page 7: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

• IPv6 installiert und aktiv (ab 10.4)

• Stateless Autoconfiguration (RFC2462 / RFC 4862)

• GUI und CLI Konfiguration möglich

• Privacy Extensions (RFC 3041 / RFC 4941) optional

• Source and Destination Address Selection (RFC3484)

• Administrative Schnittstelle nicht vorhanden

• DHCPv6 ab 10.7 verfügbar

• Multicast DNS Unterstützung

• Transition Technology (6to4) optional

• ip6fw – keine grafische Konfigurationsschnittstelle

• Standardeinstellung: accept

7

Mac OS X

Werner Anrath

Page 8: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

8

Native IPv6 – Link Local Scope und LLMNR

Werner Anrath

C:\> ping ibm-r52

Page 9: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

LINUX SYSLOG Einträge

Nov 6 12:43:31 linux-hsrk sshd[9811]: Accepted keyboard-

interactive/pam for root from fe80::9c6b:6db2:331a:133c%eth0

port 50699 ssh2

Nov 6 12:45:57 linux-hsrk sshd[9972]: Accepted keyboard-

interactive/pam for root from fe80::9c6b:6db2:331a:133c%eth0

port 50700 ssh2

Nov 9 16:29:29 linux-hsrk sshd[12866]: Accepted keyboard-

interactive/pam for root from fe80::221:6aff:fe0d:8cbe%eth0 port

49260 ssh2

Native IPv6 Link Local Kommunikation - SSH

9 Werner Anrath

Page 10: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

• Link-Local Address (EUI-64 IID) generieren

• Neighbor Solicitation (NS) für Duplicate Address Detection (DAD)

senden

• Autoconfiguration abbrechen, falls ein Neighbor Advertisement (NA)

einen Adresskonflikt anzeigt

• Router Solicitation aussenden

• Falls kein Router Advertisement (RA) empfangen wird, starte DHCPv6

• Falls ein Router Advertisement (RA) empfangen wird:

• generiere Adressen für die enthaltenen Prefixe; danach DAD

• M Flag == 1 im Router Advertisement (RA):

• starte DHCPv6 um weitere Adressen und Parameter zu erhalten

• M Flag == 0 und O Flag == 1 im Router Advertisement (RA):

• starte DHCPv6 um weitere Konfigurationsparameter zu erhalten (z.B DNS

Parameter)

10

Native IPv6 – Autoconfiguration (RFC2462)

Werner Anrath

Page 11: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

• DAD

• THC-IPv6 Toolkit: dos-new-ipv6

• NS / NA

• THC-IPv6 Toolkit: fake_advertise6, parasite6

• CISCO IOS Cat6K

• NDP Rate Limiting, Tunable ? (no)

• installed ND packet state is 3 seconds open

• RS / RA – dazu gleich mehr

• THC-IPv6 Toolkit: fake_router6, flood_router6

• ICMPv6 Redirect

• Rogue DHCPv6

• Personal Firewall Bugs und IPv6 (Hilfestellung RFC 4890)

11

Native IPv6 – Gefährdungen Überblick

Werner Anrath

Page 12: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

12 Werner Anrath

Native IPv6 – Gefährdung durch Rogue RAs

IPv6 Internet ?

Page 13: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

13 Werner Anrath

Native IPv6 – Gefährdung durch Rogue RAs

IPv6 Internet ?

Page 14: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

14 Werner Anrath

Native IPv6 – Gefährdung durch Rogue RAs

IPv6 Internet ?

6in4 ? UDP ?

Page 15: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

Native IPv6 – Gefährdung durch Rogue RAs

15 Werner Anrath

Jülich: 2001:638:404::/48

Anmerkung: Externe DNS-Responses mit AAAA haben Auswirkung! www.dfn.de www.t-online.de www.heise.de

Page 16: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

16

Native IPv6 – Interface Identifier

Werner Anrath

IPv6

Interface

Identifier

Link-Local

Random

Link-Local

EUI-64

Global

Unicast

Addr

Random

Global

Unicast

Addr

Temporary

Global

Unicast

Addr

EUI-64

Windows

XP - + - + +

Windows 7 + - + + - Windows 8 + - + + - Windows

2008 + - + - -

Mac OS 10.6 - + - - + Mac OS 10.7 - + - + + openSUSE

11.3 - + - - +

openSUSE

12.1 - + - + +

Debian 6.0 - + - - + Ubuntu

11.10 - + - - +

iOS 4.3 - + - + + Android 2.3 - + - - +

RFC 4291 (ADDR-ARCH) RFC 3041 / 4941 (Privacy Extensions)

Page 17: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

17

Native IPv6 – EUI-64 Interface Identifier

Werner Anrath

Beispiel - IPv6 Address > 2001:0638:0404:a800:0215:77ff:fe76:74b9 Prefix Info > Global Unicast Address (RFC3587) - 2000::/3 Interface ID Info > IEEE EUI-64 based Interface ID found (RFC4291) Hardware Address (IEEE - 48 bit MAC) 00-15-77-76-74-b9 IPv6 Solicited-Node Multicast Address ff02::1:ff76:74b9 Corresponding Ethernet Multicast Address 33-33-ff-76-74-b9 getaddrinfo Result > 2001:638:404:a800:215:77ff:fe76:74b9

Möglichen Muster – Modified EUI-64 IID: ::x2xx:xxFF:FExx:xxxx ::x6xx:xxFF:FExx:xxxx ::xAxx:xxFF:FExx:xxxx ::xExx:xxFF:FExx:xxxx

Enforcement Cisco ASA: ipv6 enforce-eui64 if_name Cisco IOS: ACLs definieren Linux: ip6tables -A INPUT -m eui64

Page 18: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

18

Native IPv6 – RFC 3041 Interface Identifier

Werner Anrath

Beispiel - IPv6 Address > 2001:0db8:4711:c800:08f1:343a:2610:b3b3 Prefix Info Global Unicast Address (RFC3587) - 2000::/3 Interface ID Info > Locally administered Bit not set (U/L Bit) Randomized Interface Identifier (RFC3041/RFC4941) IPv6 Solicited-Node Multicast Address ff02::1:ff10:b3b3 Corresponding Ethernet Multicast Address 33-33-ff-10-b3-b3 getaddrinfo Result > 2001:db8:4711:c800:8f1:343a:2610:b3b3 Zuordnung zur MAC-Adresse:

- Neighbor Cache auslesen CISCO: show ipv6 neighbors Linux: ip -6 neighb show MS-Win: netsh interface ipv6 show neighbors - NDPMON

IPv6 Neighbor Discovery Protocol Monitor ndpmon.sourceforge.net/download.html

Page 19: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

19

Native IPv6 – Interface Identifier

Werner Anrath

Privacy Extensions Address In order to prevent the potential tracking of a host by identifying the host with its static EUI-64 Interface Identifier (IID) part of his IPv6 address, a host can use the privacy extension, which uses a random number as the IID. With privacy extension addresses, a host cannot be tracked any more as the address changes over time. This is fine for a residential user but not acceptable for hosts inside a managed organization: the security/network operators must be able to track a malicious or misconfigured host within their network

Quelle: IPv6 Security Brief – Last Updated October 2011 – CISCO White Paper

IPv6 maintenance Working Group (6man) F. Gont Internet-Draft UK CPNI Updates: 4861 (if approved) December 15, 2011 Intended status: Standards Track Expires: June 17, 2012

Managing the Address Generation Policy for Stateless Address Autoconfiguration in IPv6 draft-gont-6man-managing-slaac-policy-00

Page 20: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

20

Native IPv6 – Interface Identifier

Werner Anrath

Der Windows SysAdmin kann Privacy Extensions abschalten: netsh interface ipv6 set privacy state=disabled store=persistent netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent und danach Neustart

Ab openSUSE 12.1 sind Privacy Extensions aktiv und können durch Einträge wie net.ipv6.conf.eth0.use_tempaddr = 0 in /etc/sysctl.conf abgeschaltet werden. und danach Neustart

Mac OS X 10.7 Privacy abschalten: Die Datei /etc/sysctl.conf muss folgende Zeile enthalten: net.inet6.ip6.use_tempaddr=0 und danach Neustart

Page 21: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

21

Native IPv6 – Bedeutung DNS / LLMNR

Werner Anrath

RFC 5006 / 6106 RDNS Option

O=1 - d.h. Stateless DHCPv6 Solicitation -> liefert u.a. DNS-Parameter

Page 22: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

22

Native IPv6 – Bedeutung DNS / LLMNR

Werner Anrath

Linux-Datei: /etc/gai.conf Windows: netsh interface ipv6 show prefix

RFC3484

Nützliche Anleitung an dieser Stelle ist http://oldwiki.openwrt.org/IPv6_howto.html

Source Address Selection: · Prefer the same address type · Prefer the same address scope · Prefer nondeprecated addresses · Prefer home addresses over care-of addresses · Prefer outgoing interfaces · Prefer matching label · Prefer public addresses over temporary addresses · Use longest matching prefix

Destination Address Selection: · Avoid unusable destinations · Prefer matching scope · Prefer nondeprecated addresses · Prefer home addresses over care-of addresses · Prefer matching label · Prefer higher precedence · Prefer native transport · Prefer smaller scope · Use longest matching prefix · Otherwise, leave order unchanged

Precedence Label Prefix ---------- ----- -------------------------------- 50 0 ::1/128 Loopback Address 40 1 ::/0 All IPv6 Traffic 30 2 2002::/16 6to4 Traffic 20 3 ::/96 IPv4 compatible Traffic 10 4 ::ffff:0:0/96 IPv4 mapped Traffic 5 5 2001::/32 Teredo

Page 23: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

• Rogue Windows Router: ICS Active

• Ursache Transition Technology 6to4 (Details dazu später)

• Tunnel Broker – Anwender, die IPv6 Kompetenz aufbauen

• SixXS / Hurricane Electric

• bisher keine Angriffe

• unerwartete Nebeneffekte:

• Firewallfreischaltungen: Protocol 41 Punkt-zu-Punkt

• Folge: IPv6 adjazent weltweit

• DNS, LLMNR (RFC 4795) und RFC 3484 (IPv6 preferred)

• IETF

• RFC 6104 – Rogue IPv6 RA Problem Statement

• RFC 6105 – IPv6 Router Advertisement Guard

• draft-gont-v6ops-ra-guard-implementation-01 (Feb 2012)

• draft-gont-6man-nd-extension-headers-02 (Jan 2012)

23

Native IPv6 – Erfahrungen Rogue RAs

Werner Anrath

Page 24: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

• Personal Firewalls / Enterprise Firewall

• ip6tables / Windows Firewall (RFC 4890 beachten)

• Layer 2 Port Access Control Lists

• Rogue RAs blocken (RA Guard Feature / IPv6 Port ACL)

• Rogue DHCPv6 blocken

• NDPMON (RAFIXD, RAMOND)

• Konfigurationsempfehlungen

• Road Warrior beachten (SLAAC, DHCPv6, Tunnel)

• Enterprise-Router Preference: High • Cisco: ipv6 nd router-preference (high|medium|low)

• Schulung, Training und Erfahrungen sammeln:

• kontrollierte Einführung intensivieren

• IETF: Neighbor Discovery – Reduzierung

• kein Fragmentation/Destination/Hop-by-Hop/ICMPv6-RA Link Local

24

Native IPv6 – Lösungsansätze

Werner Anrath

Page 25: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

25

Native IPv6 – Lösungsansätze

Werner Anrath

!! CISCO Cat 4500 Sup 7 IPv6 access-list BlockRA !! Layer 2 IPv6 Port ACL deny icmp any any router-advertisement log sequence 10 deny udp any eq 547 any eq 546 log sequence 20 permit ipv6 any any sequence 30 interface FastEthernet1/11 !! Beispiel-Port – Layer 2 switchport access vlan nn switchport mode access ………………………………… ipv6 traffic-filter BlockRA in

RA / DHCPv6-Guard Konfiguration! Roadmap bei Neukauf beachten!

Kompromiss

Page 26: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

26

Native IPv6 – Lösungsansätze (Roadmap)

Werner Anrath

Quelle: Cisco – BRKSPG2603 (How to Securely Operate an IPv6 Network) – Cisco Live London 2012

Page 27: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

27

Native IPv6 – Lösungsansätze

Werner Anrath

Layer 2 RA / DHCPv6-Guard

C2948 / C2948G

C4948

C4948E

C4003 / C4006

C4506 / 4506-E

C4507R / C4507R-E / C4510R

C4507R+E

Aktuelle Situation in Jülich: neue Switch-Hardware im Zulauf

Page 28: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

28

Native IPv6 – Lösungsansätze

Werner Anrath

RAMOND Tool to `clear' (by sending spoofed zero lifetime adverts) rogue-routes http://ramond.sourceforge.net

Page 29: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

29

Native IPv6 – Lösungsansätze

Werner Anrath

SLAAC kann in den Microsoft Windows Betriebssystemen pro Netzwerkadapter wie folgt deaktiviert werden: netsh interface ipv6 set interface „IfIndex“ routerdiscovery=disabled netsh interface ipv6 set interface „IfIndex“ routerdiscovery=disabled store=persistent

Linux-Administratoren können im Bedarfsfall die Autokonfiguration eines Netzwerkadapters, hier im Beispiel eth0, durch einen Eintrag in die /etc/sysctl.conf deaktivieren: net.ipv6.conf.eth0.autoconf = 0 (keine Adressen bilden) oder net.ipv6.conf.eth0.accept_ra=0 (keine Adressen bilden, keine Routes setzen)

SLAAC kann im Einzelfall deaktivert werden! interface Vlan201 description Server-Netz - statische Konfiguration der Hosts no ip address ipv6 address 2001:db8:cafe:6400::6400:1/64 ipv6 address FE80::6400:1 link-local ipv6 nd prefix 2001:db8:cafe:6400::/64 2592000 604800 no-autoconfig ! IOS Beispiel – RA ohne Autoconfiguration Flag

Page 30: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

30

Native IPv6 – RA Guard Angriffe

Werner Anrath

Problem (THC): flood_router6 - Fragment Header - Destination Options Header - Hop-by-Hop Options Header

(RFC2460)

Page 31: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

31

Native IPv6 – RA Guard Angriffe

Werner Anrath

Problem (THC): fake_router6 inklusive (falscher) DNS Parameter

Page 32: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

32 Werner Anrath

Native IPv6 – RA Guard Angriffe (Fragmentierung)

IPv6 HDR

IPv6 HDR

IPv6 HDR

Dest Opt Hdr Length

Dest Opt HDR

ICMPv6 (Rogue RA)

Frag HDR

Frag HDR

Dest Opt Hdr Length

Dest Opt HDR

Dest Opt HDR

ICMPv6 (Rogue RA)

Original Packet

1st Fragment

2nd Fragment Position?

ACL-Entry: deny ipv6 any any undetermined-transport Aber dann -> neue Angriffsvariante: Overlapping Fragments (ICMPv6 echo / ICMPv6 RA) (RFC 5722 Handling of Overlapping IPv6 Fragments )

Page 33: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

33

Native IPv6 – RA Guard Angriffe

Werner Anrath

Problem (THC): flood_router6 - Fragment Header - Destination Options Header

(RFC2460)

Wireshark-Filter: ip6 (richtig) icmp6 (falsch)

Page 34: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

• Komponenten - DHCPv6 Infrastruktur

• DHCPv6 clients

• DHCPv6 servers

• DHCPv6 relay agents

• DHCPv6 bietet Stateful Address Configuration oder Stateless Configuration für IPv6 hosts

• Managed Address Configuration (M) Flag im RA • M Flag == 1 => DHCPv6 Solicitation (Stateful)

• Other Stateful Configuration (O) flag im RA • O Flag == 1 => DHCPv6 Solicitation(Stateless)

• weitere Konfigurationsparameter beziehen

34

Native IPv6 – Gefährdung DHCPv6

Werner Anrath

Page 35: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

• DHCPv6 Server wenig verbreitet

• keine automatische Installation der Server-Komponente in

Client-Systemen (vgl. IPv4 und ICS)

• grundsätzlich vergleichbare Problematik wie IPv4 DHCP

• unbedingt Abstimmung mit RA (SLAAC, M Bit und O Bit) nötig

• DHCPv6 Threats

• Starvation (deplete Pool)

• DoS (spray Solicitation Messages)

• Scanning

• Missinformation (rogue Parameters)

• THC-Toolkit:

• linux# ./fake_dhcp6s interface {prefix/len} {dns-server} {……..

• linux# ./flood_dhcp6c {options} interface {domain-name}

35

Native IPv6 – Erfahrung DHCPv6

Werner Anrath

Page 36: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

Transition Technologies - Technik

36 Werner Anrath

IPv6 Header Extension Headers

Upper Layer Protocol Data Unit

IPv6 Header Extension Headers

Upper Layer Protocol Data Unit

IPv4 Header

IPv6 Packet

IPv4 Packet

IPv4 header Protocol field set to 41

Manuelle Tunnel: 6in4 Automatische Tunnel – Transition Technologies: ISATAP, 6to4, Teredo

… aber auch Varianten mit GRE, IPSEC oder UDP Encapsulation

Page 37: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft IPv4 Header:

Destination Address: 131.127.33.19 Source Address: 192.168.47.11 IPv6 Header: Destination Address: 2001:DB8:0:7:0:5EFE:131.127.33.19 Source Address: 2001:DB8:0:7:0:5EFE:192.168.47.11

37

Transition Technologies - ISATAP

ISATAP Host A

IPv4-only Network

ISATAP Host B

IPv6-capable Network

ISATAP Router

Prefix: 2001:DB8:0:7::/64

Routes: 2001:DB8:0:7::/64 on-link through the ISATAP interface ::/0 to FE80::5EFE:10.0.0.1 through the ISATAP interface

2001:DB8:0:7:0:5EFE:121.127.33.19

2001:DB8:0:7:0:5EFE:192.168.47.11

DNS Server

1. DNS Anfrage für “ISATAP” / LLMNR oder netsh interface ipv6 isatap <show/set>

2. IPv4-encapsulated router solicitation

3. IPv4-encapsulated router advertisement

www.dfn.de

Werner Anrath

interface Tunnel6 description ISATAP Tunnel no ip address no ip redirects ipv6 address 2001:db8:0:7::/64 eui-64 ipv6 enable no ipv6 nd suppress-ra tunnel source FastEthernet0 tunnel mode ipv6ip isatap

[64-bit prefix]:0:5EFE:w.x.y.z

RFC 5214 Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)

Page 38: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

38

Transition Technologies – 6to4

6to4 Router

Windows 7 Windows Vista

6to4 host A

IPv4 Internet

6to4 host/router B

IPv6 Internet 6to4 relay

Routes: 2002::/16 on-link through the 6to4 interface ::/0 to 6to4 relay through the 6to4 interface 2002:9D3C:1:1::/64 to local subnet through the LAN interface

Routes: 2002::/16 on-link through the 6to4 interface

::/0 to IPv6 Internet

Routes: 2002::/16 on-link through the 6to4 interface ::/0 to 6to4 relay through the 6to4 interface

Routes: ::/0 to 6to4 router through the LAN interface 2002:9D3C:1:1::/64 on-link through the LAN interface

Routes: 2002::/16 to 6to4 relay

www.dfn.de

Offizielle IPv4 Adresse 2002:IPv4-Adresse::IPv4-Adresse

Anycast: 192.88.99.1

Dual Stack Home Office Router

RFC 1918 IPv4 Adressen

Verbesserung: 6RD - RFC 5569

Werner Anrath

RFC 3056 'Connection of IPv6 Domains via IPv4 Clouds' (6to4)

Precedence Label Prefix (RFC 3484) ---------- ----- -------------------------------- 50 0 ::1/128 Loopback Address 40 1 ::/0 All IPv6 Traffic 30 2 2002::/16 6to4 Traffic 20 3 ::/96 IPv4 compatible Traffic 10 4 ::ffff:0:0/96 IPv4 mapped Traffic 5 5 2001::/32 Teredo

Page 39: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

Transition Technologies – 6to4

39 Werner Anrath

Windows 7 Host Im WLAN

6to4 Router Windows Vista

Status: Netzwerkkabel wurde entfernt

RA-Flags A=M=O=1

Page 40: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

Transition Technologies – 6to4

40 Werner Anrath

Oct 10 12:53:12 zam047-168 352385: Oct 10 12:53:11: %SEC-6-IPACCESSLOGNP: list acl_vlan11 denied 41 134.94.xxx.aaa -> 192.88.99.1, 1 packet Oct 10 12:53:41 zam047-168 352392: Oct 10 12:53:40: %SEC-6-IPACCESSLOGNP: list acl_vlan11 denied 41 134.94.xxx.bbb -> 192.88.99.1, 1 packet Oct 10 12:54:16 zam047-168 352407: Oct 10 12:54:15: %SEC-6-IPACCESSLOGNP: list acl_vlan11 denied 41 134.94.xxx.ccc -> 192.88.99.1, 1 packet

Cisco ACL Entry: deny 41 any any log

Page 41: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

41

Transition Technologies - Teredo

Teredo Server

Teredo Relay

Teredo client A

IPv4 Internet

Teredo.ipv6.microsoft.com

Teredo client B

Teredo address: 2001::ServerAddr:Flags:ObscExtPort:ObscExtAddr

www.dfn.de

IPv6 Internet

RFC 1918 IPv4 Adressen

RFC 1918 IPv4 Adressen

RFC 4380 Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs)

Werner Anrath

IPv4/IPv6 Router

Network Address Translation

Network Address Translation

Page 42: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

42

Transition Technologies - Teredo

Teredo address: 2001::ServerAddr:Flags:ObscExtPort:ObscExtAddr

Obscuring: 0xFFFFFFFF XOR External IPv4 Address

Werner Anrath

Your Input > 2001::CE49:7601:E866:EFFF:62C3:FFFE IPv6 Address > 2001:0000:ce49:7601:e866:efff:62c3:fffe Prefix Info > Teredo Unicast Address (RFC4380) - 2001::/32 External IPv4 Addr(NAT) > 157.60.0.1 External IPv4 Port > 4096 Server IPv4 Addr > 206.73.118.1

Page 43: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

43

Transition Technologies - Teredo

Die Applikation muss explizit IPv6 anfordern!

Linux: Miredo Prefix 2001::/32

Werner Anrath

External IPv4 Addr(NAT) 217.235.223.220 External IPv4 Port 59925 Server IPv4 Addr 94.245.121.253

Page 44: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

44

Transition Technologies - Teredo

Werner Anrath

Page 45: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

• SixXS

• 6in4

• AYIYA (Anything in Anything)

• Hurricane Electric

• 6in4

• gogo6/Freenet6

• 6in4

• TSP (RFC 5572 - Tunnel Setup Protocol)

45

Transition Technologies – Tunnel Broker

Werner Anrath

Page 46: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

46

Transition Technologies – Tunnel Broker

Werner Anrath

AICCU (Automatic) IPv6 Client Configuration Utility) … nutzt UDP Port 5072!

LAN <–> (on-link) <–> radvd / LINUX (ipv6 forwarding) / aiccu <–> IPv6 Internet

Page 47: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

• ISATAP

• DNS Spoofing / LLMNR ( ping -6 isatap )

• IPv4 ist Local Link -> Firewall Setup?

• 6to4

• Windows mit Internet Connection Sharing wird zum nativen IPv6 Router

• Privacy Extensions aktiv – erschwert Aufklärung

• Häufigkeit nimmt stark zu – unbedarfte Admins/Nutzer

• Gästenetze (z.B. EDUROAM)

• Studie: http://www.ietf.org/proceedings/80/slides/v6ops-11.pdf (University of

Southampton)

• Teredo

• UDP Encapsulated Traffic schwierig zu filtern

47

Transition Technologies - Gefährdung

Werner Anrath

Page 48: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

48

Transition Technologies - Lösungsansätze

Werner Anrath

Der Windows SysAdmin führt zum Abschalten der Tunnel folgende Befehle aus: netsh interface ipv6 6to4 set state disabled undoonstop=disabled netsh interface ipv6 isatap set state disabled netsh interface ipv6 set teredo disable und Neustart

Page 49: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

49

Transition Technologies - Lösungsansätze

Werner Anrath

Der Windows Domain Admin nutzt zum Abschalten der Tunnel AD GPO: Computer Configuration > Policies > Administrative Templates > Network > IPv6 Configuration Mögliche Pv6 Einstellungen: Enable all IPv6 components (Windows default) Disable all IPv6 components Disable 6to4 Disable ISATAP Disable Teredo Disable Teredo and 6to4 Disable all tunnel interfaces Disable all LAN and PPP interfaces Disable all LAN, PPP and tunnel interfaces Prefer IPv4 over IPv6.

Page 50: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

• Native IPv6 Deployment – Transition Technologies starten nicht

• Road Warrior (Mobile Devices): Tunnel deaktivieren

• Protocol 41 blocken (Enterprise Firewall, Router ACLs)

• Teredo UDP Port 3544 blocken (Microsoft Default)

• Cisco: Flexible Packet Matching (cisco.com/go/fpm)

•Personal Firewalls mit IPv6 Unterstützung einsetzen

• Vorsicht mit Zusatzprodukten / Security Suiten

• Konfigurationsempfehlungen im Enterprise:

• Tunnel deaktivieren

• Monitoring

50

Transition Technologies - Lösungsansätze

Werner Anrath

Page 51: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

• Wichtig: Schulung, Training, Einführung

• Zeitfaktor beachten

• IPv6 wird zurecht als Zusatzbelastung gesehen

• spezifische IPv6 Security Threats beachten

• CERT ? / BSI ? / Hersteller ?

• IPv6 ist aktiv

• ignorieren ist gefährlich, auch für die Verfügbarkeit von Netzfunktionen, die

augenscheinlich ja mit IPv4 laufen

• aggressiv durch MS Transition Technologies

• Layer-2 Sperre: 0x86dd (EtherType IPv6)

• temporäre Notlösung

• keine Strategie mit Zukunft

51

FAZIT – Gefährdungen u. Lösungen

Werner Anrath

Page 52: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

52

Literatur

Werner Anrath

[1] IPv6 Security – Protection measures for the next Internet Protocol; E. Vyncke; Cisco Press; ISBN-13 978-1-58705-594-2 [2] Understanding IPv6; J. Davies; Microsoft Press; ISBN-13 978-0-7356-2446-7 [3] IPv6 for Enterprise Networks; S. McFarlan et al.; Cisco Press; ISBN-13: 978-1-58714- 227-7 [4] Requirements for IPv6 in ICT Equipment; J. Zorz, S. Steffann [5] Router Security Configuration Guide Supplement – Security for IPv6 Routers; NSA [6] Guidelines for the Secure Deployment of IPv6 Recommendations of the National Institute of Standards and Technology

[7] Berichte - Sicherheit in vernetzten Systemen (19. DFN Workshop)

Fragen?

Page 53: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

53

IPv6 im JSC

Werner Anrath

Firewall

IPv6-Test-Sites: www.dfn.de

www.heise.de www.ripe.net

www.lrz.de

Dual Stack Hosts - JSC Workstation-Netze

LAN Router

XWiN Router

Nebenleitung

Hauptleitung

Dual Stack Server im JSC Server-Netz

- Core-to-Edge Ansatz - Aufteilung in 5 Phasen

Page 54: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

• Phase 1 - WAN-Anbindung, Firewall, LAN-Routing

• BGP4, ACLs, Stateful Inspection (März 2011)

• Phase 2 - Client-Netz (Abt. JSC-KS)

• SLAAC, EUI-64 Enforcement

• Phase 3 - Client-Netz (JSC weit, > 400 Systeme)

• SLAAC, Konfigurationsempfehlungen, IPv6-Day

• Phase 4 - Server-Netz (File-Server, Terminal-Server)

• manuelle Konfiguration, Monitoring, DNS

• Phase 5 - Fazit

• Debriefing aus den Bereichen, Dokumentation (ab September 2011)

• danach: Weiterführung im normalen Produktionsumfeld

• Bachelor thesis: Full-stack IPv6 compatibility of UNICORE

54

IPv6 im JSC

Werner Anrath

Page 55: Unmanaged IPv6 im LAN - dfn.de · PDF file14/03/2012 · ltz-t Unmanaged IPv6 im LAN Gefahren und Lösungen Forschungszentrum Jülich GmbH Werner Anrath Egon Grünter Sabine Werner

Mitglie

d in d

er

Helm

holtz-G

em

ein

scha

ft

• Dual Stack Betrieb ohne Mehraufwand im Tagesgeschäft

• Zugriffe auf IPv6 Inhalte und Dienste funktionieren

• Subnetze im JuNet

• Mechanismen aus Phase 3 anwendbar

• DMZs und spezielle Server-Netze

• Mechanismen aus Phase 4 anwendbar

• und weiterhin

• stabiler IPv6 Core: WAN/LAN-Routing und Firewall

• solide Ausgangsbasis für weitere Anforderungen

• Deployment in den Instituten möglich

• Rollout: IPv6 First-Hop-Security Campus-weit

FAZIT – IPv6 Testbed im JSC

55 Werner Anrath