© fraunhofer rückverfolgen von ipv6-adressen mit aktivierten privacy extensions martin turba,...
TRANSCRIPT
© Fraunhofer
Rückverfolgen von IPv6-Adressenmit aktivierten Privacy ExtensionsMartin Turba, Fraunhofer CC-LANIPv6-Kongress 2014, Frankfurt, 22. Mai 2014
© Fraunhofer
Agenda
1 Motivation –Wozu müssen wir IPv6-Endgeräte identifizieren?
2 Grundlagen –Dual-Stack, Adressvergabe, NDP und Privacy Extensions
3 Konzept und Implementierung –Anwendungsfälle identifizieren und umsetzen
4 Zusammenfassung
© Fraunhofer
Forschungsthemen:
Gesundheit, Ernährung und Umwelt
Schutz und Sicherheit
Information und Kommunikation
Verkehr und Mobilität
Energie und Wohnen
Produktion und Umwelt
60 Institute
Mehr als 20,000 Mitarbeiter
Fraunhofer – über 20,000 Mitarbeiter in 60 Instituten
© Fraunhofer
Wer ist das Competence Center LAN, was machen wir?
Fraunhofer-InstituteAISEC / SIT / IGD und UMSICHT
Zentrale Unterstützung für alle Fraunhofer-Institute und Einrichtungen rund um das Thema LAN und LAN-verwandte Themen (z.B. Security, WAN, Mobility, Verkabelung, …)
© Fraunhofer
Was ist das Competence Center LAN, was machen wir?
Competence Center LAN
Fraunhofer-Institute
Frau
nh
ofe
r-Z
en
trale Dienstleistun
gen & Projekte
Strategie-Prozess
Industrie
© Fraunhofer
MotivationWozu müssen wir IPv6-Endgeräte identifizieren?
© Fraunhofer
Stetiges Wachstum nativer IPv6-Anbindungen und neue Funktionen
Stetiges Wachstum nativer IPv6-Anbindungen
Neue Features mit IPv6
Extensions Header
Privacy Extensions
…
Quelle:
https://www.ams-ix.net/technical/statistics/sflow-stats/ipv6-traffic
© Fraunhofer
Etablierte Netzwerkmanagement-Methoden für IPv4 sind nicht unmittelbar auf IPv6 übertragbar
Einige Fraunhofer-Institute haben IPv6 bereits produktiv im Einsatz, weitere Standorte der Fraunhofer-Gesellschaft werden für IPv6 erweitert
Erschwerte Administration und Überwachung
Etablierte Methoden wie in IPv4 können nicht mehr angewendet werden
Mangelnder Reifegrad bei Netzwerkmanagement Software für IPv6
Keine Rückverfolgung bei Verstößen gegen Sicherheitsrichtlinien
Auffinden von falsch konfigurierten Endgeräten nicht möglich
Bachelorarbeit: Kevin Templar, „Identifizieren von Endgeräten in einer Dual-Stack-Umgebung mit aktivierten IPv6 Privacy Extensions“, Februar 2014
© Fraunhofer
GrundlagenDual-Stack, Adressvergabe, NDP und Privacy Extensions
© Fraunhofer
Dual-Stack-Umgebung – Parallelbetrieb IPv4 und IPv6
Paralleler Betrieb IPv4 und IPv6
DNS unterstützt durch doppelte Records
Einfache Migrationsstrategie
Dual-Stack-Umgebung [MSSH11]
© Fraunhofer
Verschiedene Methoden der Vergabe von IPv6-Adressen
Statisch
Kein Unterschied zu IPv4
Dynamisch
Stateful
DHCPv6-Server wird zur Adressenverteilung benötigt
Stateless Adress Autconfiguration (SLAAC)
MAC-Adresse als Merkmal (modified EUI-64)
Privacy Extensions
Zufällig generierte Adresse Beispiele für SLAAC- und PE-Adressen [TEMP14]
© Fraunhofer
Das Neighbor Discovery Protocol entspricht in etwa dem Address Resolution Protocol in IPv4
Entspricht etwa Address Resolution Protocol (ARP) aus IPv4
Identifizierung von IPv6-Adresse zu MAC-Adresse
Neighbor Discovery Cache
MAC-Adresse
IPv6-Adresse
Status
Alter
Router-Interface
Zustandsdiagramm Neighbor Discovery Status [TEMP14]
© Fraunhofer
Zufälliges Generieren von IPv6-Adressen –IPv6 Privacy Extensions
Interface ID wird zufällig generiert
Zeitlich befristete Gültigkeit
Priorisierte Kommunikation
Dienen zur Verschleierung
Diagramm zum Generierung Privacy Extensions [BWVO11]
© Fraunhofer
Konzept und ImplementierungAnwendungsfälle identifizieren und umsetzen
© Fraunhofer
Zwei wesentliche Anwendungsfälle wurden untersucht
Anforderungen identifizieren
Evaluierung (freier) Software
Observium
NDPmon
Überprüfen der Varianten
Neighbor Discovery Cache
Mitschneiden des Netzwerkverkehr
Anwendungsfälle [TEMP14]
© Fraunhofer
Laborinfrastruktur zur Simulation einer Dual-Stack-Umgebung mit unterschiedlichen Endgeräten
Simulation Dual-Stack-Umgebung
Native IPv6-Internetanbindung
Unterschiedliche Endgeräte
Windows
Linux
Aufbau der Labor- und Entwicklungsumgebung [TEMP14]
© Fraunhofer
Eigene Implementierung, da getestete Software nicht die Anforderungen erfüllen konnte
Getestete Software nur sehr eingeschränkt nutzbar
Keine deckt alle Anforderungen ab
Eigene Implementierung
Auslesen Neighbor Discovery Cache
Notwendige Informationen sind im Neighbor Cache enthalten
Abfrage über SNMP möglich
Auszug Neighbor Discovery Cache [TEMP14]
© Fraunhofer
Eine eigene App für Splunk wurde entwickelt
Eingesetzte Software „Splunk“
Erstellung eigener App „IPv6“
Grundkonfiguration
Zugriffsbeschränkung
Daten nach 30 Tagen Verlauf löschen
Erweiterungen (Apps) hinzugefügt
SNMP Modular Input
Sideview Utils
Navigationsleiste der App „IPv6“ [TEMP14]
© Fraunhofer
Die Daten werden über verschiedene SNMP-Abfrage erfasst
Schematischer Aufbau der Komponenten
Auszug der SNMP-Abfrage der Cisco MIB
Schematischer Aufbau der Komponenten [TEMP14]
SNMP-Abfrage der Cisco MIB [TEMP14]
© Fraunhofer
Weiterverarbeiten der Daten zur Indizierung
Felder extrahieren und zuordnen
Erstellen von Key-Value-Paare
Notwendig für weitere Verarbeitung/Suchabfragen
Feldnamen, Inhalte und reguläre Ausdrücke [TEMP14]
© Fraunhofer
Erkennen verschiedener IPv6-Adresstypen (Umgebungs-spezifisch)
Suchabfragen korrelieren mittels „Search Processing Language“
IPv6 Adresstypen erkennen
Suchkommando für Adresstypen [TEMP14]
© Fraunhofer
Umsetzen der Anforderungen als Benutzeroberfläche –Endgerät anhand von IPv6-Adresse finden
Suche nach der MAC-Adresse eines Endgeräts anhand einer IPv6-Adresse zu einem bestimmten Zeitpunkt
Suche nach einem Endgerät anhand einer IPv6-Adresse [TEMP14]
© Fraunhofer
Umsetzen der Anforderungen als Benutzeroberfläche –Aktive IPv6-Adressen in einem VLAN auflisten
Auflistung aller aktiven Adressen in einem VLAN
Suche aller aktiven IPv6-Endgeräte in einem VLAN [TEMP14]
© Fraunhofer
Zusammenfassung
Rückverfolgen von Endgeräten mit aktivierten Privacy Extensions in eigener Umgebung muss ermöglicht werden, z.B. für
Troubleshooting
Sicherheitsvorfälle
Anforderungen können mit Informationen aus SNMP-MIBs, die mittels Logging-System korreliert und visuell aufbereitet werden, erfüllt werden
Umgesetzt als Splunk-App
Kann um weitere Datenquellen erweitert werden
© Fraunhofer
Rückverfolgen von IPv6-Adressenmit aktivierten Privacy ExtensionsMartin Turba, Fraunhofer CC-LANIPv6-Kongress 2014, Frankfurt, 22. Mai 2014
Kontakt:
Martin Turba Kevin TemplarFraunhofer IGD Fraunhofer IGDFraunhoferstr. 5 Fraunhoferstr. 564283 Darmstadt 64283 [email protected]@igd.fraunhofer.de
© Fraunhofer
Referenzen / Bildnachweise
[MSSH11] McFarland, Shannon ; Sambi, Muninder ; Sharma, Nikhil ; Hooda, Sanjay: IPv6 for Enterprise Networks. Cisco Press, 2011.
[BWVO11] Barrera, David ; Wurster, Glenn ; Van Oorschot, PC: Back to the Future: Revisiting IPv6 Privacy Extensions. In: login 36, 2011.
[TEMP14] Templar, Kevin: Identifizieren von Endgeräten in einer Dual-Stack-Umgebung mit aktivierten IPv6 Privacy Extensions. 2014.