ipv6 monitoring - guug.de · ipv6 monitoring folie 3 agenda einführung betriebssysteme router...
Post on 24-Apr-2019
215 Views
Preview:
TRANSCRIPT
Wilhelm Boeddinghaus
Strato AG
05. Januar 2012
IPv6 Monitoring: Wo sind meine Daten?
Wer spricht heute?
Folie 2
Dipl. Inf. (FH) Wilhelm Boeddinghaus
Leiter des Netzwerkes Strato AG
Die Strato AG ist eine Tochter der Deutschen
Telekom AG
IPv6 Monitoring - Wo sind meine Daten?
IPv6 Monitoring
Folie 3
Agenda
Einführung
Betriebssysteme
Router Statistiken
Webstatistiken
DoS Erkennung
IPv6 Monitoring - Wo sind meine Daten?
IPv6 Monitoring - Einführung
Folie 4
Welche Fragen beantwortet das Monitoring?
Statistiken – Wie viel Traffic fliesst?
Angriffe – Automatische Erkennung
Security – Sind meine Filter richtig gesetzt?
Welche Dienste laufen schon über IPv6?
IPv6 Monitoring - Wo sind meine Daten?
IPv6 Monitoring - Einführung
Folie 5
Welche Fragen beantwortet das Monitoring?
Wo entstehen die Daten?
Intern im Unternehmen
Extern auf Web und Emailservern
Abrechnung oder Kontrolle von Abrechnung
Welche Merkmale haben die Daten?
Wie müssen Filter aussehen, um die Daten zu
erfassen?
IPv6 Monitoring - Wo sind meine Daten?
IPv6 Monitoring - Datenschutz
Folie 6
Wichtiges Thema, aber nicht in diesem Tutorial
Keine juristische Betrachtung des Themas
Bei Logfiles gleiche Bedeutung wie bei IPv4
Anonymisierung ?
Bei IPv6 Adressen kann es Probleme geben
IPv6 Adresse aus MAC Adresse erzeugt
IPv6 Monitoring - Wo sind meine Daten?
IPv6 Monitoring
Folie 7
Wo ist das Problem?
Switche sehen Layer3 Pakete als Bytes und unterscheiden
nicht zwischen IPv6 und IPv4
Nutzt das Betriebssytem IPv4 oder IPv6?
Oder hängt das von der Applikation ab?
Ich kann meine Email nicht abrufen
IPv4 oder IPv6, wie soll es der Kunde unterscheiden?
IPv6 Monitoring - Wo sind meine Daten?
Betriebssysteme
Folie 8
Alle gängingen Betriebssysteme unterstützen IPv6
Einige schalten IPv6 per default an
Windows 7 / Windows Vista
Windows Server 2008 R2
Linux
MacOS
iOS (Apple, nicht Cisco )
IPv6 Monitoring - Wo sind meine Daten?
Windows 7
Folie 9
IPv6 ist angeschaltet !
Ist das allen Beteiligten im Unternehmen bekannt?
Welche Daten werden mit IPv6 transportiert?
Welche Wege nehmen die Daten?
Werden Tunnel genutzt?
Wie kann IPv6 sichtbar gemacht werden?
IPv6 Monitoring - Wo sind meine Daten?
Windows 7 – IPv6 ist angeschaltet
Folie 10
Windows Vista, Windows 7 und Server 2008 R2
haben per Default IPv6 an.
Link Local Adresse wird generiert
Neighbor Discovery wird durchgeführt
Kommunikation über IPv6 wird bevorzugt
Bei vielen Unternehmen ist nicht bekannt, dass IPv6
schon läuft
Sicherheit ???
IPv6 Monitoring - Wo sind meine Daten?
Windows 7 – IPv6 Sichtbarkeit
Folie 11
ipconfig
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . : xxxxxxxxx
Description . . . . . . . . . . . : Intel(R) 82567LM Gigabit Network Connection
Physical Address. . . . . . . . . : 00-21-70-E0-F0-3C
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IPv6 Address. . . . . . . . . ....: 2a01:238:xxxx:xxxx:353e:827b:ba2e:8702(Preferred)
Temporary IPv6 Address. . . . . . : 2a01:238:xxxx:xxxx:3c00:d0d1:23d9:f62(Preferred)
Link-local IPv6 Address . . . . . : fe80::353e:827b:ba2e:8702%10(Preferred)
Default Gateway . . . . . . . . . : fe80::224:97ff:fef0:7bb7%10
IPv6 Monitoring - Wo sind meine Daten?
Windows 7 – IPv6 Bordmittel
Folie 12
netsh interface ipv6>show siteprefixes Prefix Lifetime Interface
------------------------ ------------ ------------------------------
2a01:238:xxxx:xxxx:/64 60d Local Area Connection
IPv6 Monitoring - Wo sind meine Daten?
Windows 7 – IPv6 Bordmittel
Folie 13
netsh interface ipv6>show tcpstats MIB-II TCP Statistics
------------------------------------------------------
Timeout Algorithm: Van Jacobson's Algorithm
Minimum Timeout: 10
Maximum Timeout: 4294967295
Maximum Connections: Dynamic
Active Opens: 140
Passive Opens: 4
Attempts Failed: 0
Established Resets: 4
Currently Established: 0
In Segments: 2394
Out Segments: 1908
Retransmitted Segments: 5
In Errors: 0
Out Resets: 70
IPv6 Monitoring - Wo sind meine Daten?
Windows 7 – IPv6 Bordmittel
Folie 14
netsh interface ipv6>show udpstats MIB-II UDP Statistics
------------------------------------------------------
In Datagrams: 1689
In Invalid Port: 0
In Erroneous Datagrams: 0
Out Datagrams: 2424
IPv6 Monitoring - Wo sind meine Daten?
Windows 7 – IPv6 Bordmittel
Folie 15
netsh interface ipv6>show ipstats MIB-II IP Statistics
------------------------------------------------------
Forwarding is: Disabled
Default TTL: 128
In Receives: 7174
In Header Errors: 0
In Address Errors: 3161
Datagrams Forwarded: 0
In Unknown Protocol: 0
In Discarded: 0
In Delivered: 4884
Out Requests: 6157
Routing Discards: 0
Out Discards: 0
Out No Routes: 54
Reassembly Timeout: 60
Reassembly Required: 0
Reassembled Ok: 0
Reassembly Failures: 0
Fragments Ok: 0
Fragments Failed: 0
Fragments Created: 0
IPv6 Monitoring - Wo sind meine Daten?
Windows 7 – IPv6 Bordmittel
Folie 16
netsh interface ipv6>show global General Global Parameters
---------------------------------------------
Default Hop Limit : 128 hops
Neighbor Cache Limit : 256 entries per interface
Route Cache Limit : 128 entries per compartment
Reassembly Limit : 33455168 bytes
ICMP Redirects : enabled
Source Routing Behavior : dontforward
Task Offload : enabled
Dhcp Media Sense : enabled
Media Sense Logging : disabled
MLD Level : all
MLD Version : version3
Multicast Forwarding : disabled
Group Forwarded Fragments : disabled
Randomize Identifiers : enabled
Address Mask Reply : disabled
Current Global Statistics
---------------------------------------------
Number of Compartments : 1
Number of NL clients : 7
Number of FL providers : 4
IPv6 Monitoring - Wo sind meine Daten?
Windows 7 – Monitoring
Folie 17
Microsoft bietet ein gutes und kostenloses Tool
IPv6 Monitoring - Wo sind meine Daten?
Windows 7 – Monitoring
Folie 18
Auswertung nach Adresse
IPv6 Monitoring - Wo sind meine Daten?
Windows 7 – Monitoring
Folie 19
Auswertung nach ICMPv6
IPv6 Monitoring - Wo sind meine Daten?
Wireshark ICMPv6
Folie 20
Wireshark ICMPv6
IPv6 Monitoring - Wo sind meine Daten?
Wireshark Filter
Folie 21
Filter nach Ethertype: eth.type == 0x86dd
IPv6 Traffic: ipv6
ICMPv6: icmpv6
Eine Source Adresse: ipv6.src ==
fe80::2d0:59ff:fe05:ec54
IPv6-over-IPv4 tunneled traffic : ip.proto == 41
Capture native IPv6 traffic only: ipv6 and not
ip.proto == 41
IPv6 Monitoring - Wo sind meine Daten?
Wireshark Links
Folie 22
www.wireshark.org
http://media.packetlife.net/media/library/13/Wires
hark_Display_Filters.pdf
IPv6 Monitoring - Wo sind meine Daten?
Windows 7 – Src Address
Folie 23
RFC 3484 - Welche Absender Adresse nutzt mein Rechner / Server ?
netsh interface ipv6>show prefixpolicies
Querying active state...
Precedence Label Prefix
---------- ----- --------------------------------
50 0 ::1/128 (IPv6 Loopback)
40 1 ::/0 (IPv6 Default Route)
30 2 2002::/16 (6to4 Tunnel)
20 3 ::/96 (IPv4 Kompatibilität, depricated)
10 4 ::ffff:0:0/96(IPv4 mapped Addresses)
5 5 2001::/32 (Teredo)
IPv6 Monitoring - Wo sind meine Daten?
Linux
Folie 24
IPv6 ist angeschaltet !
Ist das allen Beteiligten im Unternehmen bekannt?
Welche Daten werden mit IPv6 transportiert?
Welche Wege nehmen die Daten?
Werden Tunnel genutzt?
Wie kann IPv6 sichtbar gemacht werden?
IPv6 Monitoring - Wo sind meine Daten?
Linux
Folie 25
server:~# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:d0:59:05:ec:54
inet6 addr: 2a01:238:xxxx:xxxx:452a:47b1:ab60:5bf4/64 Scope:Global
inet6 addr: fe80::2d0:59ff:fe05:ec54/64 Scope:Link
inet6 addr: 2a01:238:xxxx:xxxx:5610:de34:5509:1a2b/64 Scope:Global
RX packets:1813920 errors:0 dropped:0 overruns:0 frame:0
TX packets:2274602 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:366259499 (349.2 MiB) TX bytes:369024247 (351.9 MiB)
IPv6 Monitoring - Wo sind meine Daten?
Linux – Src Address
Folie 26
RFC 3484 - Welche Absender Adresse nutzt mein
Rechner / Server ?
/etc/gai.conf
#precedence ::1/128 50
#precedence ::/0 40
#precedence 2002::/16 30
#precedence ::/96 20
#precedence ::ffff:0:0/96 10
IPv6 Monitoring - Wo sind meine Daten?
MAC OS X
Folie 27
IPv6 ist angeschaltet
Privacy Extensions können zugeschaltet werden
IPv6 Monitoring - Wo sind meine Daten?
iOS
Folie 28
iOS kann IPv6
Seit Version 4.3 auch mit Privacy Extensions
User sieht es nicht und merkt es auch nicht
Aber die Schildkröte bei www.kame.net schwimmt
IPv6 Monitoring - Wo sind meine Daten?
Privacy Extensions
Folie 29
RFC 4941
Der Hostanteil der IPv6 Adresse wird per MD5
generiert
1234:5678:90ab:cdef:1234:5678:90ab:cdef
Kann stündlich neu berechnet werden
Wie soll das im Monitoring abgebildet werden?
Datenschutz - Sicherheit
IPv6 Monitoring - Wo sind meine Daten?
Adresswahl
Folie 30
Es gibt die Vorgabe nach RFC 3484
Global Unicast wird für externe Kommunikation
genutzt
Mehrere Adressen möglich
Privacy Extensions werden genutzt
Link Local für Kommunikation auf dem Link
Filter auf das richtige Netzwerk schauen lassen
IPv6 Monitoring - Wo sind meine Daten?
Router Statistiken
Folie 31
Router arbeiten auf Layer 3
IPv4 und IPv6
Ist eine getrennte Anzeige möglich?
Sind getrennte Werte per SNMP verfügbar?
Sind Routing Protokolle überwachbar?
IPv6 Monitoring - Wo sind meine Daten?
Router Statistiken
Folie 32
Juniper MX 960
Transit statistics:
Input bytes : 4945390034106012 369421416 bps
Output bytes : 3911923330675231 1852305280 bps
Input packets: 18124039206533 140590 pps
Output packets: 4794644352220 265118 pps
IPv6 transit statistics:
Input bytes : 52122900797
Output bytes : 40015432152
Input packets: 127285828
Output packets: 172157199
IPv6 Monitoring - Wo sind meine Daten?
Router Statistiken
Folie 33
Cisco Catalyst 6500
Zeigt nur Bytes an, keine Unterscheidung von
IPv4 und IPv6
Soll sich mit neuer Serie von Boards ändern
Cisco CRS1
Zeigt nur Bytes an, keine Unterscheidung von
IPv4 und IPv6
IPv6 Monitoring - Wo sind meine Daten?
Router Statistiken
Folie 34
Cisco 7200 G1
Zeigt nur Bytes an, keine Unterscheidung
von IPv4 und IPv6
IPv6 Monitoring - Wo sind meine Daten?
Router SNMP
Folie 35
RFC 4292 IP-FORWARD-MIB
RFC 4293 IP-MIB
RFC 4022 TCP-MIB
RFC 4113 UDP-MIB
Aber, die Hersteller müssen es
unterstützen!
IPv6 Monitoring - Wo sind meine Daten?
Webstatistiken
Folie 36
Apache braucht 2 x Virtual Host Konfiguration
IPv6 und IPv4 können getrennte oder gemeinsame
Logfiles nutzen
Apache schreibt Logfiles mit IPv6 Adressen
IPv6 Geo IP bisher eingeschränkt möglich
Sind getrennte Statistiken sinnvoll?
IPv6 Monitoring - Wo sind meine Daten?
Webstatistiken
Folie 37
Awstats
http://awstats.sourceforge.net/
Licence: Gnu GPL
Plug-In ”IPv6” muss eingeschaltet sein
Geo IP funktioniert nicht
Kann auch Email und FTP Logs auswerten
IPv6 Monitoring - Wo sind meine Daten?
Webstatistiken
Folie 38
Awstats
# PLUGIN: IPv6
# PARAMETERS: None
# REQUIRED MODULES: Net::IP and Net::DNS
# DESCRIPTION: This plugin gives AWStats capability to make reverse
DNS
# lookup on IPv6 addresses.
LoadPlugin="ipv6"
IPv6 Monitoring - Wo sind meine Daten?
Webstatistiken
Folie 39
IPv6 Monitoring - Wo sind meine Daten?
Webstatistiken
Folie 40
Awstats Betriebsysteme
IPv6 Monitoring - Wo sind meine Daten?
Webstatistiken
Folie 41
Awstats Browser
IPv6 Monitoring - Wo sind meine Daten?
Webstatistiken
Folie 42
Awstats Geo IP
Es sind nur wenige Datenbanken vorhanden
Einbindung ist nicht intuitiv
IPv6 Monitoring - Wo sind meine Daten?
Webstatistiken
Folie 43
Webalizer
Fully supports IPv4 and IPv6 addresses. (Zitat von
http://www.mrunix.net/webalizer/)
Webalizer Xtended
http://www.patrickfrei.ch/webalizer/
Changelog (December 8, 2007)
Changes/Additions: - Added full IPv6 support
IPv6 Monitoring - Wo sind meine Daten?
Webstatistiken
Folie 44
Webtrends
IPv6 Monitoring - Wo sind meine Daten?
Webstatistiken
Folie 45
Webtrends
IPv6 Monitoring - Wo sind meine Daten?
Webstatistiken
Folie 46
Google Analytics
Google Analytics arbeitet unabhängig von IPv4 und IPv6
Es ist nicht leicht möglich, die IP Adresse der Besucher zu ermitteln. Google scheint das nicht zu wollen.
Piwik
Die Unterstützung für IPv6 kam mit Version 1.4
Aktuell ist die Version 1.6
Scheint keine hohe Priorität zu haben
IPv6 Monitoring - Wo sind meine Daten?
Geo IP
Folie 47
Die IANA hat jeder RIR einen IPv6 Block zugeteilt
APNIC: 2400::/12
ARIN: 2600::/12
LACNIC: 2800::/12
RIPE: 2a00::/12
Afrinic: 2c00::/12
Grobes GeoIP damit möglich
IPv6 Monitoring - Wo sind meine Daten?
Geo IP für IPv6
Folie 48
Maxmind GeoLite Country
Sortiert nach Ländern
Monatliches Update
Download als CSV Datei
Wird breit unterstützt
IPv6 Monitoring - Wo sind meine Daten?
Geo IP für IPv6
Folie 49
IP2Location
Download der Datenbank als binary
Länder für IPv6 frei verfügbar
Bringt als Ausgabe das Landeskürzel: DE
API zur Auswertung der Database
Perl, Ruby, Phyton, Apache Modul
VB.Net C#, C, Objective C, Java
IPv6 Monitoring - Wo sind meine Daten?
Geo IP für IPv6
Folie 50
Quova
Quova is offering an Alpha IPv6 geolocation product
With the following fields:
Country
State
City
Organization
IPv6 Monitoring - Wo sind meine Daten?
Geo IP für IPv6
Folie 51
software77.net/geo-ip/
Geo::IPfree Perl Modul
Kompatibel mit AWStats
Weitere Möglichkeiten
Geo::IP Perl Modul
IPv6 Monitoring - Wo sind meine Daten?
Geo IP für IPv6
Folie 52
GeoIP ist wichtig für lokale Werbung
Eine Pizzeria will nur im Stadtteil werben
Mit IPv6 ist das noch nicht möglich
IPv6 Monitoring - Wo sind meine Daten?
DoS Erkennung
Folie 53
Wie wird ein DoS erkannt?
Menge der Packete
Menge der Daten
Typ der Packete
Syn, oder nur ACK ohne Syn
Problem
Angriff mit IPv4 oder IPv6 oder beiden Protokollen, oder
alternierend?
IPv6 Monitoring - Wo sind meine Daten?
DoS Erkennung
Folie 54
Schwellwerte?
Wann wird Alarm ausgelöst?
Für IPv4
Für IPv6
Für eine Kombination aus beiden Protokollen
TCP oder UDP oder ICMPv6
IPv6 Monitoring - Wo sind meine Daten?
DoS Erkennung
Folie 55
Netflow v9 kann IPv6 Daten exportieren
IPV6_SRC_ADDR
IPV6_DST_ADDR
IPV6_SRC_MASK
IPV6_DST_MASK
IPV6_FLOW_LABEL
Damit ist eine Unterscheidung zwischen IPv6 und
IPv4 möglich
IPv6 Monitoring - Wo sind meine Daten?
DoS Erkennung
Folie 56
NFSEN Netflow Sensor
http://nfsen.sourceforge.net/
Open Source Software
Kann Neflow 9 lesen und interpretieren
Ausgabe nach IPv4 und IPv6 möglich
IPv6 Monitoring - Wo sind meine Daten?
DoS - Reaktion
Folie 57
Sperren ist der erste Gedanke
Aber was wird gesperrt?
Zeigt das Monitoring die IP Adresse oder das Netz des
Angreifers?
Privacy Extensions ermöglichen wechselnde Adressen des
Angreifers
Oder gar wechseln der Adresse mit Perl
Was muss das Monitoring erfassen?
IPv6 Monitoring - Wo sind meine Daten?
Troubleshooting
Folie 58
Warum kommen IPv6 Verbindungen nicht
zustande?
12% - 20% der 6to4 Tunnel kommen nicht zustande
Protokoll 41 wird gefiltert ?
Adressbereich 2002::/16 wird gefiltert
MTU – Path Discovery
Geoff Houston, RIPE62 Amsterdam
IPv6 Monitoring - Wo sind meine Daten?
Troubleshooting
Folie 59
Warum kommen IPv6 Verbindungen nicht
zustande?
Ca. 40% der Teredo Tunnel kommen nicht zustande
Erst ICMP, dann Syn
Filter auf Adressbereiche
Geoff Houston, RIPE62 Amsterdam
IPv6 Monitoring - Wo sind meine Daten?
Troubleshooting
Folie 60
ARP – Neighbour Discovery
Die Zuordnung IP – MAC war bisher ein Layer
2 Protokoll (ARP Address Resolution Protocol)
IPv6 realisiert das mit ICMPv6
1:1 Übernahme von alten Firewallregeln geht
nicht
Monitoring, ob ICMPv6 frei fliessen darf
IPv6 Monitoring - Wo sind meine Daten?
Fazit
Folie 61
IPv6 ist sichtbar
Die meisten Betriebssysteme
bevorzugen es
Router können IPv6, zeigen es aber nicht
immer an
GeoIP muss verbessert werden
IPv6 Monitoring - Wo sind meine Daten?
Vielen Dank STRATO AG
Pascalstraße 10
10587 Berlin E-Mail boeddinghaus@strato.de
https://www.xing.com/profile/Wilh
elm_Boeddinghaus
Netzwerk & Routing
IPv6 Monitoring - Wo sind meine Daten?
top related