Rckverfolgen von IPv 6 Adressen mit aktivierten Privacy

  • Slides: 26
Download presentation
Rückverfolgen von IPv 6 -Adressen mit aktivierten Privacy Extensions Martin Turba, Fraunhofer CC-LAN IPv

Rückverfolgen von IPv 6 -Adressen mit aktivierten Privacy Extensions Martin Turba, Fraunhofer CC-LAN IPv 6 -Kongress 2014, Frankfurt, 22. Mai 2014 © Fraunhofer

Agenda 1 Motivation – Wozu müssen wir IPv 6 -Endgeräte identifizieren? 2 Grundlagen –

Agenda 1 Motivation – Wozu müssen wir IPv 6 -Endgeräte identifizieren? 2 Grundlagen – Dual-Stack, Adressvergabe, NDP und Privacy Extensions 3 Konzept und Implementierung – Anwendungsfälle identifizieren und umsetzen 4 Zusammenfassung © Fraunhofer

Fraunhofer – über 20, 000 Mitarbeiter in 60 Instituten n 60 Institute n Mehr

Fraunhofer – über 20, 000 Mitarbeiter in 60 Instituten n 60 Institute n Mehr als 20, 000 Mitarbeiter Forschungsthemen: n Gesundheit, Ernährung und Umwelt n Schutz und Sicherheit n Information und Kommunikation n Verkehr und Mobilität n Energie und Wohnen n Produktion und Umwelt © Fraunhofer

Wer ist das Competence Center LAN, was machen wir? Fraunhofer-Institute AISEC / SIT /

Wer ist das Competence Center LAN, was machen wir? Fraunhofer-Institute AISEC / SIT / IGD und UMSICHT Zentrale Unterstützung für alle Fraunhofer. Institute und Einrichtungen rund um das Thema LAN und LAN-verwandte Themen (z. B. Security, WAN, Mobility, Verkabelung, …) © Fraunhofer

Was ist das Competence Center LAN, was machen wir? Competence Center LAN Str Fraunhofer-Zentrale

Was ist das Competence Center LAN, was machen wir? Competence Center LAN Str Fraunhofer-Zentrale ate gie - © Fraunhofer Pro ze ss Dienstleistunge n & Projekte Fraunhofer-Institute Industrie

Motivation Wozu müssen wir IPv 6 -Endgeräte identifizieren? © Fraunhofer

Motivation Wozu müssen wir IPv 6 -Endgeräte identifizieren? © Fraunhofer

Stetiges Wachstum nativer IPv 6 -Anbindungen und neue Funktionen n Stetiges Wachstum nativer IPv

Stetiges Wachstum nativer IPv 6 -Anbindungen und neue Funktionen n Stetiges Wachstum nativer IPv 6 Anbindungen n Neue Features mit IPv 6 n Extensions Header n Privacy Extensions n … Quelle: https: //www. ams-ix. net/technical/statistics/sflow-stats/ipv 6 -traffic © Fraunhofer

Etablierte Netzwerkmanagement-Methoden für IPv 4 sind nicht unmittelbar auf IPv 6 übertragbar n Einige

Etablierte Netzwerkmanagement-Methoden für IPv 4 sind nicht unmittelbar auf IPv 6 übertragbar n Einige Fraunhofer-Institute haben IPv 6 bereits produktiv im Einsatz, weitere Standorte der Fraunhofer-Gesellschaft werden für IPv 6 erweitert n Erschwerte Administration und Überwachung n Etablierte Methoden wie in IPv 4 können nicht mehr angewendet werden n Mangelnder Reifegrad bei Netzwerkmanagement Software für IPv 6 n Keine Rückverfolgung bei Verstößen gegen Sicherheitsrichtlinien n Auffinden von falsch konfigurierten Endgeräten nicht möglich Bachelorarbeit: Kevin Templar, „Identifizieren von Endgeräten in einer Dual. Stack-Umgebung mit aktivierten IPv 6 Privacy Extensions“, Februar 2014 © Fraunhofer

Grundlagen Dual-Stack, Adressvergabe, NDP und Privacy Extensions © Fraunhofer

Grundlagen Dual-Stack, Adressvergabe, NDP und Privacy Extensions © Fraunhofer

Dual-Stack-Umgebung – Parallelbetrieb IPv 4 und IPv 6 n Paralleler Betrieb IPv 4 und

Dual-Stack-Umgebung – Parallelbetrieb IPv 4 und IPv 6 n Paralleler Betrieb IPv 4 und IPv 6 Dual-Stack-Umgebung [MSSH 11] n DNS unterstützt durch doppelte Records n Einfache Migrationsstrategie © Fraunhofer

Verschiedene Methoden der Vergabe von IPv 6 -Adressen n Statisch n Kein Unterschied zu

Verschiedene Methoden der Vergabe von IPv 6 -Adressen n Statisch n Kein Unterschied zu IPv 4 n Dynamisch n Stateful n DHCPv 6 -Server wird zur Adressenverteilung benötigt n Stateless Adress Autconfiguration (SLAAC) n MAC-Adresse als Merkmal (modified EUI-64) n Privacy Extensions n Zufällig generierte Adresse © Fraunhofer Beispiele für SLAAC- und PE-Adressen [TEMP 14]

Das Neighbor Discovery Protocol entspricht in etwa dem Address Resolution Protocol in IPv 4

Das Neighbor Discovery Protocol entspricht in etwa dem Address Resolution Protocol in IPv 4 n Entspricht etwa Address Resolution Protocol (ARP) aus IPv 4 n Identifizierung von IPv 6 -Adresse zu MAC-Adresse n Neighbor Discovery Cache n MAC-Adresse n IPv 6 -Adresse n Status n Alter n Router-Interface © Fraunhofer Zustandsdiagramm Neighbor Discovery Status [TEMP 14]

Zufälliges Generieren von IPv 6 -Adressen – IPv 6 Privacy Extensions n Interface ID

Zufälliges Generieren von IPv 6 -Adressen – IPv 6 Privacy Extensions n Interface ID wird zufällig generiert n Zeitlich befristete Gültigkeit n Priorisierte Kommunikation n Dienen zur Verschleierung Diagramm zum Generierung Privacy Extensions [BWVO 11] © Fraunhofer

Konzept und Implementierung Anwendungsfälle identifizieren und umsetzen © Fraunhofer

Konzept und Implementierung Anwendungsfälle identifizieren und umsetzen © Fraunhofer

Zwei wesentliche Anwendungsfälle wurden untersucht n Anforderungen identifizieren n Evaluierung (freier) Software n Observium

Zwei wesentliche Anwendungsfälle wurden untersucht n Anforderungen identifizieren n Evaluierung (freier) Software n Observium n NDPmon n Überprüfen der Varianten n Neighbor Discovery Cache n Mitschneiden des Netzwerkverkehr © Fraunhofer Anwendungsfälle [TEMP 14]

Laborinfrastruktur zur Simulation einer Dual-Stack. Umgebung mit unterschiedlichen Endgeräten n Simulation Dual-Stack-Umgebung n Native

Laborinfrastruktur zur Simulation einer Dual-Stack. Umgebung mit unterschiedlichen Endgeräten n Simulation Dual-Stack-Umgebung n Native IPv 6 -Internetanbindung n Unterschiedliche Endgeräte n Windows n Linux Aufbau der Labor- und Entwicklungsumgebung [TEMP 14] © Fraunhofer

Eigene Implementierung, da getestete Software nicht die Anforderungen erfüllen konnte n Getestete Software nur

Eigene Implementierung, da getestete Software nicht die Anforderungen erfüllen konnte n Getestete Software nur sehr eingeschränkt nutzbar n Keine deckt alle Anforderungen ab n Eigene Implementierung n Auslesen Neighbor Discovery Cache n Notwendige Informationen sind im Neighbor Cache enthalten n Abfrage über SNMP möglich Auszug Neighbor Discovery Cache [TEMP 14] © Fraunhofer

Eine eigene App für Splunk wurde entwickelt n Eingesetzte Software „Splunk“ n Erstellung eigener

Eine eigene App für Splunk wurde entwickelt n Eingesetzte Software „Splunk“ n Erstellung eigener App „IPv 6“ n Grundkonfiguration n Zugriffsbeschränkung Navigationsleiste der App „IPv 6“ [TEMP 14] n Daten nach 30 Tagen Verlauf löschen n Erweiterungen (Apps) hinzugefügt n SNMP Modular Input n Sideview Utils © Fraunhofer

Die Daten werden über verschiedene SNMP-Abfrage erfasst n Schematischer Aufbau der Komponenten [TEMP 14]

Die Daten werden über verschiedene SNMP-Abfrage erfasst n Schematischer Aufbau der Komponenten [TEMP 14] n Auszug der SNMP-Abfrage der Cisco MIB © Fraunhofer SNMP-Abfrage der Cisco MIB [TEMP 14]

Weiterverarbeiten der Daten zur Indizierung n Felder extrahieren und zuordnen Feldnamen, Inhalte und reguläre

Weiterverarbeiten der Daten zur Indizierung n Felder extrahieren und zuordnen Feldnamen, Inhalte und reguläre Ausdrücke [TEMP 14] n Erstellen von Key-Value-Paare n Notwendig für weitere Verarbeitung/Suchabfragen © Fraunhofer

Erkennen verschiedener IPv 6 -Adresstypen (Umgebungs -spezifisch) n Suchabfragen korrelieren mittels „Search Processing Language“

Erkennen verschiedener IPv 6 -Adresstypen (Umgebungs -spezifisch) n Suchabfragen korrelieren mittels „Search Processing Language“ n IPv 6 Adresstypen erkennen Suchkommando für Adresstypen [TEMP 14] © Fraunhofer

Umsetzen der Anforderungen als Benutzeroberfläche – Endgerät anhand von IPv 6 -Adresse finden n

Umsetzen der Anforderungen als Benutzeroberfläche – Endgerät anhand von IPv 6 -Adresse finden n Suche nach der MAC-Adresse eines Endgeräts anhand einer IPv 6 -Adresse zu einem bestimmten Zeitpunkt Suche nach einem Endgerät anhand einer IPv 6 -Adresse [TEMP 14] © Fraunhofer

Umsetzen der Anforderungen als Benutzeroberfläche – Aktive IPv 6 -Adressen in einem VLAN auflisten

Umsetzen der Anforderungen als Benutzeroberfläche – Aktive IPv 6 -Adressen in einem VLAN auflisten n Auflistung aller aktiven Adressen in einem VLAN Suche aller aktiven IPv 6 -Endgeräte in einem VLAN [TEMP 14] © Fraunhofer

Zusammenfassung n Rückverfolgen von Endgeräten mit aktivierten Privacy Extensions in eigener Umgebung muss ermöglicht

Zusammenfassung n Rückverfolgen von Endgeräten mit aktivierten Privacy Extensions in eigener Umgebung muss ermöglicht werden, z. B. für n Troubleshooting n Sicherheitsvorfälle n Anforderungen können mit Informationen aus SNMP-MIBs, die mittels Logging-System korreliert und visuell aufbereitet werden, erfüllt werden n Umgesetzt als Splunk-App n Kann um weitere Datenquellen erweitert werden © Fraunhofer

Rückverfolgen von IPv 6 -Adressen mit aktivierten Privacy Extensions Martin Turba, Fraunhofer CC-LAN IPv

Rückverfolgen von IPv 6 -Adressen mit aktivierten Privacy Extensions Martin Turba, Fraunhofer CC-LAN IPv 6 -Kongress 2014, Frankfurt, 22. Mai 2014 Kontakt: Martin Turba Fraunhofer IGD Fraunhoferstr. 5 64283 Darmstadt martin. [email protected] fraunhofer. de © Fraunhofer Kevin Templar Fraunhofer IGD Fraunhoferstr. 5 64283 Darmstadt kevin. [email protected] fraunhofer. de

Referenzen / Bildnachweise n [MSSH 11] Mc. Farland, Shannon ; Sambi, Muninder ; Sharma,

Referenzen / Bildnachweise n [MSSH 11] Mc. Farland, Shannon ; Sambi, Muninder ; Sharma, Nikhil ; Hooda, Sanjay: IPv 6 for Enterprise Networks. Cisco Press, 2011. n [BWVO 11] Barrera, David ; Wurster, Glenn ; Van Oorschot, PC: Back to the Future: Revisiting IPv 6 Privacy Extensions. In: login 36, 2011. n [TEMP 14] Templar, Kevin: Identifizieren von Endgeräten in einer Dual-Stack. Umgebung mit aktivierten IPv 6 Privacy Extensions. 2014. © Fraunhofer