1 / 26

Rückverfolgen von IPv6-Adressen mit aktivierten Privacy Extensions

Rückverfolgen von IPv6-Adressen mit aktivierten Privacy Extensions. Martin Turba, Fraunhofer CC-LAN IPv6-Kongress 2014, Frankfurt, 22. Mai 2014. Agenda. Motivation – Wozu müssen wir IPv6-Endgeräte identifizieren? Grundlagen – Dual-Stack, Adressvergabe, NDP und Privacy Extensions

kaori
Download Presentation

Rückverfolgen von IPv6-Adressen mit aktivierten Privacy Extensions

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Rückverfolgen von IPv6-Adressenmit aktivierten Privacy Extensions Martin Turba, Fraunhofer CC-LANIPv6-Kongress 2014, Frankfurt, 22. Mai 2014

  2. Agenda • Motivation –Wozu müssen wir IPv6-Endgeräte identifizieren? • Grundlagen –Dual-Stack, Adressvergabe, NDP und Privacy Extensions • Konzept und Implementierung –Anwendungsfälle identifizieren und umsetzen • Zusammenfassung

  3. Fraunhofer – über 20,000 Mitarbeiter in 60 Instituten • 60 Institute • Mehr als 20,000 Mitarbeiter • Forschungsthemen: • Gesundheit, Ernährung und Umwelt • Schutz und Sicherheit • Information und Kommunikation • Verkehr und Mobilität • Energie und Wohnen • Produktion und Umwelt

  4. Wer ist das Competence Center LAN, was machen wir? Fraunhofer-InstituteAISEC / SIT / IGD und UMSICHT Zentrale Unterstützung für alle Fraunhofer-Institute und Einrichtungen rund um das Thema LAN und LAN-verwandte Themen (z.B. Security, WAN, Mobility, Verkabelung, …)

  5. Was ist das Competence Center LAN, was machen wir? Competence Center LAN Dienstleistungen & Projekte Fraunhofer-Zentrale Industrie Fraunhofer-Institute Strategie-Prozess

  6. Motivation Wozu müssen wir IPv6-Endgeräte identifizieren?

  7. Stetiges Wachstum nativer IPv6-Anbindungen und neue Funktionen • Stetiges Wachstum nativer IPv6-Anbindungen • Neue Features mit IPv6 • Extensions Header • Privacy Extensions • … • Quelle: • https://www.ams-ix.net/technical/statistics/sflow-stats/ipv6-traffic

  8. Etablierte Netzwerkmanagement-Methoden für IPv4 sind nicht unmittelbar auf IPv6 übertragbar • Einige Fraunhofer-Institute haben IPv6 bereits produktiv im Einsatz, weitere Standorte der Fraunhofer-Gesellschaft werden für IPv6 erweitert • Erschwerte Administration und Überwachung • Etablierte Methoden wie in IPv4 können nicht mehr angewendet werden • Mangelnder Reifegrad bei Netzwerkmanagement Software für IPv6 • Keine Rückverfolgung bei Verstößen gegen Sicherheitsrichtlinien • Auffinden von falsch konfigurierten Endgeräten nicht möglich  Bachelorarbeit: Kevin Templar, „Identifizieren von Endgeräten in einer Dual-Stack-Umgebung mit aktivierten IPv6 Privacy Extensions“, Februar 2014

  9. Grundlagen Dual-Stack, Adressvergabe, NDP und Privacy Extensions

  10. Dual-Stack-Umgebung – Parallelbetrieb IPv4 und IPv6 • Paralleler Betrieb IPv4 und IPv6 • DNS unterstützt durch doppelte Records • Einfache Migrationsstrategie • Dual-Stack-Umgebung [MSSH11]

  11. Verschiedene Methoden der Vergabe von IPv6-Adressen • Statisch • Kein Unterschied zu IPv4 • Dynamisch • Stateful • DHCPv6-Server wird zur Adressenverteilung benötigt • Stateless Adress Autconfiguration (SLAAC) • MAC-Adresse als Merkmal (modified EUI-64) • Privacy Extensions • Zufällig generierte Adresse • Beispiele für SLAAC- und PE-Adressen [TEMP14]

  12. Das Neighbor Discovery Protocol entspricht in etwa dem Address Resolution Protocol in IPv4 • Entspricht etwa Address Resolution Protocol (ARP) aus IPv4 • Identifizierung von IPv6-Adresse zu MAC-Adresse • Neighbor Discovery Cache • MAC-Adresse • IPv6-Adresse • Status • Alter • Router-Interface • Zustandsdiagramm Neighbor Discovery Status [TEMP14]

  13. Zufälliges Generieren von IPv6-Adressen –IPv6 Privacy Extensions • Interface ID wird zufällig generiert • Zeitlich befristete Gültigkeit • Priorisierte Kommunikation • Dienen zur Verschleierung Diagramm zum Generierung Privacy Extensions [BWVO11]

  14. Konzept und Implementierung Anwendungsfälle identifizieren und umsetzen

  15. Zwei wesentliche Anwendungsfälle wurden untersucht • Anforderungen identifizieren • Evaluierung (freier) Software • Observium • NDPmon • Überprüfen der Varianten • Neighbor Discovery Cache • Mitschneiden des Netzwerkverkehr • Anwendungsfälle [TEMP14]

  16. Laborinfrastruktur zur Simulation einer Dual-Stack-Umgebung mit unterschiedlichen Endgeräten • Simulation Dual-Stack-Umgebung • Native IPv6-Internetanbindung • Unterschiedliche Endgeräte • Windows • Linux • Aufbau der Labor- und Entwicklungsumgebung [TEMP14]

  17. Eigene Implementierung, da getestete Software nicht die Anforderungen erfüllen konnte • Getestete Software nur sehr eingeschränkt nutzbar • Keine deckt alle Anforderungen ab • Eigene Implementierung • Auslesen Neighbor Discovery Cache • Notwendige Informationen sind im Neighbor Cache enthalten • Abfrage über SNMP möglich • Auszug Neighbor Discovery Cache [TEMP14]

  18. Eine eigene App für Splunk wurde entwickelt • Eingesetzte Software „Splunk“ • Erstellung eigener App „IPv6“ • Grundkonfiguration • Zugriffsbeschränkung • Daten nach 30 Tagen Verlauf löschen • Erweiterungen (Apps) hinzugefügt • SNMP Modular Input • Sideview Utils • Navigationsleiste der App „IPv6“ [TEMP14]

  19. Die Daten werden über verschiedene SNMP-Abfrage erfasst • Schematischer Aufbau der Komponenten • Auszug der SNMP-Abfrage der Cisco MIB • Schematischer Aufbau der Komponenten [TEMP14] • SNMP-Abfrage der Cisco MIB [TEMP14]

  20. Weiterverarbeiten der Daten zur Indizierung • Felder extrahieren und zuordnen • Erstellen von Key-Value-Paare • Notwendig für weitere Verarbeitung/Suchabfragen • Feldnamen, Inhalte und reguläre Ausdrücke [TEMP14]

  21. Erkennen verschiedener IPv6-Adresstypen (Umgebungs-spezifisch) • Suchabfragen korrelieren mittels „Search Processing Language“ • IPv6 Adresstypen erkennen • Suchkommando für Adresstypen [TEMP14]

  22. Umsetzen der Anforderungen als Benutzeroberfläche –Endgerät anhand von IPv6-Adresse finden • Suche nach der MAC-Adresse eines Endgeräts anhand einer IPv6-Adresse zu einem bestimmten Zeitpunkt • Suche nach einem Endgerät anhand einer IPv6-Adresse [TEMP14]

  23. Umsetzen der Anforderungen als Benutzeroberfläche –Aktive IPv6-Adressen in einem VLAN auflisten • Auflistung aller aktiven Adressen in einem VLAN • Suche aller aktiven IPv6-Endgeräte in einem VLAN [TEMP14]

  24. Zusammenfassung • Rückverfolgen von Endgeräten mit aktivierten Privacy Extensions in eigener Umgebung muss ermöglicht werden, z.B. für • Troubleshooting • Sicherheitsvorfälle • Anforderungen können mit Informationen aus SNMP-MIBs, die mittels Logging-System korreliert und visuell aufbereitet werden, erfüllt werden • Umgesetzt als Splunk-App • Kann um weitere Datenquellen erweitert werden

  25. Rückverfolgen von IPv6-Adressenmit aktivierten Privacy Extensions Martin Turba, Fraunhofer CC-LANIPv6-Kongress 2014, Frankfurt, 22. Mai 2014 Kontakt: Martin Turba Kevin Templar Fraunhofer IGD Fraunhofer IGDFraunhoferstr. 5 Fraunhoferstr. 564283 Darmstadt 64283 Darmstadt martin.turba@igd.fraunhofer.dekevin.templar@igd.fraunhofer.de

  26. Referenzen / Bildnachweise • [MSSH11] McFarland, Shannon ; Sambi, Muninder ; Sharma, Nikhil ; Hooda, Sanjay: IPv6 for Enterprise Networks. Cisco Press, 2011. • [BWVO11] Barrera, David ; Wurster, Glenn ; Van Oorschot, PC: Back to the Future: Revisiting IPv6 Privacy Extensions. In: login 36, 2011. • [TEMP14] Templar, Kevin: Identifizieren von Endgeräten in einer Dual-Stack-Umgebung mit aktivierten IPv6 Privacy Extensions. 2014.

More Related