Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Rückverfolgen von IPv6-Adressen mit aktivierten Privacy Extensions

Veröffentlicht von:Swanhilde Radi Geändert vor über 9 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Rückverfolgen von IPv6-Adressen mit aktivierten Privacy Extensions"—  Präsentation transkript:

1 Rückverfolgen von IPv6-Adressen mit aktivierten Privacy Extensions
Martin Turba, Fraunhofer CC-LAN IPv6-Kongress 2014, Frankfurt, 22. Mai 2014

2 Agenda Motivation – Wozu müssen wir IPv6-Endgeräte identifizieren?
Grundlagen – Dual-Stack, Adressvergabe, NDP und Privacy Extensions Konzept und Implementierung – Anwendungsfälle identifizieren und umsetzen Zusammenfassung

3 Fraunhofer – über 20,000 Mitarbeiter in 60 Instituten
Mehr als 20,000 Mitarbeiter Forschungsthemen: Gesundheit, Ernährung und Umwelt Schutz und Sicherheit Information und Kommunikation Verkehr und Mobilität Energie und Wohnen Produktion und Umwelt

4 Wer ist das Competence Center LAN, was machen wir?
Fraunhofer-Institute AISEC / SIT / IGD und UMSICHT Zentrale Unterstützung für alle Fraunhofer-Institute und Einrichtungen rund um das Thema LAN und LAN-verwandte Themen (z.B. Security, WAN, Mobility, Verkabelung, …)

5 Was ist das Competence Center LAN, was machen wir?
Strategie-Prozess Dienstleistungen & Projekte Fraunhofer-Zentrale Fraunhofer-Institute Industrie

6 Motivation Wozu müssen wir IPv6-Endgeräte identifizieren?

7 Stetiges Wachstum nativer IPv6-Anbindungen und neue Funktionen
Neue Features mit IPv6 Extensions Header Privacy Extensions Quelle:

8 Etablierte Netzwerkmanagement-Methoden für IPv4 sind nicht unmittelbar auf IPv6 übertragbar
Einige Fraunhofer-Institute haben IPv6 bereits produktiv im Einsatz, weitere Standorte der Fraunhofer-Gesellschaft werden für IPv6 erweitert Erschwerte Administration und Überwachung Etablierte Methoden wie in IPv4 können nicht mehr angewendet werden Mangelnder Reifegrad bei Netzwerkmanagement Software für IPv6 Keine Rückverfolgung bei Verstößen gegen Sicherheitsrichtlinien Auffinden von falsch konfigurierten Endgeräten nicht möglich  Bachelorarbeit: Kevin Templar, „Identifizieren von Endgeräten in einer Dual-Stack-Umgebung mit aktivierten IPv6 Privacy Extensions“, Februar 2014

9 Grundlagen Dual-Stack, Adressvergabe, NDP und Privacy Extensions

10 Dual-Stack-Umgebung – Parallelbetrieb IPv4 und IPv6
Paralleler Betrieb IPv4 und IPv6 DNS unterstützt durch doppelte Records Einfache Migrationsstrategie Dual-Stack-Umgebung [MSSH11]

11 Verschiedene Methoden der Vergabe von IPv6-Adressen
Statisch Kein Unterschied zu IPv4 Dynamisch Stateful DHCPv6-Server wird zur Adressenverteilung benötigt Stateless Adress Autconfiguration (SLAAC) MAC-Adresse als Merkmal (modified EUI-64) Privacy Extensions Zufällig generierte Adresse Beispiele für SLAAC- und PE-Adressen [TEMP14]

12 Das Neighbor Discovery Protocol entspricht in etwa dem Address Resolution Protocol in IPv4
Entspricht etwa Address Resolution Protocol (ARP) aus IPv4 Identifizierung von IPv6-Adresse zu MAC-Adresse Neighbor Discovery Cache MAC-Adresse IPv6-Adresse Status Alter Router-Interface Zustandsdiagramm Neighbor Discovery Status [TEMP14]

13 Zufälliges Generieren von IPv6-Adressen – IPv6 Privacy Extensions
Interface ID wird zufällig generiert Zeitlich befristete Gültigkeit Priorisierte Kommunikation Dienen zur Verschleierung Diagramm zum Generierung Privacy Extensions [BWVO11]

14 Konzept und Implementierung
Anwendungsfälle identifizieren und umsetzen

15 Zwei wesentliche Anwendungsfälle wurden untersucht
Anforderungen identifizieren Evaluierung (freier) Software Observium NDPmon Überprüfen der Varianten Neighbor Discovery Cache Mitschneiden des Netzwerkverkehr Anwendungsfälle [TEMP14]

16 Aufbau der Labor- und Entwicklungsumgebung [TEMP14]
Laborinfrastruktur zur Simulation einer Dual-Stack-Umgebung mit unterschiedlichen Endgeräten Simulation Dual-Stack-Umgebung Native IPv6-Internetanbindung Unterschiedliche Endgeräte Windows Linux Aufbau der Labor- und Entwicklungsumgebung [TEMP14]

17 Auszug Neighbor Discovery Cache [TEMP14]
Eigene Implementierung, da getestete Software nicht die Anforderungen erfüllen konnte Getestete Software nur sehr eingeschränkt nutzbar Keine deckt alle Anforderungen ab Eigene Implementierung Auslesen Neighbor Discovery Cache Notwendige Informationen sind im Neighbor Cache enthalten Abfrage über SNMP möglich Auszug Neighbor Discovery Cache [TEMP14]

18 Eine eigene App für Splunk wurde entwickelt
Eingesetzte Software „Splunk“ Erstellung eigener App „IPv6“ Grundkonfiguration Zugriffsbeschränkung Daten nach 30 Tagen Verlauf löschen Erweiterungen (Apps) hinzugefügt SNMP Modular Input Sideview Utils Navigationsleiste der App „IPv6“ [TEMP14]

19 Die Daten werden über verschiedene SNMP-Abfrage erfasst
Schematischer Aufbau der Komponenten Auszug der SNMP-Abfrage der Cisco MIB Schematischer Aufbau der Komponenten [TEMP14] SNMP-Abfrage der Cisco MIB [TEMP14]

20 Weiterverarbeiten der Daten zur Indizierung
Felder extrahieren und zuordnen Erstellen von Key-Value-Paare Notwendig für weitere Verarbeitung/Suchabfragen Feldnamen, Inhalte und reguläre Ausdrücke [TEMP14]

21 Erkennen verschiedener IPv6-Adresstypen (Umgebungs-spezifisch)
Suchabfragen korrelieren mittels „Search Processing Language“ IPv6 Adresstypen erkennen Suchkommando für Adresstypen [TEMP14]

22 Umsetzen der Anforderungen als Benutzeroberfläche – Endgerät anhand von IPv6-Adresse finden
Suche nach der MAC-Adresse eines Endgeräts anhand einer IPv6-Adresse zu einem bestimmten Zeitpunkt Suche nach einem Endgerät anhand einer IPv6-Adresse [TEMP14]

23 Umsetzen der Anforderungen als Benutzeroberfläche – Aktive IPv6-Adressen in einem VLAN auflisten
Auflistung aller aktiven Adressen in einem VLAN Suche aller aktiven IPv6-Endgeräte in einem VLAN [TEMP14]

24 Zusammenfassung Rückverfolgen von Endgeräten mit aktivierten Privacy Extensions in eigener Umgebung muss ermöglicht werden, z.B. für Troubleshooting Sicherheitsvorfälle Anforderungen können mit Informationen aus SNMP-MIBs, die mittels Logging-System korreliert und visuell aufbereitet werden, erfüllt werden Umgesetzt als Splunk-App Kann um weitere Datenquellen erweitert werden

25 Rückverfolgen von IPv6-Adressen mit aktivierten Privacy Extensions
Martin Turba, Fraunhofer CC-LAN IPv6-Kongress 2014, Frankfurt, 22. Mai 2014 Kontakt: Martin Turba Kevin Templar Fraunhofer IGD Fraunhofer IGD Fraunhoferstr Fraunhoferstr Darmstadt Darmstadt

26 Referenzen / Bildnachweise
[MSSH11] McFarland, Shannon ; Sambi, Muninder ; Sharma, Nikhil ; Hooda, Sanjay: IPv6 for Enterprise Networks. Cisco Press, 2011. [BWVO11] Barrera, David ; Wurster, Glenn ; Van Oorschot, PC: Back to the Future: Revisiting IPv6 Privacy Extensions. In: login 36, 2011. [TEMP14] Templar, Kevin: Identifizieren von Endgeräten in einer Dual-Stack-Umgebung mit aktivierten IPv6 Privacy Extensions

Herunterladen ppt "Rückverfolgen von IPv6-Adressen mit aktivierten Privacy Extensions"

Ähnliche Präsentationen

E-Commerce Shop System

E-Commerce Shop System
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
2. Link Layer Lernziele: Verstehen wie IP prinzipiell über eine Link Layer Verbindung übertragen wird.

2. Link Layer Lernziele: Verstehen wie IP prinzipiell über eine Link Layer Verbindung übertragen wird.
Designing Software for Ease of Extension and Contraction

Designing Software for Ease of Extension and Contraction
Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Christian Thor.

Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Christian Thor.
SQL Server 2005.NET Integration Sebastian Weber Developer Evangelist Microsoft Deutschland GmbH.

SQL Server 2005.NET Integration Sebastian Weber Developer Evangelist Microsoft Deutschland GmbH.
Firewalls.

Firewalls.
Von Torsten Burmester Hauke Buder Matthias Kaluza

Von Torsten Burmester Hauke Buder Matthias Kaluza
Konfiguration eines VPN Netzwerkes

Konfiguration eines VPN Netzwerkes
XINDICE The Apache XML Project Name: Jacqueline Langhorst

XINDICE The Apache XML Project Name: Jacqueline Langhorst
Lokale und globale Netzwerke

Lokale und globale Netzwerke
Lokale und globale Netzwerke

Lokale und globale Netzwerke
Treffen mit Siemens 10.01.2005 Siemens: Werner Ahrens Volkmar Morisse Projektgruppe: Ludger Lecke Christian Platta Florian Pepping Themen:

Treffen mit Siemens Siemens: Werner Ahrens Volkmar Morisse Projektgruppe: Ludger Lecke Christian Platta Florian Pepping Themen:
Workshop: Qualifizierung für Groupware 7. September 1999 Dortmund Herzlich willkommen zum.

Workshop: Qualifizierung für Groupware 7. September 1999 Dortmund Herzlich willkommen zum.
Erstellen eines Internetzugangs für Kongressteilnehmer

Erstellen eines Internetzugangs für Kongressteilnehmer
Smartphones im Kanzleinetz Vergleich der technischen Umsetzung COLLEGA - TAG Freitag, 27. November 2009.

Smartphones im Kanzleinetz Vergleich der technischen Umsetzung COLLEGA - TAG Freitag, 27. November 2009.
Uwe Habermann VFX 10.0 Visual Extend Produktaktivierung.

Uwe Habermann VFX 10.0 Visual Extend Produktaktivierung.
Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.

Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.
Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005.

Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005.
Netzwerkkomponenten (Hardware)

Netzwerkkomponenten (Hardware)

Ähnliche Präsentationen

Google-Anzeigen