Rückverfolgen von IPv6-Adressen mit aktivierten Privacy Extensions

Slides:



Advertisements
Ähnliche Präsentationen
E-Commerce Shop System
Advertisements

Sichere Anbindung kleiner Netze ans Internet
2. Link Layer Lernziele: Verstehen wie IP prinzipiell über eine Link Layer Verbindung übertragen wird.
Designing Software for Ease of Extension and Contraction
Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Christian Thor.
SQL Server 2005.NET Integration Sebastian Weber Developer Evangelist Microsoft Deutschland GmbH.
Firewalls.
Von Torsten Burmester Hauke Buder Matthias Kaluza
Konfiguration eines VPN Netzwerkes
XINDICE The Apache XML Project Name: Jacqueline Langhorst
Lokale und globale Netzwerke
Lokale und globale Netzwerke
Treffen mit Siemens Siemens: Werner Ahrens Volkmar Morisse Projektgruppe: Ludger Lecke Christian Platta Florian Pepping Themen:
Workshop: Qualifizierung für Groupware 7. September 1999 Dortmund Herzlich willkommen zum.
Erstellen eines Internetzugangs für Kongressteilnehmer
Smartphones im Kanzleinetz Vergleich der technischen Umsetzung COLLEGA - TAG Freitag, 27. November 2009.
Uwe Habermann VFX 10.0 Visual Extend Produktaktivierung.
Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.
Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005.
Netzwerkkomponenten (Hardware)
Chat System – Gruppe B Tim Braun, Andre Ester, Florian Müller und
IPv6 in Virtualisierungsumgebungen
Microsoft Project 2013 & Project Server 2013
Portfolio des Competence Center ECS
Produktmanagement RimatriX & Software Solutions / Fabian Schäfer / 12
MDM Systeme im Test Udo Bredemeier
Internet Protocol v6 ein Ausblick….
Kollisions-und Broadcast-Domänen CCNA 8.2.2
Service Location Protocol Ein Service Discovery Protokoll Patric Zbinden 20. März 2003.
Proof of Concept (POC) oder DeskTop Virtualisierung mit XenApp von Citrix Erziehungsdepartement Th. Anliker.
Freifach Netzwerktechnik mit Übungen
Erstellen einer Webseitenstatistik mithilfe eines OLAP-Servers
Erstellen einer Webseitenstatistik mithilfe eines OLAP-Servers
Aichinger Christian, Strasser Jürgen. Inhalt JSF EJB Praxis - Integration.
Marko Dragicevic Thomas Bergauer 27.Mai 2008
Archival and Discovery
Präsentation von Lukas Sulzer
Grundlagen der Netzwerktechnik
PRO:CONTROL Ziel des Moduls Arbeitspakete
Netzwerke.
Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains in bestehende Umgebungen Kay Sander.
Vernetzung von Rechnern
Mobility Lösungen heute GOOD for Enterprise Tobias Esser GELSEN-NET Kommunikationsgesellschaft mbH Vertrieb Geschäftskunden / Systemgeschäft.
Infoscreen 2.0.
Infoscreen 2.0. Agenda Motivation Projektorganisation Hardware Software Zukunftsvision.
W.H. Windows 2003 Server Zentrale Verwaltung der IP-Adressen im LAN mittels eines DHCP-Servers Dynamic Host Configuration Protocol.
IPv6 Von Judith Weerda Diese Vorlage kann als Ausgangspunkt für die Präsentation von Schulungsmaterialien in einer Gruppensitzung dienen. Abschnitte.
Die Management-Tools von Z&H COACH beinhalten zentrale Hilfsmittel für ein Management-System. Sorgfältig angewendet führen diese Tools Ihr Unternehmen.
EUI-64 Format. Die Interface-ID in einer IPv6 Adresse identifiziert ein einzelnes Endgerät an einem Link.
Parallele Programmierung im.NET Framework Darmstadt, Präsentation am Beispiel von C-Sharp (C#)  Wichtige Grundlagen  Generika, Delegate, Lambda,
VLAN als Thema der IHK-Prüfung
Was wäre wenn….. SNMP (Simple Network Managment Protocol)
StateLess Address AutoConfiguration
Webserver, Apache und XAMPP
Team 8 Eva Reinl, Markus Leimbach
SNMP – Simple Network Management Protocol
Analyse und Umsetzung einer Filter-basierten Paketverarbeitungsmaschine für IP-Netzwerke Lehrstuhl für Systemarchitektur und Betriebssysteme Forschungs-
Sniffing & Spoofing Workshop
IPv6 in der Praxis Vortragsreihe von Michael Dirska Hasso-Plattner-Institut Potsdam
InterSim: Modellierung von Interventionen für Infektionskrankheiten Markus Schwehm und Martin Eichner Institut für Medizinische Biometrie, Universität.
Rechen- und Kommunikationszentrum (RZ) Einführung in den Whois-Dienst Paul Skrabel Seminarraum / / Aachen Stand: Version: 1.2.
1 Entwicklung einer Android Library zur Erfassung und Versendung von Daten mobiler Geräte Seminararbeitsvortrag B.Sc. Scientific Programming Sascha Eiteneuer.
Rechen- und Kommunikationszentrum (RZ) TSM vs. inSync Seminarvortrag am von Nicole Temminghoff Betreut von: Prof. Dr. Andreas Terstegge Dr.
Rechen- und Kommunikationszentrum (RZ) Strukturierte Datensammlung in verteilten Systemen für den DHCP-Service Tim Becker Seminararbeit / /
1. Betreuer: Prof. Dr. Jörg Striegnitz 2. Betreuer: Dr. Martin Schindler Kontextsensitive Autocompletion für Klassendiagramme in der UML/P Florian Leppers.
StateLess Address AutoConfiguration
Ich brauche eine Web-Seite vom Server im Internet
Security Labor MitM-Demonstration
StateLess Address AutoConfiguration
 Präsentation transkript:

Rückverfolgen von IPv6-Adressen mit aktivierten Privacy Extensions Martin Turba, Fraunhofer CC-LAN IPv6-Kongress 2014, Frankfurt, 22. Mai 2014

Agenda Motivation – Wozu müssen wir IPv6-Endgeräte identifizieren? Grundlagen – Dual-Stack, Adressvergabe, NDP und Privacy Extensions Konzept und Implementierung – Anwendungsfälle identifizieren und umsetzen Zusammenfassung

Fraunhofer – über 20,000 Mitarbeiter in 60 Instituten Mehr als 20,000 Mitarbeiter Forschungsthemen: Gesundheit, Ernährung und Umwelt Schutz und Sicherheit Information und Kommunikation Verkehr und Mobilität Energie und Wohnen Produktion und Umwelt

Wer ist das Competence Center LAN, was machen wir? Fraunhofer-Institute AISEC / SIT / IGD und UMSICHT Zentrale Unterstützung für alle Fraunhofer-Institute und Einrichtungen rund um das Thema LAN und LAN-verwandte Themen (z.B. Security, WAN, Mobility, Verkabelung, …)

Was ist das Competence Center LAN, was machen wir? Strategie-Prozess Dienstleistungen & Projekte Fraunhofer-Zentrale Fraunhofer-Institute Industrie

Motivation Wozu müssen wir IPv6-Endgeräte identifizieren?

Stetiges Wachstum nativer IPv6-Anbindungen und neue Funktionen Neue Features mit IPv6 Extensions Header Privacy Extensions … Quelle: https://www.ams-ix.net/technical/statistics/sflow-stats/ipv6-traffic

Etablierte Netzwerkmanagement-Methoden für IPv4 sind nicht unmittelbar auf IPv6 übertragbar Einige Fraunhofer-Institute haben IPv6 bereits produktiv im Einsatz, weitere Standorte der Fraunhofer-Gesellschaft werden für IPv6 erweitert Erschwerte Administration und Überwachung Etablierte Methoden wie in IPv4 können nicht mehr angewendet werden Mangelnder Reifegrad bei Netzwerkmanagement Software für IPv6 Keine Rückverfolgung bei Verstößen gegen Sicherheitsrichtlinien Auffinden von falsch konfigurierten Endgeräten nicht möglich  Bachelorarbeit: Kevin Templar, „Identifizieren von Endgeräten in einer Dual-Stack-Umgebung mit aktivierten IPv6 Privacy Extensions“, Februar 2014

Grundlagen Dual-Stack, Adressvergabe, NDP und Privacy Extensions

Dual-Stack-Umgebung – Parallelbetrieb IPv4 und IPv6 Paralleler Betrieb IPv4 und IPv6 DNS unterstützt durch doppelte Records Einfache Migrationsstrategie Dual-Stack-Umgebung [MSSH11]

Verschiedene Methoden der Vergabe von IPv6-Adressen Statisch Kein Unterschied zu IPv4 Dynamisch Stateful DHCPv6-Server wird zur Adressenverteilung benötigt Stateless Adress Autconfiguration (SLAAC) MAC-Adresse als Merkmal (modified EUI-64) Privacy Extensions Zufällig generierte Adresse Beispiele für SLAAC- und PE-Adressen [TEMP14]

Das Neighbor Discovery Protocol entspricht in etwa dem Address Resolution Protocol in IPv4 Entspricht etwa Address Resolution Protocol (ARP) aus IPv4 Identifizierung von IPv6-Adresse zu MAC-Adresse Neighbor Discovery Cache MAC-Adresse IPv6-Adresse Status Alter Router-Interface Zustandsdiagramm Neighbor Discovery Status [TEMP14]

Zufälliges Generieren von IPv6-Adressen – IPv6 Privacy Extensions Interface ID wird zufällig generiert Zeitlich befristete Gültigkeit Priorisierte Kommunikation Dienen zur Verschleierung Diagramm zum Generierung Privacy Extensions [BWVO11]

Konzept und Implementierung Anwendungsfälle identifizieren und umsetzen

Zwei wesentliche Anwendungsfälle wurden untersucht Anforderungen identifizieren Evaluierung (freier) Software Observium NDPmon Überprüfen der Varianten Neighbor Discovery Cache Mitschneiden des Netzwerkverkehr Anwendungsfälle [TEMP14]

Aufbau der Labor- und Entwicklungsumgebung [TEMP14] Laborinfrastruktur zur Simulation einer Dual-Stack-Umgebung mit unterschiedlichen Endgeräten Simulation Dual-Stack-Umgebung Native IPv6-Internetanbindung Unterschiedliche Endgeräte Windows Linux Aufbau der Labor- und Entwicklungsumgebung [TEMP14]

Auszug Neighbor Discovery Cache [TEMP14] Eigene Implementierung, da getestete Software nicht die Anforderungen erfüllen konnte Getestete Software nur sehr eingeschränkt nutzbar Keine deckt alle Anforderungen ab Eigene Implementierung Auslesen Neighbor Discovery Cache Notwendige Informationen sind im Neighbor Cache enthalten Abfrage über SNMP möglich Auszug Neighbor Discovery Cache [TEMP14]

Eine eigene App für Splunk wurde entwickelt Eingesetzte Software „Splunk“ Erstellung eigener App „IPv6“ Grundkonfiguration Zugriffsbeschränkung Daten nach 30 Tagen Verlauf löschen Erweiterungen (Apps) hinzugefügt SNMP Modular Input Sideview Utils Navigationsleiste der App „IPv6“ [TEMP14]

Die Daten werden über verschiedene SNMP-Abfrage erfasst Schematischer Aufbau der Komponenten Auszug der SNMP-Abfrage der Cisco MIB Schematischer Aufbau der Komponenten [TEMP14] SNMP-Abfrage der Cisco MIB [TEMP14]

Weiterverarbeiten der Daten zur Indizierung Felder extrahieren und zuordnen Erstellen von Key-Value-Paare Notwendig für weitere Verarbeitung/Suchabfragen Feldnamen, Inhalte und reguläre Ausdrücke [TEMP14]

Erkennen verschiedener IPv6-Adresstypen (Umgebungs-spezifisch) Suchabfragen korrelieren mittels „Search Processing Language“ IPv6 Adresstypen erkennen Suchkommando für Adresstypen [TEMP14]

Umsetzen der Anforderungen als Benutzeroberfläche – Endgerät anhand von IPv6-Adresse finden Suche nach der MAC-Adresse eines Endgeräts anhand einer IPv6-Adresse zu einem bestimmten Zeitpunkt Suche nach einem Endgerät anhand einer IPv6-Adresse [TEMP14]

Umsetzen der Anforderungen als Benutzeroberfläche – Aktive IPv6-Adressen in einem VLAN auflisten Auflistung aller aktiven Adressen in einem VLAN Suche aller aktiven IPv6-Endgeräte in einem VLAN [TEMP14]

Zusammenfassung Rückverfolgen von Endgeräten mit aktivierten Privacy Extensions in eigener Umgebung muss ermöglicht werden, z.B. für Troubleshooting Sicherheitsvorfälle Anforderungen können mit Informationen aus SNMP-MIBs, die mittels Logging-System korreliert und visuell aufbereitet werden, erfüllt werden Umgesetzt als Splunk-App Kann um weitere Datenquellen erweitert werden

Rückverfolgen von IPv6-Adressen mit aktivierten Privacy Extensions Martin Turba, Fraunhofer CC-LAN IPv6-Kongress 2014, Frankfurt, 22. Mai 2014 Kontakt:   Martin Turba Kevin Templar Fraunhofer IGD Fraunhofer IGD Fraunhoferstr. 5 Fraunhoferstr. 5 64283 Darmstadt 64283 Darmstadt martin.turba@igd.fraunhofer.de kevin.templar@igd.fraunhofer.de

Referenzen / Bildnachweise [MSSH11] McFarland, Shannon ; Sambi, Muninder ; Sharma, Nikhil ; Hooda, Sanjay: IPv6 for Enterprise Networks. Cisco Press, 2011. [BWVO11] Barrera, David ; Wurster, Glenn ; Van Oorschot, PC: Back to the Future: Revisiting IPv6 Privacy Extensions. In: login 36, 2011. [TEMP14] Templar, Kevin: Identifizieren von Endgeräten in einer Dual-Stack-Umgebung mit aktivierten IPv6 Privacy Extensions. 2014.

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.