IPv6-Basisregelwerk mit ip6tables

Slides:



Advertisements
Ähnliche Präsentationen
Aufbau eines Netzwerkes
Advertisements

Andreas Ißleiber Netzwerk Grundlagen 10/2009 Andreas Ißleiber
Sichere Anbindung kleiner Netze ans Internet
Dominic Ziegler 12c Webprogrammierung.
Karo IT Viehmarkt Neumarkt Karo IT Neumarkt GmbH | Tel.:
Inhalt – Technische Grundlagen
Die Firewall in der Musterlösung
Agenda 1. Wie funktionieren Netzwerke ? 2. Agenda 3.
Camil Bartkowiak Serhat Cinar Leonardo Di Lella Jan Finsel
Architektur von Renardus Göttingen State and University Library, Germany (SUB) Frank Klaproth The Academic Subject.
Anforderungen an globales und privates IP-Networking Berlin - 27
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential Check Point Endpoint Security Lösung Total Access Protection.
Internet-Firewalls Vortrag im Rahmen des Seminars Verschlüsselung und Sicherheit in vernetzten Systemen 29. Juni 2001 von Michael Dirska.
Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005.
CCNA Exploration Network Fundamentals
Divide and Conquer Eclipse RCP und Spring in verteilten Anwendungen Stefan Reichert | Lufthansa Systems Benjamin Pasero | IBM Rational.
Netzwerkkomponenten (Hardware)
Internet-Protokolle Tanja Witze.
IPv6 in Virtualisierungsumgebungen
IPv6-Support für ein Linux-basiertes Unified Thread Management Produkt.
Gehärtet von Anfang an { Windows 2008: Spezielle Aufgaben }
IP Adresse / DNS / URL Bernd Liebenwein.
Internet: Funktionsweise und Dienste
DFÜ => Daten-Fern-Übertragung
Rechnerkommunikation I
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
Der Syslog Server Praktikum zu System- und Netzwerkmanagement
DIPLOM 2003 Leistungsmessungen von Ethernet Messungen von Verzögerungszeiten bei Ethernet und TCP/IP Artur Tomczak Berner Fachhochschule Hochschule für.
Discovery & Inventory. 2 2 Inhalt Discovery Sinn und Zweck des Network Scanners Einrichten des Network Scanners Prerequisites (Ports, Protokolle) LiveScan.
OpenSource Loadbalancer im Vergleich zu kommerziellen systemem Thomas stahl Diplomarbeit SS 2002.
Internet Protocol Version 6
Maximise your Knowledge! Unsere Entwicklung 2004Integration der Compu-Shack Trainingsabteilung Kooperation mit IBM IT Education Services Kooperation.
Freifach Netzwerktechnik mit Übungen
Dariusz Parys Developer Evangelist Microsoft Deutschland GmbH.
Grundlagen der Netzwerktechnik
Absicherung eines produktiven Webservers und Entdeckung von Angreifern
© All rights reserved. Zend Technologies, Inc. Jenseits von var_dump(): Debugging in ZF Jan Burkl System Engineer.
Netzwerke.
1 Ergänzung der Dokumentation zum Thema: Voice over IP Risiken und Sicherheit Jan Stumpf / Jochen Theobald.
QIS/LSF Dr. Martin Klingspohn.
Stand: Version: LANCOM Systems GmbH Stand: Version:
Ciiema CITEM - Dr. Siegl VU Dr. Manfred Siegl ENTWURF, ERRICHTUNG, BETRIEB VON DATENNETZEN VU Dr. Manfred Siegl
Netzwerke.
Quellen: Internet INTRANET Ausarbeitung von Sven Strasser und Sascha Aufderheide im Modul Netzwerktechnik, Klasse INBS Mai 2003.
SMC2804WBRP-G Barricade g 2.4GHz 54Mbps Wireless Barricade Breitband Router mit USB Print Server SMC2804WBRP-G
Folie Beispiel für eine Einzelauswertung der Gemeindedaten (fiktive Daten)
Netz mit 2 Rechnern Crossover-Kabel / /24.
IT Security Cross Protocol Scripting & NAT Pinning Emanuel Klein.
Einführung in Rechnernetze - Erarbeiten des Praktikums Semesterarbeit Sommersemester 2000 Prof. B. Plattner Betreuung: Nathalie Weiler 6. Mai 2000 Lukas.
Konfiguration zu W2K3S Server
CAS ICT Modul Netzwerk Christoph Röthenmund
W.H. Windows 2003 Server Zentrale Verwaltung der IP-Adressen im LAN mittels eines DHCP-Servers Dynamic Host Configuration Protocol.
IPv6 Von Judith Weerda Diese Vorlage kann als Ausgangspunkt für die Präsentation von Schulungsmaterialien in einer Gruppensitzung dienen. Abschnitte.
Folie Einzelauswertung der Gemeindedaten
Webinterface für IPTABLES
JABBA: Flexibles Web - Interface Semesterarbeit von Thomas Zwicker, Thomas Moser und Lukas Karrer Prof. L. Thiele Betreuung: J. Greutert TIK ETH Zürich.
Was heißt hacken? Referat von Jasmin Woock Universität zu Köln
Exploiting Web Applications
Virtual Private Network
Linux-basierte Firewall Konzepte © 2001 Till Hänisch Linux basierte Firewall Konzepte  Prinzip  Konzepte  Implementierung mit Linux basierte.
LINUX II Harald Wegscheider
Datenkommunikation Prof. Dr. Marke SS 2006 Seminar-Thema : IPTABLE Aufbau und Funktion Vortrag : Kulyk Nazar.
Netzwerke und Netzwerktools Franz Schäfer LV Linux: Effiziente Anwendung anhand von Fallbeispielen.
Netzwerkgrundlagen Franz Schäfer LV Linux: Effiziente Anwendung an Hand von Fallbeispielen.
Othmar GsengerErwin Nindl Christian Pointner. Inhalt Was ist Anycast? Secure Anycast Tunneling Protocol (SATP) Was ist Anytun Verschlüsselung Live Demo.
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
Crashkurs Computernetzwerke
Othmar Gsenger Erwin Nindl Christian Pointner
 Präsentation transkript:

IPv6-Basisregelwerk mit ip6tables Eric Amberg ATRACON – Amberg Training & Consulting 22. Mai 2014

Eric Amberg – wer ist das? Diplom-Kaufmann (FH Berlin) seit 1998 Netzwerk & Security seit 2003 Firewall-Administration in großen Unternehmen seit 2009 selbständig als IT-Consultant und –Trainer (Cisco, Linux) Außerdem Buchautor und Autor von Publikationen in Fachartikeln (Schwerpunkt IPv6) Autor des wahrscheinlich umfassendsten deutschsprachigen IPv6-Videotrainings (www.ipv6-akademie.de) Betreiber der IPv6-Plattform "IPv6-World" (www.ipv6-world.de) CCNP CCNP Security CCNP Voice CISSP LPIC-2 Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

Worum geht es hier eigentlich? IPv6-Firewalls im Allgemeinen ip6tables als Beispiel-Implementierung IPv6 <-> IPv4 – Unterschiede und Gemeinsamkeiten essentielle Firewall-Regeln Tipps & Tricks und Fallstricke Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables IPv6 und die Firewalls Die "heile" IPv4-Welt Wozu Firewalls? Wir haben NAT! Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

IPv6 und die Firewalls Die "unheilvolle" IPv6-Welt Unser NAT ist weg! Wir sind verloren … Die "unheilvolle" IPv6-Welt Sagt mir, wenn es vorbei ist … Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

IPv6 und die Firewalls Doch der Ritter in strahlender Rüstung naht: Grüß Gott! Ich bin es, die Firewall Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables IPv6 und die Firewalls Firewalls gehören seit jeher zur Perimeter-Sicherheit – NAT war immer nur eine Krücke! Firewall-Typen: Personal Firewalls Netzwerk-Firewalls Packet Filter Stateful Filter Application Gateway Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

IPv6 und die Firewalls Wie implementiere ich eine IPv6-Netzwerk-Firewall? Grundsätzlich: genau wie eine IPv4-Firewall ??? Alternativen: IPv4-Firewall Internet LAN IPv6-Firewall Eine Firewall für jeden Stack Internet LAN IPv6/IPv4-Firewall Eine Firewall für beide Stacks Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables Das Szenario Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables Das Szenario Anforderungen an die Internet-Firewall: Schutz der internen Systeme vor Angriffe aus dem Internet Schutz des Servers in der DMZ: Webserver Mailserver Zugriffskontrolle auf die Firewall selbst: DNS-Server für das LAN DHCP-Server für das LAN Remote-Administration via SSH und HTTPS Management via SNMP Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

Das Netfilter-Framework Wichtige Bestandteile: ebtables: Ethernet Bridging arptables: MAC-Filter iptables: IPv4-Filter ip6tables: IPv6-Filter nftables: Nachfolger der *tables conntrack: Verbindungsverfolgung ulogd2: Eventbenachrichtigung Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

Was ist ip6tables? Kernel-Modul ip6_tables Userspace-Programm Administration und Steuerung Schnittstelle zwischen dem Administrator und dem Kernel Regeln für IPv6-Filterung Syntax analog zu iptables für IPv4 Erweiterbar durch Module seit Kernel 2.6.20 mit Conntrack Linux-Kernel Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

Wie funktioniert ip6tables? RTFM: http://ipset.netfilter.org/ip6tables.man.html Regelbeispiele: ip6tables –P INPUT DROP ip6tables –A INPUT –i lo –j ACCEPT ip6tables -A INPUT -s 2002::/16 -j DROP ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ip6tables -A INPUT -i $LAN_IF -s $LAN_NET -p tcp -m multiport \ - -dport 22,80,443 -j ACCEPT ip6tables -A FORWARD ! -i eth1 -p icmpv6 --icmpv6-type 128 -j ACCEPT Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

Routing aktiviert? sysctl -w net.ipv6.conf.all.forwarding=1 Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables Auf was kommt es an? Eigenständige Firewall-Plattform oder IPv4 und IPv6 auf einer Plattform? Fundiertes Know-how über IPv6 -> größte Fehlerquelle! Kein NAT – die Firewall muss alles abfangen! Antispoofing -> erlaubte Adressbereiche definieren Tunnel-Mechanismen -> unerwünschten Tunnel-Traffic filtern ICMPv6-Typen -> sauber filtern Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

Das Regelwerk vorbereiten # Interface-Definitionen WAN_IF=eth1 LAN_IF=eth0 DMZ_IF=eth2 LAN_NET=2001:db8:1::/64 DMZ_NET=2001:db8:2::/64 # Das Regelwerk loeschen ip6tables -F # Eine Policy definieren ip6tables -P INPUT DROP ip6tables -P FORWARD DROP ip6tables -P OUTPUT DROP # Loopback-Kommunikation erlauben ip6tables -A INPUT -i lo -j ACCEPT ip6tables -A OUTPUT -o lo -j ACCEPT Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

Stateful-Inspection Conntrack-Modul: CONFIG_NF_CONNTRACK_IPV6 # Stateful-Inspection aktivieren ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT ip6tables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

+ Anti-Spoofing Schutz vor gefälschten IPv6-Adressen (Spoofing) durch: Definition der betreffenden Interfaces in der Regel Verwerfen von Traffic mit Absenderadressen an falschen Interfaces # Antispoofing ip6tables -A INPUT ! -i lo -s ::1/128 -j DROP ip6tables -A INPUT -i $WAN_IF -s FC00::/7 -j DROP ip6tables -A FORWARD -s ::1/128 -j DROP ip6tables -A FORWARD -i $WAN_IF -s FC00::/7 -j DROP Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

IPv6-Tunnel-Traffic Tunnel-Technologien: 6to4: 2002::/16 Teredo: 2001:0::/32 ISATAP: Protocol 41 # Tunnel-Praefixe blocken (ip6tables) ip6tables -A INPUT -s 2002::/16 -j DROP ip6tables -A INPUT -s 2001:0::/32 -j DROP ip6tables -A FORWARD -s 2002::/16 -j DROP ip6tables -A FORWARD -s 2001:0::/32 -j DROP # IPv6 in IPv4 blocken (iptables) iptables -A INPUT -p 41 -j DROP iptables -A FORWARD -p 41 -j DROP Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

Administration muss sein Administration via: SSH: Port 22/tcp HTTPS: Port 443/tcp SNMP: Ports 161/udp + 162/udp # Administration ip6tables -A INPUT -i $LAN_IF -s $LAN_NET -p tcp -m multiport \ --dport 22,443 -j ACCEPT # SNMP-Get von der Management-Station ip6tables –A INPUT –i $LAN_IF –s $LAN_NET –p udp --dport 161 –j ACCEPT # SNMP-Traps von der Firewall ip6tables –A OUTPUT –o $LAN_IF –d $LAN_NET –p udp --dport 162 –j ACCEPT Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

DNS-Traffic DNS kann über die folgenden Wege genutzt werden: Gateway als DNS-Server DNS-Server im LAN DNS-Server im Internet # DNS-Traffic (Firewall als DNS-Server) ip6tables -A INPUT -i $LAN_IF -s $LAN_NET -p udp --dport 53 -j ACCEPT ip6tables -A OUTPUT -p udp --dport 53 -j ACCEPT # DNS-Traffic vom LAN ins Internet ip6tables -A FORWARD -i $LAN_IF -s $LAN_NET -p udp --dport 53 -j ACCEPT Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables Web- und Mail-Traffic Typischer Traffic: LAN-Clients DMZ-Server # Web und Mail aus dem LAN ip6tables -A FORWARD -i $LAN_IF -s $LAN_NET -p tcp -m multiport --dport 25,80,443 -j ACCEPT # Mail aus der DMZ ip6tables –A FORWARD –i $DMZ_IF –s $DMZ_NET –p tcp --dport 25 –j ACCEPT # Web und Mail aus dem Internet ip6tables -A FORWARD -i $WAN_IF -s 2000::/3 -d $DMZ_NET -p tcp -m multiport --dport 25,80,443 -j ACCEPT Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

Und was ist mit ICMPv6? ICMPv6 ist gefährlich! … wirklich? Am besten alles sperren? Neighbor Discovery Statusmeldungen Router Discovery Fehlermeldungen Path MTU Discovery Renumbering http://www.iana.org/assignments/icmpv6-parameters/icmpv6-parameters.xhtml Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

ICMPv6 und die Firewall ICMPv6 ist integraler Bestandteil von IPv6! INPUT/OUTPUT-Chain FORWARD-Chain Weitere ICMPv6-Typen Neighbor Discovery Neighbor Solicitation (Typ 135) Neighbor Advertisement (Typ 136) Path MTU Discovery Packet Too Big (Typ 2) Multicast Listener Discovery (MLD) (Typen 130, 131 und 132) Weitere Fehlermeldungen Destination Unreachable (Typ 1) Time Exceeded (Typ 3) Parameter Problem (Typ 4) Router Discovery Router Solicitation (Typ 133) Router Advertisement (Typ 134) Redirect (Typ 137) Mobile IPv6 (Typen 144 bis 147) Path MTU Discovery Packet Too Big (Typ 2) Ping von intern (?) Echo Request (Typ 128) Echo Reply (Typ 129) Ping von intern (?) Echo Request (Typ 128) Echo Reply (Typ 129) Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables ICMPv6 filtern Beispiel-Regeln: # Ping-Request von Firewall, LAN und DMZ ip6tables -A OUTPUT -p icmpv6 --icmpv6-type 128 -j ACCEPT ip6tables -A FORWARD ! -i $WAN_IF -p icmpv6 --icmpv6-type 128 -j ACCEPT # Ping-Request auf Firewall von LAN und DMZ ip6tables -A INPUT ! –i $WAN_IF -p icmpv6 --icmpv6-type 128 -j ACCEPT # Neighbor Discovery ein- und ausgehend ip6tables -A INPUT -p icmpv6 --icmpv6-type 135 -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type 136 -j ACCEPT ip6tables -A OUTPUT -p icmpv6 --icmpv6-type 135 -j ACCEPT ip6tables -A OUTPUT -p icmpv6 --icmpv6-type 136 -j ACCEPT Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

NFtables – der iptables-Nachfolger Fakten zu ip(6)tables: wird seit 13 Jahren eingesetzt nutzt komplizierte Regel-Syntax zeigt Performance-Schwächen enthält viel redundanten Code (Flickwerk) liefert wenig übergreifende Subkomponenten Projekt ist schwierig zu warten Fakten zu NFtables: ist seit Kernel 3.13 integriert nutzt intuitive Regel-Syntax ist performanter als iptables (VM innerhalb des Kernels) übergreifende und einheitliche Subkomponenten flexibler Code, einfach zu warten bietet Kompatibilität zu iptables Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

nft – das Frontend zu NFtables Beispiel-Regeln: # Neighbor-Discovery eingehend erlauben nft add rule ip6 filter input icmpv6 type nd-neighbor-solicit accept nft add rule ip6 filter input icmpv6 type nd-router-advert accept # Telnet, HTTP und HTTPS eingehend erlauben nft add rule ip6 filter input tcp dport {telnet, http, https} accept # SSH-Forwarding verbieten und protokollieren nft add rule ip6 filter forward tcp dport 22 log drop # Kommunikation durch die FW zu 192.168.1.0/24 verbieten und zählen nft add rule ip6 filter forward ip daddr 192.168.1.0/24 counter drop Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

IPv6-Basisregelwerk mit ip6tables Vielen Dank für Ihre Aufmerksamkeit! Fragen Copyright © 2014 Eric Amberg IPv6-Basisregelwerk mit ip6tables

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2025 SlidePlayer.org Inc. All rights reserved.