IPV6-SECURITY SICHERHEITSLÜCKEN IM ROUTER …

©Manuel Grob, Dr. Erwin Hoffmann, FH Frankfurt/Main - FB2 IPv6-Kongress 2012

Manuel Grob und Dr. Erwin Hoffmann

Fachbereich Informatik und Ingenieurwissenschaften

Fachhochschule Frankfurt am Main

IPV6-SECURITY:SICHERHEITSLÜCKEN IM ROUTER-

ADVERTISEMENT-PROTOKOLL

1Dienstag, 15. Mai 2012


•Arbeitsweise der Router Solication und Prefix Discovery für SLAAC.

•Angriffsmöglichkeiten durch Implementierungsschwächen in den Endsystemen.

• IPv6-Stack einiger Betriebssysteme.

•Mögliche Lösungsvorschläge und Workarounds.

Agenda


RS und RA im Netzsegment | Angriffsmöglichkeiten mittels RAs | IPv6-Parametrierung der OSs | RADVD | Lösungsansätze & Workarounds


Neighbor Discovery

NUDDAD

NS/NA

NS/NA RS/RA

PrefixDiscovery

Advanced1 Source link address

3 Prefix + Lifetime

Basic1 Source link address

3 Prefix + Lifetime

5 MTU

24 Route + Lifetime

25 DNS-Forwarder + Search-list

SLAAC




Router Solicitationund

Router Advertisement

Ablauf des üblichen Verfahrens




Router

MAC 00-00-00-04-BA-BE

SLAAC fe80::0200:00ff:fe04:babe

All-Nodes ff02::1

SNMA ff02::1:04:babe

Cafe

ff02::

2

fe80::

...:affe

ICMPv

6

Typ 1

33

Sour

ce lin

k-laye

r add

ress

MAC 00-00-00-04-CA-FE

SLAAC fe80::0200:00ff:fe04:cafe

All-Nodes ff02::1

SNMA ff02::1:04:cafe

Babe

MAC 00-00-00-04-AF-FE

SLAAC fe80::0200:00ff:fe04:affe

All-Nodes ff02::1

All-Router ff02::2

SNMA ff02::1:04:affe

Solicitation

Nodes ermitteln Router im Segment mit einer All-Router RA SOLICITATION

Multicast.




Router

MAC 00-00-00-04-BA-BE


All-Nodes ff02::1


Cafe

MAC 00-00-00-04-CA-FE


All-Nodes ff02::1


Babe

MAC 00-00-00-04-AF-FE


All-Nodes ff02::1

All-Router ff02::2


fe80::...:affe

ff02::1

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

fe80::...:affe

ff02::1

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

Multicast-Advertisement

Router sendet All-Node MulticastADVERTISEMENT

an die Nodes.




Alternative„A router MAY choose to unicast the response

directly to the soliciting host‘s address (...),

but the usual case is to multicast the response to the all-nodes group.“

RFC 4861, Sec. 6.2.6




fe80::...:affe

fe80::...:cafe

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

Router

MAC 00-00-00-04-BA-BE


All-Nodes ff02::1


Cafe

MAC 00-00-00-04-CA-FE


All-Nodes ff02::1


Babe

MAC 00-00-00-04-AF-FE


All-Nodes ff02::1

All-Router ff02::2


Unicast-Advertisement

Unicast RA wird an die LLU des Clients verschickt.




UnsoliticitedRouter Advertisements




Router

MAC 00-00-00-04-BA-BE


All-Nodes ff02::1


Cafe

MAC 00-00-00-04-CA-FE


All-Nodes ff02::1


Babe

MAC 00-00-00-04-AF-FE


All-Nodes ff02::1

All-Router ff02::2


fe80::...:affe

ff02::1

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

fe80::...:affe

ff02::1

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

Unsolicited RouterAdvertisements

Router sendet periodischAll-Node MulticastADVERTISEMENT

an alle Nodes.




•IPv6-fähiger Client sendet RS an All-Router Multicast-Adresse.

•Router beantwortet das Paket mittels RA

•entweder an die All-Nodes Multicast-Adresse

•oder an die Link-Local Unicast-Adresse des anfragenden Clients

•und berechnet seine Timer für Unsolicited RAs neu.

•Client generiert sich eine IPv6-Adresse (EUI-64-Verfahren).




Router Solicitationund

Router Advertisement

Ablauf mit DHCPv6 managed Adresse




MAC 00-00-00-04-BA-BE


All-Nodes ff02::1


Cafe

MAC 00-00-00-04-CA-FE


All-Nodes ff02::1


Babe

MAC 00-00-00-04-AF-FE


All-Nodes ff02::1

All-Router ff02::2


MAC 00-00-00-04-FE-10

SLAAC fe80::0200:00ff:fe04:fe10

All-Nodes ff02::1

All DHCPv6 ff02::1:2

SNMA ff02::1:04:fe10

DHCPv6-ServerRouter

ff02::2

fe80::...:affe

ICM

Pv6

Typ 133

Source link-layer address

Router-Solicitation

Nodes suchen zunächst Router im Segment

per SOLICITATION.




MAC 00-00-00-04-BA-BE


All-Nodes ff02::1


MAC 00-00-00-04-CA-FE


All-Nodes ff02::1


MAC 00-00-00-04-AF-FE


All-Nodes ff02::1

All-Router ff02::2


MAC 00-00-00-04-FE-10


All-Nodes ff02::1



Cafe

Babe

DHCPv6-ServerRouter

fe80::...:affe

fe80::...:cafe

ICMPv6

Typ 134

M

Router-Advertisement

erfolgt per Unicastmit gesetztem M-Flag.




MAC 00-00-00-04-BA-BE


All-Nodes ff02::1


MAC 00-00-00-04-CA-FE


All-Nodes ff02::1


MAC 00-00-00-04-AF-FE


All-Nodes ff02::1

All-Router ff02::2


MAC 00-00-00-04-FE-10


All-Nodes ff02::1



Cafe

Babe

DHCPv6-ServerRouter

fe80::

...:affe

ff02::

1:3

DHCPv6

Solici

t

DHCPv6-Solicit

Client sendet All-DHCPv6-Server SOLICIT Multicast.




MAC 00-00-00-04-BA-BE


All-Nodes ff02::1


MAC 00-00-00-04-CA-FE


All-Nodes ff02::1


MAC 00-00-00-04-AF-FE


All-Nodes ff02::1

All-Router ff02::2


MAC 00-00-00-04-FE-10


All-Nodes ff02::1



Cafe

Babe

DHCPv6-ServerRouter

fe80::...:fe10

fe80::...:cafe

DHCPv6

Advertise

DHCPv6-Advertise

Mögliche Server reagieren mit einem ADVERTISE an die LLU Adresse des

Clients.




MAC 00-00-00-04-BA-BE


All-Nodes ff02::1


MAC 00-00-00-04-CA-FE


All-Nodes ff02::1


MAC 00-00-00-04-AF-FE


All-Nodes ff02::1

All-Router ff02::2


MAC 00-00-00-04-FE-10


All-Nodes ff02::1



Cafe

Babe

DHCPv6-ServerRouter

fe80::

...:affe

ff02::

1:3

DHCPv6

Requ

est

DHCPv6-Request

Der Client hat einen DHCPv6-Server ausgewählt und versendet einen

Multicast REQUEST.




MAC 00-00-00-04-BA-BE


All-Nodes ff02::1


MAC 00-00-00-04-CA-FE


All-Nodes ff02::1


MAC 00-00-00-04-AF-FE


All-Nodes ff02::1

All-Router ff02::2


MAC 00-00-00-04-FE-10


All-Nodes ff02::1



Cafe

Babe

DHCPv6-ServerRouter

fe80::...:fe10

fe80::...:cafe

DHCPv6

Confirm

2001::/128

DHCPv6-Confirm

Der Server antwortet mit einem CONFIRM an LLU des Clients unter Angabe der

IPv6-Parameter und möglicher Optionen.




•IPv6-fähiger Client sendet RS an All-Router Multicast-Adresse.

•Router beantwortet das Paket mittels RA mit gesetztem M-Flag.

•Client sendet DHCPv6-Solicit an All-DHCPv6-Relay-and-Server-Adresse ff02::1:2.

•Die DHCPv6-Server im Netzsegment antworten mit einem Advertise.

•Der Client sendet einen Request an einen von ihm ausgewählten Server.

•Dieser antwortet mit DHCPv6-Confirm, das die IPv6-Adresse und eventuelle Optionen des Clients enthält.

→ Client agiert im Gegensatz zu DHCP bei IPv4 nicht aktiv, sondern wird durch eine RA-Nachricht mit gesetztem M-Flag getriggert.




Angriffsmöglichkeiten mittels des RA-Verfahrens

Prefix Flooding des Netzsegments




Router

MAC 00-00-00-04-BA-BE


All-Nodes ff02::1


Cafe

MAC 00-00-00-04-CA-FE


All-Nodes ff02::1


Babe

MAC 00-00-00-04-AF-FE


All-Nodes ff02::1

All-Router ff02::2


Efe

MAC 00-00-00-04-AA-BB

SLAAC fe80::0200:00ff:fe04:aabb

All-Nodes ff02::1

All-Router ff02::2

SNMA ff02::1:04:aabb

fe80::...:affe

ff02::1

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

fe80::...:affe

ff02::1

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

fe80::...:affe

ff02::1

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

fe80::...:affe

ff02::1

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

fe80::...:affe

ff02::1

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

fe80::...:aabb

ff02::1

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

fe80::...:affeff02::1

ICMPv6 Typ 134

Prefix=2001::/64Route=2001::/64

fe80::...:affeff02::1

ICMPv6 Typ 134

Prefix=2001::/64Route=2001::/64

fe80::...:affeff02::1

ICMPv6 Typ 134

Prefix=2001::/64Route=2001::/64

fe80::...:affeff02::1

ICMPv6 Typ 134

Prefix=2001::/64Route=2001::/64

fe80::...:affeff02::1

ICMPv6 Typ 134

Prefix=2001::/64Route=2001::/64

fe80::...:aabbff02::1

ICMPv6 Typ 134

Prefix=2001::/64Route=2001::/64

Flooding

Angreifer flutet Netzsegment mit RAs, die eine Serie von Präfixen

enthalten.2001:1:2:3:4:ff:fe04:babe

2001:2:3:4:5:ff:fe04:babe

2001:3:4:5:6:ff:fe04:babe

2001:4:5:6:7:ff:fe04:babe

2001:5:6:7:8:ff:fe04:babe

2001:6:7:8:9:ff:fe04:babe

2001:7:8:9:0:ff:fe04:babe

2001:8:9:0:a:ff:fe04:babe

2001:9:0:a:b:ff:fe04:babe

2001:0:a:b:c:ff:fe04:babe21Dienstag, 15. Mai 2012



•Efe flutet das Netzsegment mit RAs, die ein zufälliges Präfix enthalten.

•Client wird dadurch veranlasst, für jedes erhaltene Präfix eine IPv6-Adresse zu bilden (EUI-64-Verfahren).

•Zusätzlich muss der Client temporäre IPv6-Adressen bilden (→ Privacy Extension).

•Client friert nach gewisser Anzahl erhaltener RAs ein.

•Cold Reboot erforderlich.




Angriffsmöglichkeiten mittels des RA-Verfahrens

Route Obfuscation




Router

MAC 00-00-00-04-BA-BE


All-Nodes ff02::1


Cafe

MAC 00-00-00-04-CA-FE


All-Nodes ff02::1


Babe

MAC 00-00-00-04-AF-FE


All-Nodes ff02::1

All-Router ff02::2


Efe

MAC 00-00-00-04-AA-BB


All-Nodes ff02::1

All-Router ff02::2


fe80::...:aabb

ff02::1

ICMPv6

Typ 134

Preference

high

Route=

2001::/64

fe80::...:aabbff02::1

ICMPv6 Typ 134

Preferencehigh Route=2001::/64

Obfuscation

Angreifer gibt sich als höchst priorisierter Router bekannt und leitet das Default Gateway der

Clients um.




Router

MAC 00-00-00-04-BA-BE


All-Nodes ff02::1


Cafe

MAC 00-00-00-04-CA-FE


All-Nodes ff02::1


Babe

MAC 00-00-00-04-AF-FE


All-Nodes ff02::1

All-Router ff02::2


Efe

MAC 00-00-00-04-AA-BB


All-Nodes ff02::1

All-Router ff02::2


fe80::...:cafe

fe80::...:aabb

Payload

fe80::...:babe

fe80::...:aabb

Payload

Spoofing

Clients senden auslaufende IPv6 Pakete über gespooftes Default

Gateway.




•Efe versendet RA-Nachrichten als höchst priorisierter Router mit gespoofter Default Gateway Adresse (→ Preference high).

•Clients werden veranlasst, Pakete für externe Segmente über dieses Gateway zu verschicken.

→ Pakete werden somit entführt und können extern analysiert werden

→ Für die Clients ist keine externe Verbindungsaufnahme mehr möglich.




IPv6-Parametrierungder Betriebssysteme




Linux (3.2)

ifconfigip

Interface-Konfiguration

ip -6 addr show dev eth0ip -6 addr add fe80::1/128 dev eth0ip -6 maddr show dev eth0

sysctl

Kernel-Konfiguration

net.ipv6.conf.all.accept_ra_pinfo=1net.ipv6.conf.default.accept_ra_pinfo=1net.ipv6.conf.eth0.accept_ra_pinfo=1net.ipv6.conf.lo.accept_ra_pinfo=1

/proc


/proc/sys/net/ipv6/

accept_ra - BOOLEAN Accept Router Advertisements; autoconfigure using them.

Possible values are: 0 Do not accept Router Advertisements. 1 Accept Router Advertisements if forwarding is disabled. 2 Overrule forwarding behaviour. Accept Router Advertisements even if forwarding is enabled.

Functional default: enabled if local forwarding is disabled. disabled if local forwarding is enabled.




ifconfig/netstat


ifconfig lnc0 inet6 fe80::1ifconfig lnc0 inet6 fe80::1 deletenetstat -g

rc.conf


ipv6_enable="YES"ifconfig_IF_ipv6="inet6 accept_rtadv"ifconfig_IF_ipv6="inet6 -accept_rtadv"

sysctl Kernel-Konfiguration

net.inet6.ip6.accept_rtadv=0|1net.inet6.ip6.forwarding=0|1

FreeBSD (8.2/9.0)




System-einstellungen


ifconfig/netstat


ifconfig en0 inet6 fe80::1ifconfig en0 inet6 fe80::1 deletenetstat -g

sysctlKernel-Konfiguration

net.inet6.ip6.kame_version: 2009/apple-darwinnet.inet6.ip6.use_tempaddr: 1net.inet6.ip6.prefer_tempaddr: 1net.inet6.ip6.forwarding: 0net.inet6.ip6.maxifprefixes: 16net.inet6.ip6.maxifdefrouters: 16

MacOS X (10.7)




Netzwerk-einstellungen


netshInterface-/Kernel-Konfiguration

netsh interface ipv6> show siteprefixes

Prefix Valid until Interface-----------------------------------------2001:4dd0:ff00::/48 23h59m57s LAN connection

netsh interface ipv6> set interface IFIDX routerdiscovery=disabled

Windows (XP)




Ist-Zustand

Linux FreeBSD MacOS X Windows

Prefix limit x (?) 10 16 nein

Multicast control

sysctlsysctl/ifconfig

sysctl netsh

RDNSS support

nur mit NetworkManager

nein ?nur mit

Zusatz-SW




Router Advertisementsaus Sicht des RADVDs




radvd.conf

interface eth0 { AdvSendAdvert on ; MinRtrAdvInterval 3;MaxRtrAdvInterval 10;

prefix 2001:db8:1:0::/64 { };

route 2001::/64 { AdvRoutePreference high ; AdvRouteLifetime 3600;

};

RDNSS 2001:db8::1 2001:db8::2 { };

DNSSL branch.example.com example.com { };

}

fe80::...:affe

fe80::...:cafe

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

RouterMAC 00-00-00-04-BA-BE


All-Nodes ff02::1


Cafe

MAC 00-00-00-04-CA-FE


All-Nodes ff02::1


Babe

fe80::...:affe

ff02::1

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

clients fe80::0200:00ff:fe04:babe fe80::0200:00ff:fe04:cafe { };

Unicast Router Advertisements

mittels RADVD.




•Unicast Router Advertisements sind realisierbar mit RADVD.

→ Dadurch werden keine Multicasts-Nachrichten mehr versendet.

•Clients müssen explizit mit ihrer IPv6-Adresse konfiguriert werden.

→ Keine Lösung für Nodes mit Privacy Extension.



©Manuel Grob, Dr. Erwin Hoffmann, FH Frankfurt/Main - FB2 IPv6--Kongress 2012

Lösungsansätze

auf Betriebssystemebene




Lösungsansätzeauf Betriebssystemebene

Hardening

Begrenzen der Anzahl an zu generierenden IPv6-Adressen, die durch RAs bekanntgegeben wurden.


Möglichkeit, RA-Pakete, die an die All-Nodes Multicast-Adresse gesendet werden, zu blockieren.

Stateful Solicitation

RA-Pakete werden nur innerhalb einer Zeitspanne nach dem Senden eines entsprechenden RS’ akzeptiert.




Hardening

durch Limitierung der IPv6-Präfixe




Router

MAC 00-00-00-04-BA-BE


All-Nodes ff02::1


Cafe

Babe

MAC 00-00-00-04-AF-FE


All-Nodes ff02::1

All-Router ff02::2


Efe

MAC 00-00-00-04-AA-BB


All-Nodes ff02::1

All-Router ff02::2


fe80::...:affe

ff02::1

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

fe80::...:affe

ff02::1

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

fe80::...:affe

ff02::1

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

fe80::...:affe

ff02::1

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

fe80::...:affe

ff02::1

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

fe80::...:aabb

ff02::1

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

fe80::...:affeff02::1

ICMPv6 Typ 134

Prefix=2001::/64Route=2001::/64

fe80::...:affeff02::1

ICMPv6 Typ 134

Prefix=2001::/64Route=2001::/64

fe80::...:affeff02::1

ICMPv6 Typ 134

Prefix=2001::/64Route=2001::/64

fe80::...:affeff02::1

ICMPv6 Typ 134

Prefix=2001::/64Route=2001::/64

fe80::...:affeff02::1

ICMPv6 Typ 134

Prefix=2001::/64Route=2001::/64

fe80::...:aabbff02::1

ICMPv6 Typ 134

Prefix=2001::/64Route=2001::/64

Flooding

DOS-Angriff mittels Floodings läuft ins Leere.

2001:1:2:3:4:ff:fe04:babe

2001:2:3:4:5:ff:fe04:babe

2001:3:4:5:6:ff:fe04:babe

2001:4:5:6:7:ff:fe04:babe

2001:5:6:7:8:ff:fe04:babe

2001:6:7:8:9:ff:fe04:babeBetriebssystem limitiertdie Anzahl der akzeptierten Präfixe.

sysctl accept_maxprefix(MacOS X: net.inet6.ip6.maxifprefixes: 16)




Hardening

durch Limitierung der Router Advertisements




Router

Cafe

Babe

MAC 00-00-00-04-AF-FE


All-Nodes ff02::1

All-Router ff02::2


fe80::...:affe

ff02::1

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

fe80::...:affe

ff02::1

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

Router Advertisements

werden verworfen.

Linuxsysctl net.ipv6.conf.all.accept_ra_pinfo=0sysctl net.ipv6.conf.default.accept_ra_pinfo=0sysctl net.ipv6.conf.X.accept_ra_pinfo=0

FreeBSDsysctl net.inet6.ip6.accept_rtadv=0ifconfig_IF_ipv6="inet6 -accept_rtadv"

MacOS X sysctl net.inet6.ip6.accept_rtadv=0

Windowsnetsh interface ipv6 set interface IFIDX routerdiscovery=disabled




• Bei Linux haben die globalen (sysctl) Filtermechanismen des Kernels keine Wirkung auf die RA-Nachrichtenverarbeitung der einzelnen Interfaces.

→ Pro Interface müssen spezifische Einstellungen vorgenommen werden.

• Die Folge dieser Einstellung ist, dass die für SLAAC notwendige Prefix-Discovery nicht mehr funktioniert und generell alle RA Nachrichten gedropt werden.




Sateful Solicitation

bei Unicast Router Advertisements




Router

MAC 00-00-00-04-BA-BE


All-Nodes ff02::1


Cafe

ff02::

2

fe80::

...:affe

ICMPv

6

Typ 1

33

Sour

ce lin

k-laye

r add

ress

MAC 00-00-00-04-CA-FE


All-Nodes ff02::1


Babe

MAC 00-00-00-04-AF-FE


All-Nodes ff02::1

All-Router ff02::2


Solicitation

Nodes ermitteln Router im Segment mit einem All-Router RA SOLICITATION

Multicast.




fe80::...:affe

fe80::...:cafe

ICMPv6

Typ 134

Prefix=

2001::/64 Route=

2001::/64

Router

MAC 00-00-00-04-BA-BE


All-Nodes ff02::1


Cafe

MAC 00-00-00-04-CA-FE


All-Nodes ff02::1


Babe

MAC 00-00-00-04-AF-FE


All-Nodes ff02::1

All-Router ff02::2


Unicast-Advertisement

Es wird ein Unicast an die LLU des Clients verschickt.




Workaround

auf Netzwerkebene




MAC 00-00-00-04-CA-FE


All-Nodes ff02::1


MAC 00-00-00-04-BA-BE


All-Nodes ff02::1


Cafe Babe

MAC 00-00-00-04-AF-FE


All-Nodes ff02::1

All-Router ff02::2


Router

fe80::...:affe

ff02::1ICMPv6 Typ 134

Prefix=2001::/64

33-33-00-00-00-01

00-00-00-04-AF-FE

IPv6 All-Node → MAC-Multicast

ff02::1 → 33-33-00-00-00-01

Implementierungs-möglichkeit der Switch-Hersteller

Definition eines priviledged Router Ports:

• MAC-Frames mit dieser Dest.-Adresse werden von diesem Port aus akzeptiert.

• Alle anderen Ports blockieren diese MAC-Frames.

Switch mit Router im Link-Segment




MAC 00-00-00-04-BA-BE


All-Nodes ff02::1


MAC 00-00-00-04-AA-BB


All-Nodes ff02::1

All-Router ff02::2


Babe

MAC 00-00-00-04-AF-FE


All-Nodes ff02::1

All-Router ff02::2


RouterEfe

fe80::...:affeff02::1

ICMPv6 Typ 134

Prefix=2001::/64 Route=

2001::/64

fe80::...:affeff02::1

ICMPv6 Typ 134


2001::/64

fe80::...:affeff02::1

ICMPv6 Typ 134


2001::/64

fe80::...:affeff02::1

ICMPv6 Typ 134


2001::/64

fe80::...:affeff02::1

ICMPv6 Typ 134


2001::/64

fe80::...:aabbff02::1

ICMPv6 Typ 134


2001::/64

fe80::...:affe

ff02::1ICMPv6 Typ 134

Prefix=2001::/64

33-33-00-00-00-01

00-00-00-04-AF-FE

IPv6 All-Node → MAC-Multicast

ff02::1 → 33-33-00-00-00-01

MAC 00-00-00-04-CA-FE


All-Nodes ff02::1


Cafe




• Einrichten von MAC-Filtern ist eine wirkungsvolle Möglichkeit, RA-Multicasts zu blockieren.

• Mit Hilfe eines Priviledged Router Ports kann der Netzwerkadministrator wieder die Hoheit über die RA-Multicasts gewinnen.

→ Weitere Filtermöglichkeiten auf Grundlage ICMPv6-Nachrichtentyp (Typ 134).

• Die meisten Switche besitzen für die Verarbeitung von MLP ein Verständnis von ICMPv6-Paketen.

• IPv6 Extension Header spielen für ICMPv6-Datenpakete im Link-Segment keine Rolle.




→ RAs auf anderen Ports werden automatisch gedroppt.

Beispiel AVM Home WLAN Router

Switch mit Routingfunktionalität

•RAs werden exklusiv durch den Switch gesendet.•Keine anderen Geräte im Netzsegment senden RAs.




Resümee• Unkontrollierte Multicasts im Link-Segment sind

problematisch.

• Prefix-Discovery mittels Multicasts als Teil von ND bieten vielfältige Angriffsszenarien.

• Die aktuellen Steuerungsmittel der Betriebssysteme sind noch nicht ausreichend qualifiziert implementiert.

• Das Umstellen den RA-Protokolls bei Router Solicitation von Multicast auf Unicast würde deutlichen Sicherheitsgewinn bringen, ohne die Funktionalität einzuschränken.

• Bis diese Implementierungsänderungen erfolgt sind, wäre es möglich, mittels geeigneter Filterfunktionen in den Switchen die Kontrolle zurückzugewinnen.


©Manuel Grob, Dr. Erwin Hoffmann, FH Frankfurt/Main - FB2 IPv6 Kongress 2012

Vielen Dank für die Aufmerksamkeit!

Fragen?

Demnächst mehr unter :

http://www.fehcom.de/ipnet/ipv6.html


http://www.fehcom.de/ipnet/ipv6.hmtl

http://www.fehcom.de/ipnet/ipv6.hmtl


LITERATURVERZEICHNIS

• Apple, inet6(4) Mac OS X Manual Page. https://developer.apple.com/library/mac/#documentation/Darwin/Reference/ManPages/man4/inet6.4.html, 1999.

• The Hacker’s Choice. CCC Camp release v1.8. http://thc.org/thc-ipv6/, 2012.

• T. Narten et al. Neighbor Discovery for IP version 6 (IPv6). http://tools.ietf.org/html/rfc4861, 2007.

• J. Jeong et al. IPv6 Router Advertisement Options for DNS Configuration. http://tools.ietf.org/html/rfc6106, 2010.

• S. Thomson und T. Narten. IPv6 Stateless Address Autoconfiguration. http://www.ietf.org/rfc/rfc2462.txt, 1998.

• R. Droms et al. Dynamic Host Configuration Protocol for IPv6 (DHCPv6). http://tools.ietf.org/html/rfc3315, 2003.

• van Hauser. Recent advances in IPv6 insecurities. http://events.ccc.de/congress/2010/Fahrplan/events/3957.en.html, 2010.


http://thc.org/thc-ipv6/

http://thc.org/thc-ipv6/

http://tools.ietf.org/html/rfc4861






http://www.ietf.org/rfc/rfc2462.txt








http://events.ccc.de/congress/2010/Fahrplan/events/3957.en.html




IPV6-SECURITY SICHERHEITSLÜCKEN IM ROUTER …

Documents

Transcript of IPV6-SECURITY SICHERHEITSLÜCKEN IM ROUTER …