Im Rahmen der alljährlich stattfindenen IT-Securitykonferenz Troopers gab es in diesem Jahr bereits zum zweiten mal einen IPv6 Security-Summit. Zwei Tage lang trafen sich Experten aus aller Welt in Heidelberg, um sich über aktuelle Entwicklungen auszutauschen und ihre Erkenntnisse und Arbeiten rund um das Thema IPv6-Security in Workshops und Talks zu präsentieren.
Die Print Media Academy mit ihrem 13 Meter hohen “Trojanischen Pferd” am Eingang gab dem Anlass dabei einen passenden Rahmen.
Why IPv6 Security is so hard.
Eröffnet wurde die Konferenz mit einem unterhaltsamen Talk von Enno Rey – dem Kopf hinter “Troopers”. Rey ging dabei nochmal ganz zurück zu den Anfängen von IPv6. Nur in der historischen Betrachtung lassen sich die strukturellen Defizite von IPv6 nachvollziehen und in ihrer gesamten Schönheit erfassen. Im Ergebnis bescheren diese uns heute eine sehr hohe Komplexität, mit der wir umgehen müssen. Sein Fazit: “Do your homework. Read specs & get your hands dirty (a.k.a. testing).”
Das war dann auch die geeignete Überleitung zu den nachfolgenden Workshops und Talks. Denn eine Message kam während der gesamten Veranstaltung sehr deutlich rüber:
Testet Eure IPv6-Sicherheitseinrichtungen!
Zum Glück gibt es dazu mittlerweile auch immer mehr Testtools und -suites. So stellte Oliver Eggert von der Uni Potsdam sein Open-Source-Tool Ft6 (Firewalltester für IPv6) vor. Ft6 ist ein in Python geschriebenes Tool, das auf Scapy basiert. Es durchläuft automatisiert verschiedene Firewall-Testcases und zeigt am Ende gut aufbereitet die Ergebnisse an. Eggerts Message: “Verlasse Dich nicht aufs Datasheet, probiere es selber aus!”.
Noch einen Schritt weiter geht Dr. Antonios Atlasis mit seinem “All-in-one advanced IPv6 testing framework” namens Chiron [kairon]. Dieses Framework, das wiederum auf Python und Scapy basiert, besteht aus verschiedenen Modulen: einem IPv6-Netzwerk-Scanner, einem IPv6-Vulnerability-Scanner, einem IPv6-Proxy sowie einem IPv6-Fuzzer. Chiron bietet dem Benutzer ein Framework, mit dem er relativ leicht seine eigenen Testcases programmieren und ausführen kann.
Auch fehlten die “üblichen Verdächtigen” Marc Heuse (THC-IPv6) und Fernando Gont (SI6) nicht und stellten jeweils ihre bekannten IPv6-Toolkits im Rahmen von praxisnahen Workshops vor.
Wenn es um IPv6-Security geht, gibt es eine Frage aus dem Publikum, auf die man sich verlassen kann:
Wie steht es heute um die IPv6-Fähigkeiten von Security-Produkten?
Diese heisse Frage beantworteten Christopher Werny und Antonios Atlasis recht ausführlich in ihrer gemeinsamen Präsentation “Overview of the Real-World Capabilities of Major Commercial Security Products”. Beide haben verschiedene Produkte von Cisco, Checkpoint, Fortinet, HP Tipping Point (IPS) und Juniper unter die Lupe genommen. Im ersten Teil der Präsentation stellte Werny die Management-Fähigkeiten der Geräte vor, also “Kann ich das Gerät über IPv6 vollständig managen?”, d.h. funktionieren Dinge wie syslog, Netflow export, Failover, etc. über IPv6?
Im zweiten Teil präsentierte Antonios Atlasis dann seine Ergebnisse aus Tests mit der Zielrichtung “Was erkennen/filtern die Geräte (in der Default-Konfiguration)?”. Unter Zuhilfenahme seines Chiron-Testframeworks, unterzog er die verschiedenen Geräte umfangreichen Tests. Zum Beispiel untersuchte er ihr Verhalten bei Routing Header Type 0, Extension Header mit unbekannter Option, Fake Extension Header und so weiter. Die Testcases und Ergebnisse sind in den Konferenz-Slides veröffentlicht und ausführlich beschrieben.
Und sonst?
Neben dem Themenkreis “Testen von IPv6-Securityprodukten” gab es noch eine ganze Reihe weiterer interessanter Talks und Workshops. Unter anderem sprach Eric Vyncke über “Secure Operation of an IPv6 Network”, Martin Schütte stellte sein IPv6 Snort-Plugin vor und Christopher Werny präsentierte eine Case Study zum Thema “Secure IPv6 Guest WiFi Network”. Die Vortragsslides zu diesen und anderen Talks gibt es auf der Troopers-Homepage.
Fazit
Alles in allem war der IPv6 Security-Summit im Rahmen der Troopers14 eine durchweg gelungene Veranstaltung. Wer sich über die Entwicklungen im Bereich IPv6-Security auf dem Laufenden halten und sich mit den anerkannten Experten zum Thema austauschen wollte, war dort genau richtig. Um Vendor-Talks und Sales-Slides musste man erfreulicherweise nicht herumnavigieren, die gab es nicht, Kaffee und Verpflegung dafür reichlich.
SWITCH Security-Blog 