SWITCH Security-Blog

SWITCH-CERT IT-Security Blog

Icon_menschengruppe_kreis_switchfarben


Troopers14 IPv6 Security-Summit – Konferenzbericht

trojanischespferd-klein

“Trojanisches Pferd” am Eingang des Security Summits

Im Rahmen der alljährlich stattfindenen IT-Securitykonferenz Troopers gab es in diesem Jahr bereits zum zweiten mal einen IPv6 Security-Summit. Zwei Tage lang trafen sich Experten aus aller Welt in Heidelberg, um sich über aktuelle Entwicklungen auszutauschen und ihre Erkenntnisse und Arbeiten rund um das Thema IPv6-Security in Workshops und Talks zu präsentieren.

Die Print Media Academy mit ihrem 13 Meter hohen “Trojanischen Pferd” am Eingang gab dem Anlass dabei einen passenden Rahmen.

Why IPv6 Security is so hard.

Eröffnet wurde die Konferenz mit einem unterhaltsamen Talk von Enno Rey – dem Kopf hinter “Troopers”. Rey ging dabei nochmal ganz zurück zu den Anfängen von IPv6. Nur in der historischen Betrachtung lassen sich die strukturellen Defizite von IPv6 nachvollziehen und in ihrer gesamten Schönheit erfassen. Im Ergebnis bescheren diese uns heute eine sehr hohe Komplexität, mit der wir umgehen müssen. Sein Fazit: “Do your homework. Read specs & get your hands dirty (a.k.a. testing).”

Das war dann auch die geeignete Überleitung zu den nachfolgenden Workshops und Talks. Denn eine Message kam während der gesamten Veranstaltung sehr deutlich rüber:

Testet Eure IPv6-Sicherheitseinrichtungen!

Continue reading

IPv6


IPv6 Adress-Autokonfiguration aus Security-Sicht

Wer in seiner Organisation IPv6 einführt, muss sich darüber Gedanken machen, wie die Adressvergabe für Server und Clients geregelt werden soll. Dabei spielen auch Sicherheits- und Privatsphären-Aspekte eine Rolle. In diesem Beitrag wollen wir dazu die Themen Adress-Autokonfiguration und Privacy Extensions etwas näher betrachten.

SLAAC – Autokonfiguration

Neben den von IPv4 bekannten Möglichkeiten – statische Adresskonfiguration oder DHCP – gibt es für IPv6 zusätzlich den Mechanismus der Adress-Autokonfiguration (RFC 4862: IPv6 Stateless Address Autoconfiguration, SLAAC). Dieser bedarf weder einer manuellen Konfiguration auf dem Client noch einer zentralen Instanz, welche die Adressen zuteilt. Der lokale Teil der IPv6-Adresse (Interface Identifier, IID, 64 Bit) wird dabei lokal auf dem Host gebildet, und zwar gemäss Standard abgeleitet von der MAC-Adresse des Interfaces nach dem Modified EUI-64 Verfahren.

ipv6adresse

IPv6-Adresse bestehend aus Präfix (Global Routing Präfix + Subnet ID) und Interface ID. Die Interface ID ist hier aus der MAC-Adresse 3c:07:54:5d:45:67 abgeleitet nach dem Modified EUI-64-Verfahren.

Da die MAC-Adresse in aller Regel gleich bleibt, hat nun der Host – beispielsweise der Laptop eines Geschäftsreisenden – weltweit eine IPv6-Adresse, deren letzten 64 Bit immer konstant bleiben. Dadurch hat man neben den existierenden Tracking-Mechanismen (Cookies, Browser-Fingerprint, etc.) noch ein statisches Datum, mit dem der Client auf Ressourcen zugreift – und damit dauerhaft und weltweit trackbar ist. Ein Problem für die Privatsphäre des Nutzers. Continue reading

IPv6


IPv6 für (Security-)Manager – Teil 4: Loslegen, aber sicher!

Warum IPv6 ein IT-Management-Thema ist, wie das Big Picture der IPv6-Integration aussehen kann und welche möglichen Treiber es gibt, das haben wir uns in den vergangenen 3 Teilen dieser Serie angeschaut. In diesem Teil möchte ich nun anhand von 5 Punkten aufzeigen, wie Sie das Thema IPv6-Integration in Ihrer Organisation sicher auf den Weg bringen können:

1. Operativen Betrieb absichern – IPv6 ist bereits da!

Als aller erstes sollten Sie das latente Risiko durch existierende Dual-Stack-Rechner in Ihrer IT-Umgebung einschätzen: Alle modernen Betriebssysteme sind IPv6-enabled und können mittels Autokonfiguration “von aussen” konfiguriert werden. Damit stehen einem potenziellen Angreifer einige IPv6-spezifische Attacken zur Verfügung, ohne dass Sie jemals IPv6 bewusst konfiguriert und ausgerollt haben. Auf den Systemen wird durch die Autokonfiguration ausserdem “eine zweite Tür geöffnet”, für die bestehende Sicherungsmechanismen (beispielsweise IP-basierende ACLs) unter Umständen nicht greifen. Continue reading

IPv6


Neues aus dem IPv6-Universum

Was tut sich in Sachen IPv6?

Dieser Juni war der Monat der IPv6-Konferenzen. Am 6. und 7.6. fand in Frankfurt/Main der fünfte Heise IPv6-Kongress statt. Eine Woche später gab es die vom Swiss IPv6 Council organisierte eintägige IPv6 Business Conference in Zürich.

image1

Beiden Veranstaltungen gemein waren eine hohe Dichte an hochkarätigen Speakern, die nicht  – wie vielleicht befürchtet  – die letztjährigen Talks wiederaufbereiteten, sondern viel Neues zu berichten hatten. Beiden Veranstaltungen gemein war auch, dass sie in Kinosälen stattfanden. Mit riesigen Leinwänden für die Präsentationen und gemütlichen Sesseln anstelle von Tageslicht und der üblichen Konferenzmöbel.

Beide Konferenzen boten sowohl reichlich technisch versierte Vorträge, als auch genügend Stoff zum Nachdenken fürs IT-Management. Verschiedene parallele Tracks sorgten dabei für eine breite Auswahl.

Continue reading

IPv6


IPv6 Security und Hacking – Vortrag beim Swiss IPv6 Council

sipv6cIm Rahmen einer neuen Tech-Event-Reihe, die das Swiss IPv6 Council in Kooperation mit Digicomp durchführt, hatte ich am vergangenen Montag die Gelegenheit, das Thema “IPv6 Security und Hacking” vorzustellen. Mit rund 70 Teilnehmern stiess auch diese zweite Veranstaltung der Reihe auf reges Interesse.

Continue reading

News


IT-Security-Links #15

German:

IPv6


IPv6 für (Security-)Manager – Teil 2: Das Big Picture der IPv6-Integration

Im ersten Teil dieser Reihe zum Thema IPv6 ging es darum, warum IPv6 ein Management-Thema ist: Die Auswirkungen von IPv6 auf Ihre IT-Organisation sind vielfältig. Für eine sowohl kosteneffiziente als auch sichere Integration von IPv6 in die eigene Organisation ist es erforderlich, dass Sie sich einen Überblick in Form einer Bestandsaufnahme verschaffen. Auf dieser Basis kann eine individuelle IPv6-Integrationsstrategie entwickelt werden, inklusive einer Roadmap, die interne und externe Abhängigkeiten mit berücksichtigt. Beispiele für solche Abhängigkeiten sind bestehende Investitions- und Entwicklungs-Zyklen, aber auch die IPv6-Readiness der IT-Security.

Das folgende “IPv6 – Big Picture” soll eine Orientierung über betroffene Bereiche und notwendige Aktivitäten geben:

BigPicture_20130204

In den horizontalen Feldern sind die verschiedenen Bereiche der IT aufgeführt, die irgendwann im Laufe der IPv6-Integration betroffen sind. Die senkrechten Felder enthalten Aktivitäten, die innerhalb der IPv6-Integration anstehen. Im einzelnen:

Continue reading