IPv6-Security – SWITCH Security-Blog

Troopers14 IPv6 Security-Summit – Konferenzbericht

trojanischespferd-klein — “Trojanisches Pferd” am Eingang des Security Summits

Im Rahmen der alljährlich stattfindenen IT-Securitykonferenz Troopers gab es in diesem Jahr bereits zum zweiten mal einen IPv6 Security-Summit. Zwei Tage lang trafen sich Experten aus aller Welt in Heidelberg, um sich über aktuelle Entwicklungen auszutauschen und ihre Erkenntnisse und Arbeiten rund um das Thema IPv6-Security in Workshops und Talks zu präsentieren.

Die Print Media Academy mit ihrem 13 Meter hohen “Trojanischen Pferd” am Eingang gab dem Anlass dabei einen passenden Rahmen.

Why IPv6 Security is so hard.

Eröffnet wurde die Konferenz mit einem unterhaltsamen Talk von Enno Rey – dem Kopf hinter “Troopers”. Rey ging dabei nochmal ganz zurück zu den Anfängen von IPv6. Nur in der historischen Betrachtung lassen sich die strukturellen Defizite von IPv6 nachvollziehen und in ihrer gesamten Schönheit erfassen. Im Ergebnis bescheren diese uns heute eine sehr hohe Komplexität, mit der wir umgehen müssen. Sein Fazit: “Do your homework. Read specs & get your hands dirty (a.k.a. testing).”

Das war dann auch die geeignete Überleitung zu den nachfolgenden Workshops und Talks. Denn eine Message kam während der gesamten Veranstaltung sehr deutlich rüber:

Testet Eure IPv6-Sicherheitseinrichtungen!

Continue reading “Troopers14 IPv6 Security-Summit – Konferenzbericht”

IPv6 Adress-Autokonfiguration aus Security-Sicht

Wer in seiner Organisation IPv6 einführt, muss sich darüber Gedanken machen, wie die Adressvergabe für Server und Clients geregelt werden soll. Dabei spielen auch Sicherheits- und Privatsphären-Aspekte eine Rolle. In diesem Beitrag wollen wir dazu die Themen Adress-Autokonfiguration und Privacy Extensions etwas näher betrachten.

SLAAC – Autokonfiguration

Neben den von IPv4 bekannten Möglichkeiten – statische Adresskonfiguration oder DHCP – gibt es für IPv6 zusätzlich den Mechanismus der Adress-Autokonfiguration (RFC 4862: IPv6 Stateless Address Autoconfiguration, SLAAC). Dieser bedarf weder einer manuellen Konfiguration auf dem Client noch einer zentralen Instanz, welche die Adressen zuteilt. Der lokale Teil der IPv6-Adresse (Interface Identifier, IID, 64 Bit) wird dabei lokal auf dem Host gebildet, und zwar gemäss Standard abgeleitet von der MAC-Adresse des Interfaces nach dem Modified EUI-64 Verfahren.

ipv6adresse — IPv6-Adresse bestehend aus Präfix (Global Routing Präfix + Subnet ID) und Interface ID. Die Interface ID ist hier aus der MAC-Adresse 3c:07:54:5d:45:67 abgeleitet nach dem Modified EUI-64-Verfahren.

Da die MAC-Adresse in aller Regel gleich bleibt, hat nun der Host – beispielsweise der Laptop eines Geschäftsreisenden – weltweit eine IPv6-Adresse, deren letzten 64 Bit immer konstant bleiben. Dadurch hat man neben den existierenden Tracking-Mechanismen (Cookies, Browser-Fingerprint, etc.) noch ein statisches Datum, mit dem der Client auf Ressourcen zugreift – und damit dauerhaft und weltweit trackbar ist. Ein Problem für die Privatsphäre des Nutzers. Continue reading “IPv6 Adress-Autokonfiguration aus Security-Sicht”

IPv6 für (Security-)Manager – Teil 4: Loslegen, aber sicher!

Warum IPv6 ein IT-Management-Thema ist, wie das Big Picture der IPv6-Integration aussehen kann und welche möglichen Treiber es gibt, das haben wir uns in den vergangenen 3 Teilen dieser Serie angeschaut. In diesem Teil möchte ich nun anhand von 5 Punkten aufzeigen, wie Sie das Thema IPv6-Integration in Ihrer Organisation sicher auf den Weg bringen können:

1. Operativen Betrieb absichern – IPv6 ist bereits da!

Als aller erstes sollten Sie das latente Risiko durch existierende Dual-Stack-Rechner in Ihrer IT-Umgebung einschätzen: Alle modernen Betriebssysteme sind IPv6-enabled und können mittels Autokonfiguration “von aussen” konfiguriert werden. Damit stehen einem potenziellen Angreifer einige IPv6-spezifische Attacken zur Verfügung, ohne dass Sie jemals IPv6 bewusst konfiguriert und ausgerollt haben. Auf den Systemen wird durch die Autokonfiguration ausserdem “eine zweite Tür geöffnet”, für die bestehende Sicherungsmechanismen (beispielsweise IP-basierende ACLs) unter Umständen nicht greifen. Continue reading “IPv6 für (Security-)Manager – Teil 4: Loslegen, aber sicher!”

Neues aus dem IPv6-Universum

Was tut sich in Sachen IPv6?

Dieser Juni war der Monat der IPv6-Konferenzen. Am 6. und 7.6. fand in Frankfurt/Main der fünfte Heise IPv6-Kongress statt. Eine Woche später gab es die vom Swiss IPv6 Council organisierte eintägige IPv6 Business Conference in Zürich.

Beiden Veranstaltungen gemein waren eine hohe Dichte an hochkarätigen Speakern, die nicht – wie vielleicht befürchtet – die letztjährigen Talks wiederaufbereiteten, sondern viel Neues zu berichten hatten. Beiden Veranstaltungen gemein war auch, dass sie in Kinosälen stattfanden. Mit riesigen Leinwänden für die Präsentationen und gemütlichen Sesseln anstelle von Tageslicht und der üblichen Konferenzmöbel.

Beide Konferenzen boten sowohl reichlich technisch versierte Vorträge, als auch genügend Stoff zum Nachdenken fürs IT-Management. Verschiedene parallele Tracks sorgten dabei für eine breite Auswahl.

Continue reading “Neues aus dem IPv6-Universum”

IPv6 Security und Hacking – Vortrag beim Swiss IPv6 Council

Im Rahmen einer neuen Tech-Event-Reihe, die das Swiss IPv6 Council in Kooperation mit Digicomp durchführt, hatte ich am vergangenen Montag die Gelegenheit, das Thema “IPv6 Security und Hacking” vorzustellen. Mit rund 70 Teilnehmern stiess auch diese zweite Veranstaltung der Reihe auf reges Interesse.

Continue reading “IPv6 Security und Hacking – Vortrag beim Swiss IPv6 Council”

IT-Security-Links #15

Pwn2Own: The results from the annual Pwn2Own hacking contest held at the CanSecWest Security conference in Vancouver are in.
Evernote hacked: The company is now officially a member of the recently attacked. Hackers gained access to user details including email addresses, usernames and encrypted passwords (with salt). Evernote wisely decided to carry out a password reset for all users. But as an Evernote user you should check if you use the same userid and password elsewhere.
You don’t worry about computer viruses because you’re using a Mac? Then I recommend this Network World article about Java and Flash vulnerabilities.
How to install malware on your system with a signed JAR file? A lesson about certificate revocation lists.

German:

Das SWITCH-CERT war diese Woche im Schweizer Fernsehen: Rundschau vom 6. März auf SRF (Bericht ab 20’40”)
Unser monatlich erscheinender SWITCH-CERT Security- und Privacy-Report (PDF) ist neu in der Ausgabe Februar 2013 verfügbar!
Am 25.3. gibt es abends einen SWITCH-CERT Vortrag zum Thema IPv6-Security und -Hacking in Zürich. Anmeldung hier.

IPv6 für (Security-)Manager – Teil 2: Das Big Picture der IPv6-Integration

Im ersten Teil dieser Reihe zum Thema IPv6 ging es darum, warum IPv6 ein Management-Thema ist: Die Auswirkungen von IPv6 auf Ihre IT-Organisation sind vielfältig. Für eine sowohl kosteneffiziente als auch sichere Integration von IPv6 in die eigene Organisation ist es erforderlich, dass Sie sich einen Überblick in Form einer Bestandsaufnahme verschaffen. Auf dieser Basis kann eine individuelle IPv6-Integrationsstrategie entwickelt werden, inklusive einer Roadmap, die interne und externe Abhängigkeiten mit berücksichtigt. Beispiele für solche Abhängigkeiten sind bestehende Investitions- und Entwicklungs-Zyklen, aber auch die IPv6-Readiness der IT-Security.

Das folgende “IPv6 – Big Picture” soll eine Orientierung über betroffene Bereiche und notwendige Aktivitäten geben:

In den horizontalen Feldern sind die verschiedenen Bereiche der IT aufgeführt, die irgendwann im Laufe der IPv6-Integration betroffen sind. Die senkrechten Felder enthalten Aktivitäten, die innerhalb der IPv6-Integration anstehen. Im einzelnen:

Continue reading “IPv6 für (Security-)Manager – Teil 2: Das Big Picture der IPv6-Integration”

IPv6 für (Security-)Manager – Teil 1

Über IPv6 – dem Nachfolger des Internet-Protokoll-Standards IPv4 – wird nun seit 15 Jahren gesprochen. In dieser Zeit ist das Thema jedoch ohne grössere Auswirkungen auf die produktive IT der meisten Organisationen geblieben. Daher wundert es nicht, wenn sich viele IT-Manager daran gewöhnt haben, IPv6 entweder zu ignorieren, oder als eine niedrigpriorisierte und vielleicht auch eher technische Angelegenheit einzuordnen.

Auch wenn dieser Umgang mit dem Thema in der Vergangenheit oft ohne grössere Risiken möglich war, kann man heute davon ausgehen, dass dies für die Zukunft nicht mehr in gleichem Masse gilt. Es lohnt sich also, einen frischen Blick auf den “Fall IPv6” zu werfen:

Continue reading “IPv6 für (Security-)Manager – Teil 1”