Security ist ein stets aktuelles Thema in der IT. Deshalb widmet sich das ADMIN-Magazin 04/2012 speziell Sicherheitsaspekten und gibt Antworten auf die Fragen: ... (mehr)

Lösungen

Weil den IPv6-Basiskonzepten Sicherheitsvorkehrungen fehlen, ergeben sich die beschriebenen Gefährdungen, denen der Admin durch adäquate Maßnahmen entgegengewirken muss. Das Dokument [5] fordert zwingend, dass Layer 2 Switches Router Advertisements filtern können. Erste Erfahrungen zeigen, dass auch führende Hersteller diese Funktion leider nur in neuesten Hard- und Software-Versionen unterstützen. Falls Layer-2-Devices pro Port eine Zugriffskontrollliste schalten können, so ist das eine effektive Maßnahme gegen Rogue Router und Rogue DHCPv6-Advertisements. Der RFC 6104 "Rogue IPv6 RA Statement" [6] liefert eine umfassende Zusammenstellung der Problematik. Aktuell arbeiten die Hersteller an Lösungen, die unter dem Stichwort First-Hop-Security die Stateless Address Autoconfiguration absichern. Unverzichtbar sind in Zukunft Funktionen wie IPv6 RA Guard, IPv6 ND Inspection und Device Tracking.

Gegenwehr

Das Tool Ramond (University of Southhampton) kann Router Advertisements als Antwort auf Rogue Router Advertisements generieren, die die Konfigurationsparameter aus der Stateless Address Autoconfiguration (SLAAC) verwerfen. Dazu müssen Router und Preferred Lifetime im RA den Wert Null haben. Natürlich sind alle Adressen (Layer 2 und Layer 3) in diesem Advertisement vorgetäuscht (spoofed). Empfängt ein Host ein solches Router Advertisement, verwirft er die dazugehörigen IPv6-Adressen und Routing-Einträge. Die im vorhergehenden Abschnitt beschriebenen Zugriffskontrolllisten verhindern eine böswillige Nutzung des Tools.

In Subnetzen, die lediglich IPv4-Funktionalität haben, kann ein NDPMON-Server installiert werden. Dieser Neighbor Discovery Monitor führt eine Historie über die Zuordnung von RFC-3041-IPv6-Adressen und Mac-Adressen und kann unter anderem über empfangene Rogue Router Advertisements informieren.

Personal Firewalls sollten entsprechend den Empfehlungen des RFC 4890 "Recommendations for Filtering ICMPv6 Messages in Firewalls" [7] konfiguriert werden. Unter den Microsoft Betriebssystemen ist die eigene Microsoft Firewall empfehlenswert, da diese Stateful Inspection für IPv4 und IPv6 bietet und auch die Transition Technologies korrekt verarbeitet. Eine Verbesserung wäre in Form einer Weiterentwicklung der bisherigen Netzwerkerkennung denkbar, um eine persistente Bindung zwischen den Adressen (Layer 2 und Layer3) eines regulären Routers und der Windows-Firewall einmalig pro Subnetz einzurichten. Linux-Administratoren verfügen seit Kernel 2.6 mit »ip6tables« ebenfalls über eine Stateful Inspection Firewall.

Der auf dieser Basis adminstrierte IPv6-Betrieb stellt auch die erste Lösung gegen die vorgestellten Transition Technologies dar, weil die nur aktiv werden, wenn kein natives IPv6-Deployment erfolgt. Ansonsten ist für die Microsoft Betriebssysteme die Deaktivierung dieser Technologien zu empfehlen. Der System-Administrator führt dazu folgenden Befehle aus:

netsh interface ipv6 6to4 set state disabled undoonstop=disabled
netsh interface ipv6 isatap set state disabled
netsh interface ipv6 set teredo disable

Anschließend ist ein Neustart erforderlich. In einer AD-Umgebung können die Einstellungen zental verwaltet werden. Unter »Computer Configuration | Policies | Administrative Templates | Network | IPv6 Configuration« können die IPv6-Einstellungen aus Listing 1 gewählt werden.Weiterhin sollten das Protokoll 6in4 und die Teredo-Kommunikation in Firewalls und Routern geblockt werden.

Listing 1

IPv6-Einstellungen im AD

 

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2020