Skydda ditt nät och dina kunder från näthoten. Integritet, Spårbarhet och Tillgänglighet

Transkript

1 Skydda ditt nät och dina kunder från näthoten Integritet, Spårbarhet och Tillgänglighet

2 Format & agenda Varför ska du bry dig? Standarder och rekommendationer IPv6-säkerhet Summering Var kan du hitta mer info? Marcus Friman (tidigare Jonsson) Produktansvarig Netrounds (tidigare Absilion) 15 års erfarenhet: R&D/Standardisering Kvalitetssäkring triple-play och Ethernet-tjänster Säkerhetstester i bredbandsnät

3 Varför ska du bry dig? 1. Dina kunder förväntar sig det 2. Du tappar marginal 3. Du är en del av globala DDoSproblematiken 4. Du bryter (kanske) indirekt mot lagen

4 Vad är SEC? Internet Distribution Gateway DSLAM, CMTS, FTTx Switch Access Access Aggregation switch LAN

5 Hot och påverkan 1. Integritet Skydda kundernas integritet Förhindra Man-in-the- Middle (MitM) attacker/avlyssning Säkerställ isolation mellan kunder 2. Spårbarhet Säkra möjligheten att spåra vid exvis abuse Lagkrav (datalagringsdirektivet) 3. Tillgänglighet Förhindra DoSattacker Reducera konstiga och svårhittade problem

6 DDoS globalt problem Sends query: small packet fake source IP (victims IP) Should be blocked by the operator NTP server replies: large packet to victim s IP NTP server

7 SAVI Source Address Validation Improvements 3.1.2/3.1.5 Flood-Based/Reflective DDoS Attacks Example: Recent NTP-based attacks Prevent IP Spoofing

8 (2) SAVI Poisoning Attacks Prevent ARP cache poisoning/icmp Redirect

9 (3) SAVI Man-in-the-Middle (MITM) Attacks Prevent ARP poisoning, Rogue DHCP,

10 SEC Secure End-User Connection Bästa referensdokumentet för IPv4-säkerhet Secure-End-user-Connection pdf Inkluderar även IPv6-säkerhet

11 1. Integritet (MitM attack) Internet Distribution Possible threats: ARP Poisoning (ettercap) ICMP Redirect (Scapy) Rogue DHCP Acces s Acces s

12 IP: IP: Spårbarhet Can be protected by: IP source guard DHCP option-82 Internet Distribution Acces s Acces s

13 3. Tillgänglighet Possible threats: DHCP flooding Control plane overload ARP poisoning DHCP server Access Internet Distribution?? Access!!!!!!!

14 Så testas säkerheten ISP node (Trusted Zone) End user (Friendly) Access Internet Distribution Access End user (Malicious) Manual tools to use: Wireshark tcpdump ettercap hping dsniff yersinia scapy (Python) Automated tools reduce manual efforts, such as Netrounds

15 Testuppställning med Netrounds Möjligt att automatisera testerna med Netrounds Core node (Trusted Zone) Acces s Internet Distribution Acces s End user (Friendly) End user (Malicious)

16 Att testa en switch (labb) Core node (Trusted Zone) Core: eth2 Cisco 3550 Customer1: eth2 Customer2: eth2 End user (Friendly) End user (Malicious)

17 Exempel från test i ett riktigt nät Netrounds test probe

18 Problem vi sett Möjligt att spoofa IP addresser Orsak: central Cisco som inte betedde sig enligt förväntan Säkerhetsimplikation: Spåbarhet/DoS

19 Problem vi sett ICMP-redirect möjligt från kundport Orsak: Missad konfiguration Säkerhetsimplikation: DoS/MiTM

20 Problem vi sett Fragmenterade TCP paket inte droppade Orsak: Missat konfiguration Säkerhetsimplikation: Orska problem för accesslistor

21 Problem vi sett CPU stress som orsakade DoS Orsakt: Felaktig konfiguration Säkerhetsimplikation: Möjligt att skapa en DoS attack

22 Om du är intresserad Testa ditt nät själv utgå från dok. på Beställ en oberoende test/certifering Löptid från start till slut, ca en månad Genomförs av Netrounds

23 IPv6 då? Same same but different. Se exempelvis RFC 3756 IPv6 ND Trust Models and Threats Spårbarhet IPv4: RFC3046 DHCP option-82 / IPv4 address spoofing IPv6: RFC4649 Remote-ID option 37 / IPv6 address spoofing Förhindra DDoS-attacker IPv4: IPv4 address spoofing IPv6: IPv6 address spoofing (handle SLAAC + IPv6 PD as well)

24 IPv6 då? Förhindra Man-in-the-Middle attacker IPv4: ARP poisoning, ICMPv4 redirect IPv6: NS/NA Spoofing, ICMPv6 redirect, false RA messages Förhindra lokala DoS attacker IPv4: Rogue DCHPv4 server, ARP poisoning IPv6: Rogue DHCPv6 server, Rogue Duplicate Address Detection packets, false Router Advertisement (RA) messages

25 Andra IPv6 attacker RH0 (Router Header 0) DoS attack ND cache Exhaustion See RFC 6583 Operational ND Problems IPv6 UPnP, LLMNR, mdns and Bonjour filtering IPv6 Fragmentation attacks

26 Vilken utrustning klarar IPv6- kraven??

27