Skydda ditt nät och dina kunder från näthoten Integritet, Spårbarhet och Tillgänglighet
Format & agenda Varför ska du bry dig? Standarder och rekommendationer IPv6-säkerhet Summering Var kan du hitta mer info? Marcus Friman (tidigare Jonsson) Produktansvarig Netrounds (tidigare Absilion) 15 års erfarenhet: R&D/Standardisering Kvalitetssäkring triple-play och Ethernet-tjänster Säkerhetstester i bredbandsnät
Varför ska du bry dig? 1. Dina kunder förväntar sig det 2. Du tappar marginal 3. Du är en del av globala DDoSproblematiken 4. Du bryter (kanske) indirekt mot lagen
Vad är SEC? Internet Distribution Gateway DSLAM, CMTS, FTTx Switch Access Access Aggregation switch LAN
Hot och påverkan 1. Integritet Skydda kundernas integritet Förhindra Man-in-the- Middle (MitM) attacker/avlyssning Säkerställ isolation mellan kunder 2. Spårbarhet Säkra möjligheten att spåra vid exvis abuse Lagkrav (datalagringsdirektivet) 3. Tillgänglighet Förhindra DoSattacker Reducera konstiga och svårhittade problem
DDoS globalt problem Sends query: small packet fake source IP (victims IP) Should be blocked by the operator NTP server replies: large packet to victim s IP NTP server
SAVI Source Address Validation Improvements 3.1.2/3.1.5 Flood-Based/Reflective DDoS Attacks Example: Recent NTP-based attacks Prevent IP Spoofing
(2) SAVI 3.1.3 Poisoning Attacks Prevent ARP cache poisoning/icmp Redirect
(3) SAVI 3.2.1 Man-in-the-Middle (MITM) Attacks Prevent ARP poisoning, Rogue DHCP,
SEC Secure End-User Connection Bästa referensdokumentet för IPv4-säkerhet http://secureenduserconnection.se/wp-content/uploads/2012/02/sec- Secure-End-user-Connection-2013-08-26.pdf Inkluderar även IPv6-säkerhet
1. Integritet (MitM attack) Internet Distribution Possible threats: ARP Poisoning (ettercap) ICMP Redirect (Scapy) Rogue DHCP Acces s Acces s
IP: 10.0.0.100 IP: 10.0.0.100 2. Spårbarhet Can be protected by: IP source guard DHCP option-82 Internet Distribution Acces s Acces s
3. Tillgänglighet Possible threats: DHCP flooding Control plane overload ARP poisoning DHCP server Access Internet Distribution?? Access!!!!!!!
Så testas säkerheten ISP node (Trusted Zone) End user (Friendly) Access Internet Distribution Access End user (Malicious) Manual tools to use: Wireshark tcpdump ettercap hping dsniff yersinia scapy (Python) Automated tools reduce manual efforts, such as Netrounds
Testuppställning med Netrounds Möjligt att automatisera testerna med Netrounds Core node (Trusted Zone) Acces s Internet Distribution Acces s End user (Friendly) End user (Malicious)
Att testa en switch (labb) Core node (Trusted Zone) Core: eth2 Cisco 3550 Customer1: eth2 Customer2: eth2 End user (Friendly) End user (Malicious)
Exempel från test i ett riktigt nät Netrounds test probe
Problem vi sett Möjligt att spoofa IP addresser Orsak: central Cisco som inte betedde sig enligt förväntan Säkerhetsimplikation: Spåbarhet/DoS
Problem vi sett ICMP-redirect möjligt från kundport Orsak: Missad konfiguration Säkerhetsimplikation: DoS/MiTM
Problem vi sett Fragmenterade TCP paket inte droppade Orsak: Missat konfiguration Säkerhetsimplikation: Orska problem för accesslistor
Problem vi sett CPU stress som orsakade DoS Orsakt: Felaktig konfiguration Säkerhetsimplikation: Möjligt att skapa en DoS attack
Om du är intresserad Testa ditt nät själv utgå från dok. på www.sakerkundanslutning.se Beställ en oberoende test/certifering Löptid från start till slut, ca en månad Genomförs av Netrounds
IPv6 då? Same same but different. Se exempelvis RFC 3756 IPv6 ND Trust Models and Threats Spårbarhet IPv4: RFC3046 DHCP option-82 / IPv4 address spoofing IPv6: RFC4649 Remote-ID option 37 / IPv6 address spoofing Förhindra DDoS-attacker IPv4: IPv4 address spoofing IPv6: IPv6 address spoofing (handle SLAAC + IPv6 PD as well)
IPv6 då? Förhindra Man-in-the-Middle attacker IPv4: ARP poisoning, ICMPv4 redirect IPv6: NS/NA Spoofing, ICMPv6 redirect, false RA messages Förhindra lokala DoS attacker IPv4: Rogue DCHPv4 server, ARP poisoning IPv6: Rogue DHCPv6 server, Rogue Duplicate Address Detection packets, false Router Advertisement (RA) messages
Andra IPv6 attacker RH0 (Router Header 0) DoS attack ND cache Exhaustion See RFC 6583 Operational ND Problems IPv6 UPnP, LLMNR, mdns and Bonjour filtering IPv6 Fragmentation attacks
Vilken utrustning klarar IPv6- kraven??