Zugehörigkeit von MAC- und IPv6-Adressen speichern (IPv6-Kongress 2014)

Genau wie letztes Jahr stelle ich hier meinen Vortrag vom diesjährigen IPv6-Kongress in Frankfurt zur Verfügung. Es ist eine PDF-Datei die jeweils meine Folie sowie meine ganzen Stichpunkte beinhält. Somit sollte man den kompletten Inhalt verstehen, auch wenn man nicht beim Vortrag war.

download-buttons02

Thema

In IPv4-Netzen hat der DHCP-Server für die Vergabe von Adressen gesorgt und dabei auch die MAC-Adressen der Clients gespeichert. Verwendet man bei IPv6 die automatische Adressvergabe via SLAAC, speichert kein Gerät mehr per se die MAC-Adressen der Clients ab. Eine nachträgliche (forensische) Analyse ist somit nicht möglich.

Ein einfache Lösung ist, mit einem Packet Sniffer im jeweiligen Netzwerksegment die DAD-ICMPv6-Nachrichten (“Duplicate Address Detection”) von allen neuen IPv6-Nodes mitzuschneiden um somit eine Liste der verwendeten IPv6-Adressen inkl. der entsprechenden MAC-Adressen zu erstellen.

Der Vortrag geht auf die Notwendigkeit der Speicherung von den MAC-IPv6 Bindings ein, erläutert die DAD-Nachrichten, zeigt ein einfaches Tcpdump-Skript zur Speicherung dieser Nachrichten und führt zusätzliche Statistiken bezüglich der Adressverteilung vor. Außerdem geht er auf die Nachteile dieser Variante ein und zeigt Alternativen auf.

Links zu den drei Blogposts

Der Vortrag fasst folgende Posts zusammen:

Nachtrag/Feedback

Während bzw. nach meinem Vortrag wurden folgende Punkte angemerkt, die ich gerne hier noch ergänzen möchte. Die ersten beiden beziehen sich auf meine Studie (Verlässlichkeit der DAD-Nachrichten) und den 10 fehlenden IPv6-Adressen im DAD-Log:

  • Durch meinen Tcpdump Filter “ip6[40] = 135” treffe ich NUR die DAD-Nachrichten, die direkt geschickt werden. Falls zum Beispiel ein Extension Header dazwischen eingeschoben wird, greift mein Filter nicht. Somit könnten ein paar DADs verloren gegangen sein. (Auch wenn es eigentlich nicht sein sollte, dass Extension Header dazwischen sind…)
  • Ein Mitarbeiter von Microsoft meinte, dass er schon mal komische IPv6-Adressen von einem PC hat abgehen sehen, die von einer ebenfalls komischen Software irgendwie erzeugt und ins Netzwerk geschickt worden sind. In so einem Fall wären keine DADs vorangegangen.
  • Bezüglich meiner Aussage, dass stateful DHCPv6 das Problem lösen wurde: Ein weiterer Zuhörer sagte mir, dass das nicht stimmt, da bei DHCPv6 Nachrichten NICHT die MAC-Adresse des Hosts übertragen wird, sondern nur die DUID. Ups, da hätte ich mich besser informieren müssen. Sorry. Somit kann man mit stateful DHCPv6 zwar Adressen vergeben, die der Admin (und nicht der Client) bestimmt, das Problem von der Speicherung der MAC- und IPv6-Adressen wird damit aber nicht gelöst.

Für weitere Anmerkungen bin ich natürlich offen.

Leave a Reply

Your email address will not be published. Required fields are marked *