PowerPackage IPv6

Diese IPv6 Schulung kombiniert die Inhalte der Kurse IPv6 Einführung und IPv6 Security in einer Veranstaltung. Die IPv6-Einführung in einem Unternehmensnetzwerk ist sehr facettenreich. Sie setzt ein detailliertes Verständnis der Änderungen und Neuerungen gegenüber IPv4 voraus. Aufbauend auf diesem Wissen kann eine Planung und Umsetzung der Migration erfolgen. Dabei sollten stets auch Sicherheitsaspekte bedacht werden. Von der Funktionsweise des IPv6-Protokolls über Security-Aspekte bis hin zu sinnvollen Migrationsstrategien erfährst du in der IPv6 Schulung alles, was du zum erfolgreichen Einsatz dieser Technologie wissen musst.

Mit diesem Wissen aus dem PowerPackage IPv6 wirst du in die Lage versetzt, eine strukturierte und sicher durchdachte Migration zu IPv6 zu realisieren.

Motivation für IPv6

• Die Motivation für IPv6

• Entwicklungen im Internet

  • IPv4 Adressraum

  • Größe der Routingtabellen

  • Effizienz

  • Komplexität durch Hilfsprotokolle

• Mobilfunk

  • Mobiles Internet

• Das Internet of Things (IoT)

  • IoT Zugangs-Technologien

• Anforderungen an das neue IP

• Vergleich IPv4 und IPv6

• Die IPv6 Einführung

  • Die Einführung in Enterprise-Netzen

  • Der Mehrwert für Firmennetze

  • Widerstand gegen IPv6

Adressierung mit IPv6

• IPv6 Adressen

• Struktur einer IPv6 Adresse

  • Bilden der Interface ID

  • Privacy Extensions nach RFC 4941

• IPv6 Gültigkeitsbereiche

• Unicast Adressen

• Global Unicast Adressen

• Link Local Adressen

• Unique Local Adressen

  • Vor und Nachteile privater Adressen

• Multicast Adressen

  • Bekannte Multicast Adressen

  • Solicited-Node Multicast Adresse

  • Präfix basierte Multicast Adressen

• Anycast Adressen

• Weitere Adresstypen

• Die Vergabe der IPv6 Präfixe

  • Adressvergabe IANA-RIR

  • Adressvergabe der RIRs – LIRs – Kunden

  • Kontrolle

Der IPv6 – Header

• Das Header-Format

  • Version, Payload Length und Hop Limit

  • Traffic Class

• Flow Label

  • RFC 6294: Route Caching und Load Sharing

  • RFC 6294: Weitere Nutzung des Flow Labels

• Erweiterungen mit dem Next Header

  • Erweiterungen für die Router

  • Erweiterungen für die Endsysteme

  • Erweiterung IPsec

• Mobile IPv6

  • Mobile IPv6 Begriffe

Nachbarschaftsprozesse

• ICMPv6

• ICMPv6 Meldungen

  • Typ 1: Destination Unreachable

  • Typ 2: Packet to Big

  • Typ 3: Time Exceeded

  • Typ 4: Parameter Problem

  • Typ 128/129: Echo Request und Reply

• Neighbor Discovery

• Neighbor Unreachability Detection

• Duplicate Address Detection

• Router Discovery

• Multicast Listener Discovery

• Redirect

Adressvergabe mit IPv6

• Adressvergabe bei IPv6

• Statische Adressvergabe

• Router Advertisements deaktivieren?

• Dynamische Adressvergabe

• Stateless Autoconfiguration (SLAAC)

  • Prozesse während SLAAC

• IPv6 RDNSS Configuration

• DHCPv6

  • DHCPv6 – Varianten

  • Stateless DHCPv6

  • Stateful DHCPv6

  • Lifetime und Erneuerung von Adressen

  • DHCPv6-Timing – ohne Server

  • DHCPv6 – Client- und Server-Identifier (DUID)

• DHCPv6 Relay Agent

• DHCPv6 Prefix Delegation

• Die richtige Adressvergabe wählen

• IPv6 Adressdesign

  • IPv6 Plan für ein Campus Netzwerk

  • Adresskonzept VLAN Benennung

IPv6 im Betrieb

• Parallelbetrieb IPv6 und IPv4

  • Vor- und Nachteile von Dual Stack

  • DNS machts möglich

  • Was wird bevorzugt?

  • Happy Eyeballs

• Betriebssysteme und IPv6

  • Microsoft

  • Linux

  • Mac OS X

  • Android

  • iOS

• Router und IPv6

  • Hersteller

  • Cisco Systems

  • Juniper

• IPv6 und Virtualisierung

• Cloud Services

• Routingprotokolle IPv6

  • Statische Routen

  • RIPng

  • OSPF und IS-IS

  • BGP-4

• IPv6 beim Zugang

  • IPv6 und PPP

  • Konfiguration der WAN-Seite

  • Konfiguration der LAN-Seite

  • Adressierung interner Links

Die Migration im Überblick

• Migrationsverfahren

  • Netze mit Dual Stack Nodes

  • Native IPv6-Netze

• Tunnel

  • IPv6 in IPv4 Tunneling

  • Statische Tunnel – 6in4

  • Tunnel bauen

  • Routing durch Tunnel

  • IPv6 in GRE

  • Dynamische Tunnel – 6to4

  • Adressformat bei 6to4

• Migrationsstrategien

  • Backbone First

  • Edges First

• Die Migration planen

  • Das Ziel festlegen

  • Den Ist-Zustand erfassen

  • Inventarisierung und Auswertung

  • Eine IPv6-Testumgebung

  • Abschluss der Tests

• Umstellen – Aber wann?

Grundlegende Sicherheitsüberlegungen

• Grundsätzliche Überlegungen

  • Sicherheitsmaßnahmen

  • Personal und Dienstleister

• IPv4 und IPv6 – Sicherheit im Vergleich

  • Unterschiede zwischen IPv4 und IPv6

• Die aktuelle Sicherheitslage

  • Vulnerable IPv6 Stacks

  • Die Firewall

  • Intrusion Prevention System

• Der IPv6-Header aus Sicherheitssicht

  • Das Flow Label – Covert Channel

  • Extension Header Parsing

  • Sicherheitsrelevanz der Erweiterungsheader

  • Die Filterung von IPv6

• Die Sicherheit testen - Tools für IPv6 Vulnerability Tests

  • NMAP

  • Nessus und OpenVAS

  • Paket-Generatoren

  • Die THC Toolsammlung

  • SI6 Tools

IPv6-Adressierung aus Sicherheitssicht

• Sicherheitsrelevanz von NAT

  • IPv6-IPv6 Network Prefix Translation (NAT66)

• Sicherheitsbetrachtungen zu den Adressarten

  • EUI 64 – Großer Wiedererkennungswert

  • Temporäre Adressen

• IPv6-Adressen auskundschaften

  • Passive Sniffing

  • Detect-New-IP6

  • Multicast Enumeration

  • Alive6

  • Registrierungs-Abfrage

  • IPv6 Netze scannen

  • IPv6-Adressen erraten

  • DNS Reconnaissance

IPv6 und First Hop Security

• Neighbor-Discovery-Angriffe

  • Trust Models and Threats

  • NDP Spoofing

  • Neighbor Unreachability Detection (NUD)

  • DoS_New_IP6

  • NDP Exhaustion Attack

  • Neighbor Advertisement Flooding

• SLAAC Angriffe

  • Rogue Router

  • Man in the Middle mit RAs

  • Faked Default Gateway

  • RA Flooding

• DHCPv6 Angriffe

  • DHCPv6 Starvation

  • Rogue DHCPv6 Server

• ICMPv6-Angriffe

  • Amplification Attack

  • Redirect-Angriffe

• ACLs zur Sicherung

  • Rogue Router ausgrenzen

  • Rogue DHCP Server verhindern

  • RA Guard

  • DHCPv6 Guard/Shield

  • NDP Snooping

  • NDP Inspection

• SEND

  • RAs mit SEND absichern

  • SEND und Stateful Autoconfiguration

Sicherheit von IPv6-Netzen

• Router in IPv6 Netzwerken sichern

  • IPv6 ACLs aufsetzen

  • Eingehender Verkehr

  • Adressen Filtern

  • ICMPv6 filtern

  • Sicherung der Routingprotokolle

  • Authentisierung bei Routing Protokollen

  • BGP-4 – Verwendung von Link Local Unicasts

  • IP Spoofing verhindern

• Firewalls anpassen

  • IPv6-Fähigkeit hinterfragen

  • Check Point

  • Cisco-ASA

  • Palo Alto

  • Fortinet

  • Juniper

  • Barracuda

  • Objekte anpassen

  • Regelwerke ergänzen

  • Bogon Filtering

• Radius und IPv6

  • IPv6-Konnektivität herstellen

  • Freeradius und IPv6

  • Microsoft – Network Policy Server

  • RADIUS-IPv6-Attribute

• IPS in IPv6-Netzen

• Proxys in IPv6-Netzen

• IPsec in IPv6-Netzen

  • Einsatzmöglichkeiten von IPsec

  • Host to Host Szenario

  • IPv6-VPNs

  • IPv6-VPDN mit IPsec

  • IPsec RAS VPNs und IPv6

Sicherheit während der Migration

• Gedanklicher Umzug zu IPv6

• IPv6 Latent Threats

• Dual Stack – Doppelter Schutz notwendig

  • Endgerätesicherheit aus Sicht von IPv6

• Nutzen von Tunneltechnologien hinterfragen

  • Die Tunnel-Sicherheit hinterfragen

  • Configured Tunnel sichern

  • Tunnel Traffic verschlüsseln

Das PowerPackage IPv6 eignet sich für Planer, Administratoren und Security-Beauftragte, die eine Einführung von IPv6 in einem Netzwerk durchführen sollen und mögliche Sicherheitsprobleme bereits im Vorfeld abschätzen wollen.

Detaillierte Kenntnisse zu IPv4 sind für die erfolgreiche Teilnahme an unserem PowerPackage IPv6 notwendig. Eine gute Vorbereitung ist der Besuch des Kurses TCP/IP.