Netzwerkforensik IPv6
Gegenstand des Seminars

Das in die Jahre gekommene Netzwerkprotokoll IPv4 wird allmählich durch IPv6 abgelöst. Schon heute findet flächendeckend Parallelbetrieb statt; Deutschland hat im internationalen Vergleich bereits eine recht umfassende Einführung der Technik auch bei Endkunden und Verbrauchern. Viele IT-Geräte nutzen standardmäßig mittels Dual Stack auch IPv6, sodass bei Ihrem Einschalten u.U. direkt (auch) ein IPv6-Netzwerk aufgebaut wird.

Zwar sind Grundkonzepte einfach zu verstehen und auch der praktische Betrieb ist mit wenig Aufwand möglich. Dennoch ergeben sich eine Reihe von Herausforderungen und bedenkenswerter Punkte hinsichtlich IT-Forensik und IT-Sicherheit. Diese wirken sich auf die Sicherstellung und Interpretation von Netzwerk-bezogenen Datenspuren unter Zuhilfenahme einer Vielzahl IT-forensischer Werkzeuge aus.

Dies bedeutet, IT-Forensiker müssen Netzwerkkonfiguration und Datenspuren in beiden Netzwerken und deren Unterschiede verstehen, um:

  • Datenspuren in IPv6-Netzwerken sichern zu können
  • Security Incidents in IPv6-Netzwerken erkennen zu können
  • In gesicherten Daten Artefakte/Spuren zu IPv6 erkennen und auswerten zu können
  • IT-forensische Auswertungswerkzeuge auf Ihre Unterstützung bezüglich IPv6 beurteilen und sicher bedienen zu können.

Beispiele für Herausforderungen:

  • Wurde eine mittels Dual Stack automatisch aufgebaute IPv6-Vernetzung übersehen?
  • Wie weit unterstützt ein bestimmtes IT-forensisches Werkzeug bereits IPv6?
  • Was kann bei IPv6 trotz Adressumsetzungen und Privacy Extensions noch herausgefunden werden, welche Rückverfolgungen sind möglich?
Zielsetzung

Die Teilnehmer

  • verschaffen sich einen Überblick über den Aufbau und die Funktionsweise von IPv6-Netzwerken und darin verwendeten verwandten Protokollen. IPv4 wird behandelt, soweit sinnvoll, um Unterschiede herauszustellen oder den parallelen Betrieb zu betrachten.
  • erwerben Grundkenntnisse in IPv6 für eigene Tätigkeiten in IT-Administration/Betrieb und IT-Forensik anhand theoretischer Darstellung und praktischer Demonstration
  • kennen wesentliche Artefakte/Spuren, die bei Nutzung von IPv6 entstehen und können Einstellungen auslesen und Logfiles analysieren
  • lernen typische IPv6-fähige Werkzeuge zur Netzwerkverwaltung und IT-forensischen Auswertung kennen, die in einer Labor-/Analyseumgebung genutzt werden können
  • werden sensibilisiert für Aspekte von IPv6 hinsichtlich IT-Forensik und IT-Sicherheit, erkennen, welche Auswirkungen IPv6 für ihre Arbeit haben wird und leiten am ersten Tag solche Implikationen ab.

Methoden:

  • Vermittlung und Erläuterung theoretischer Grundlagen (Foliensatz und Diskussion)
  • Praktische Demonstration von beachtenswerten Sachverhalten in einem vorbereiteten IPv6-Netzwerk sowie Vorstellung relevanter Werkzeuge
  • Workshop: Teilnehmerübungen am Rechner/Netzwerk.
Zielgruppe

Dieser Workshop richtet sich an IT-Forensiker (Ermittler, Informatiker, Mitarbeiter in Unternehmen oder bei Behörden), die selbst Netzwerk-Forensik durchführen oder solche Projekte sehr techniknah steuern. Dieser Kurs eignet sich für technikerfahrene Teilnehmer, die sich noch nicht systematisch mit IPv6 beschäftigt haben, also an praktischen Grundlagen und Anwendungsmöglichkeiten im Bereit der IT-Forensik interessiert sind.

Grundkenntnisse zum Aufbau und zur Funktionsweise von Netzwerken, insbesondere IPv4, werden bei den Teilnehmern vorausgesetzt. Der Workshop richtet sich an Teilnehmer, die noch keine Erfahrung und noch kein nennenswertes Wissen zu IPv6 aufgebaut haben. Dementsprechend enthält der Kurs Wiederholungen zu IPv4 und insbesondere Grundlagenwissen zu IPv6.

Technische Anforderungen
Für das Seminar ist ein Laptop mit Administrationsrechten mitzubringen (Windows 7/8/10, mindestens 100 GB freier Speicher, mindestens 8 GB RAM, LAN-Netzwerkanschluss). Weitere Details zur Konfiguration werden vor der Schulung noch mitgeteilt.

Seminarablauf

Themenüberblick, 09:00 bis 17:00 Uhr:

  • Motivation, Grundkonzepte und Grundlagen von IPv6 (Trivialbeispiel: neue 128bit-Adressen)
  • Worum geht es? Was ist wichtig? Wie geht es? Was ändert sich dadurch?
  • Änderungen am Protokoll, gleichzeitiger Betrieb und Migration
  • Anwendungsfälle in der IT-Forensik von praktischer Relevanz
  • Werkzeuge für IPv6-Forensik
  • IT-Sicherheit bei Tätern, Betreibern und Ermittlern: Sicherheitsprobleme und Schwierigkeiten bei der Auswertung aufgrund von Tunnel, Gateways und parallelen Netzwerken, Firewall-Einstellungen, Privacy Extensions, Verschlüsselung/IPSec, ...
  • IPv6-Konnektivität aufbauen und testen: Wir verwenden ein virtualisiertes Linux-System, welches als Router einen IPv6-Tunnel aufbaut und dem internen Netzwerk damit vollständige IPv6-Konnektivität bietet
  • Betrachtung von Network Address Translation (NAT) vor dem Hintergrund Migration zu IPv6 und Dualbetrieb
  • IT-Forensik und Incident Handling:
    • Spurensuche auf einem "toten" Asservat
    • Sicherung und Interpretation von aktuell laufenden Verbindungen - Mitsniffen im IPv6-Netzwerk
    • Ableiten der IPv4-Adressen aus Tunnel-Adressen
    • Spurensuche auf einem IPv6-Linux-Webserver (z.B. nach einem aufzuklärenden Systemeinbruch)
    • Proaktives Logging aus Sicht von Strafverfolgern
    • Aufbau und Betrieb eigener transparenter Bridges zur Aufzeichnung von IPv6-Netzwerkverkehr
    • Kriterien für eine „IT-Forensik-Readiness“ aus Sicht von Ermittlern/IT-Forensikern
  • Praktisches IPv6-Hacking: Sicherheitsbedrohungen und Angriffsmöglichkeiten, welche Spuren fallen dabei an?

Die Inhalte sind in folgende Module aufgeteilt:

Tag 1

  • Einführung
  • Grundüberlegungen
  • IPv4 (Wiederholung der wesentlichen Eigenschaften und Überleitung zu IPv6)
  • Grundlagen IPv6 (Grundkonzepte)
  • Fortgeschrittene Aspekte IPv6 (z.B. Mobile IPv6, Tunneltechniken)

Tag 2

  • Wiederholung und Vertiefung der Grundlagen aus Tag 1
  • IPv6-Hacking
  • IT-Forensische Aspekte
Referenten
Phil  Knüfer, M. Sc. IT-Sicherheit, Consultant IT-Sicherheit/IT-Forensik
Robert  Mittendorf, M. Sc. Informatik, Consultant IT-Forensik/IT-Sicherheit
Alexander  Sigel, M.A., GGF DigiTrace GmbH, Senior-Consultant, (freier) Sachverständiger für IT-Forensik.
Martin  Wundram, GGF DigiTrace GmbH, Senior-Consultant, T.I.S.P. - TeleTrust Information Security Professional. Von der IHK zu Köln öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung, insbesondere IT-Sicherheit und IT-Forensik.
Termin und Ort
Ort:
Tagungshotel (wird noch bekannt gegeben)
Berlin


Zeitraum:
02.04.2019 09:00 Uhr - 03.04.2019 17:00 Uhr

Preis
1.880,- Euro zzgl. MwSt.
Zur Anmeldung


Partner:



Veranstaltungen nach Datum


November 2018 (1)

Dezember 2018 (2)

Januar 2019 (7)

Februar 2019 (8)

März 2019 (20)

April 2019 (9)

Mai 2019 (15)

Juni 2019 (12)

September 2019 (22)

Oktober 2019 (4)


Veranstaltungen nach Thema


Datenschutz
Digital Compliance
Informationssicherheit
Organisation & Best Practice
Rechtliche Anforderungen & Regulierung
Technische Mittel & Methoden
Zertifizierung