Categories: FirewallSicherheit

IPv6-Attacken umgehen Netzwerk-Sicherheit

Wie aus einem gemeinsamen Whitepaper der NATO Cooperative Cyber Defence Centre of Excllence und der technischen Universität Tallin hervorgeht, können in herkömmlichen, IPv4-basierten Netzen Daten über IPv6 an Überwachungstools vorbei aus einem Netzwerk herausgezogen werden. Die Methode wurde von den Forschern „Hedgehog in the Fog“ benannt.

Damit sei ein Angreifer in der Lage, einen versteckten Kanal zu erstellen, über den Daten aus einem Netz abgeführt werden können. Zudem sollen sich über IPv6-Transition-Mechanismen auch Systeme fernsteuern lassen können. In einem Proof of Concept zeigen die Forscher mit einem getunnelten IPv6-Transition-Tool in einem IPv4- oder einem IPv4/IPv6-Dual-Stack, dass sie Traffic an quelloffenen und Signatur-basierten Network Intrusion Detection Systems (NIDS) vorbeischleusen können. Getestet wurden Snort, Surcata, Bro und Moloch.

Anonymisiert getestet wurden auch kommerzielle Tools, sie wurden allerdings nicht final in die Forschung mit aufgenommen. In vielen Tools sei noch kein Support für IPv6 implementiert, weil die Anwender das nicht nachfragen, auch seien viele Tools nicht für die Analyse von 128-bit-IPv6-Adressen entwickelt worden, heißt es in dem Whitepaper. Des Weiteren verwenden zahlreiche Hersteller auch quelloffene Tools als Grundlage für ihre Produkte. Auch lassen sich Tools umgehen, weil oft aus Performance-Gründen Real-Time Detection und Traffic-Decapsulation sowie Payload-Decoding deaktiviert und gerade für kleinere Unternehmen seien solche Tools meist zu teuer, weshalb diese nicht final evaluiert wurden.

Mit dem aktuellen Stand der Technik sei es dennoch sehr schwierig, sich gegen solche Angriffe zur Wehr zu setzen, denn diese sind in Echtzeit nur schwer zu entdecken. Vor allem dann, wenn in Netzen mit hohem Datenaufkommen, die Daten in kleinere Stücke aufgeteilt und an verschiedene Punkte und mit unterschiedlichen Protokollen im Netz verteilt werden. Nur mit erheblichen Performance-Einbußen sei es mit gängigen Tools möglich, solche Angriffe zu erkennen, denn in verschiedenen Datenströmen, müssten die Detection-Informationen korreliert werden. Mit Verhaltensbasierten Tools könne man diese zwar erkennen, aber würde damit eine hohen Zahl an Fehlalarmen bekommen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Die Zahl der Angriffe auf Basis von IPv6 wird den Vorhersagen der Forscher zufolge künftig steigen. Vor allem die Anbieter sollten daher für das Problem sensibilisiert werden. Auch müsste angesichts dieser Möglichkeit die Interpretation von Netzwerk-Traffic geändert werden, um solche Angriffe besser verstehen zu können. Anwender dagegen müssen sich informieren, wie sie Sicherheitslösungen richtig konfigurieren und installieren, um verdächtige Vorgänge im Netzwerk besser überprüfen zu können.

Mit IPv6 versucht man Beschränkungen aufzuheben, die etwa durch den zu klein gewordenen Adressraum von IPv4 entstanden sind. Jedoch ist IPv6 keine Weiterentwicklung von IPv4 sondern im Grunde genommen ein völlig neues Protokoll, das aber nicht nur neue Möglichkeiten, sondern wie oben beschrieben auch neue Risiken birgt.

„Die Tools, die wir gemeinsam entwickelt haben, wurden öffentlich gemacht und so kann die Sicherheits-Community die Ergebnisse gegen ihre eigenen Informationssysteme testen und verifizieren“, kommentiert Bernhards Blumbergs, Autor der Ergebnisse und Sicherheitsforscher bei dem NATO Cooperative Cyber Defence Centre of Excellence.

[Mit Material von Martin Schindler, silicon.de]

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago