Categories: FirewallSicherheit

IPv6-Attacken umgehen Netzwerk-Sicherheit

Wie aus einem gemeinsamen Whitepaper der NATO Cooperative Cyber Defence Centre of Excllence und der technischen Universität Tallin hervorgeht, können in herkömmlichen, IPv4-basierten Netzen Daten über IPv6 an Überwachungstools vorbei aus einem Netzwerk herausgezogen werden. Die Methode wurde von den Forschern „Hedgehog in the Fog“ benannt.

Damit sei ein Angreifer in der Lage, einen versteckten Kanal zu erstellen, über den Daten aus einem Netz abgeführt werden können. Zudem sollen sich über IPv6-Transition-Mechanismen auch Systeme fernsteuern lassen können. In einem Proof of Concept zeigen die Forscher mit einem getunnelten IPv6-Transition-Tool in einem IPv4- oder einem IPv4/IPv6-Dual-Stack, dass sie Traffic an quelloffenen und Signatur-basierten Network Intrusion Detection Systems (NIDS) vorbeischleusen können. Getestet wurden Snort, Surcata, Bro und Moloch.

Anonymisiert getestet wurden auch kommerzielle Tools, sie wurden allerdings nicht final in die Forschung mit aufgenommen. In vielen Tools sei noch kein Support für IPv6 implementiert, weil die Anwender das nicht nachfragen, auch seien viele Tools nicht für die Analyse von 128-bit-IPv6-Adressen entwickelt worden, heißt es in dem Whitepaper. Des Weiteren verwenden zahlreiche Hersteller auch quelloffene Tools als Grundlage für ihre Produkte. Auch lassen sich Tools umgehen, weil oft aus Performance-Gründen Real-Time Detection und Traffic-Decapsulation sowie Payload-Decoding deaktiviert und gerade für kleinere Unternehmen seien solche Tools meist zu teuer, weshalb diese nicht final evaluiert wurden.

Mit dem aktuellen Stand der Technik sei es dennoch sehr schwierig, sich gegen solche Angriffe zur Wehr zu setzen, denn diese sind in Echtzeit nur schwer zu entdecken. Vor allem dann, wenn in Netzen mit hohem Datenaufkommen, die Daten in kleinere Stücke aufgeteilt und an verschiedene Punkte und mit unterschiedlichen Protokollen im Netz verteilt werden. Nur mit erheblichen Performance-Einbußen sei es mit gängigen Tools möglich, solche Angriffe zu erkennen, denn in verschiedenen Datenströmen, müssten die Detection-Informationen korreliert werden. Mit Verhaltensbasierten Tools könne man diese zwar erkennen, aber würde damit eine hohen Zahl an Fehlalarmen bekommen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Die Zahl der Angriffe auf Basis von IPv6 wird den Vorhersagen der Forscher zufolge künftig steigen. Vor allem die Anbieter sollten daher für das Problem sensibilisiert werden. Auch müsste angesichts dieser Möglichkeit die Interpretation von Netzwerk-Traffic geändert werden, um solche Angriffe besser verstehen zu können. Anwender dagegen müssen sich informieren, wie sie Sicherheitslösungen richtig konfigurieren und installieren, um verdächtige Vorgänge im Netzwerk besser überprüfen zu können.

Mit IPv6 versucht man Beschränkungen aufzuheben, die etwa durch den zu klein gewordenen Adressraum von IPv4 entstanden sind. Jedoch ist IPv6 keine Weiterentwicklung von IPv4 sondern im Grunde genommen ein völlig neues Protokoll, das aber nicht nur neue Möglichkeiten, sondern wie oben beschrieben auch neue Risiken birgt.

„Die Tools, die wir gemeinsam entwickelt haben, wurden öffentlich gemacht und so kann die Sicherheits-Community die Ergebnisse gegen ihre eigenen Informationssysteme testen und verifizieren“, kommentiert Bernhards Blumbergs, Autor der Ergebnisse und Sicherheitsforscher bei dem NATO Cooperative Cyber Defence Centre of Excellence.

[Mit Material von Martin Schindler, silicon.de]

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago