IPv6-Attacken umgehen Netzwerk-Sicherheit

Wie aus einem gemeinsamen Whitepaper der NATO Cooperative Cyber Defence Centre of Excllence und der technischen Universität Tallin hervorgeht, können in herkömmlichen, IPv4-basierten Netzen Daten über IPv6 an Überwachungstools vorbei aus einem Netzwerk herausgezogen werden. Die Methode wurde von den Forschern „Hedgehog in the Fog“ benannt.

Damit sei ein Angreifer in der Lage, einen versteckten Kanal zu erstellen, über den Daten aus einem Netz abgeführt werden können. Zudem sollen sich über IPv6-Transition-Mechanismen auch Systeme fernsteuern lassen können. In einem Proof of Concept zeigen die Forscher mit einem getunnelten IPv6-Transition-Tool in einem IPv4- oder einem IPv4/IPv6-Dual-Stack, dass sie Traffic an quelloffenen und Signatur-basierten Network Intrusion Detection Systems (NIDS) vorbeischleusen können. Getestet wurden Snort, Surcata, Bro und Moloch.

Anonymisiert getestet wurden auch kommerzielle Tools, sie wurden allerdings nicht final in die Forschung mit aufgenommen. In vielen Tools sei noch kein Support für IPv6 implementiert, weil die Anwender das nicht nachfragen, auch seien viele Tools nicht für die Analyse von 128-bit-IPv6-Adressen entwickelt worden, heißt es in dem Whitepaper. Des Weiteren verwenden zahlreiche Hersteller auch quelloffene Tools als Grundlage für ihre Produkte. Auch lassen sich Tools umgehen, weil oft aus Performance-Gründen Real-Time Detection und Traffic-Decapsulation sowie Payload-Decoding deaktiviert und gerade für kleinere Unternehmen seien solche Tools meist zu teuer, weshalb diese nicht final evaluiert wurden.

Mit dem aktuellen Stand der Technik sei es dennoch sehr schwierig, sich gegen solche Angriffe zur Wehr zu setzen, denn diese sind in Echtzeit nur schwer zu entdecken. Vor allem dann, wenn in Netzen mit hohem Datenaufkommen, die Daten in kleinere Stücke aufgeteilt und an verschiedene Punkte und mit unterschiedlichen Protokollen im Netz verteilt werden. Nur mit erheblichen Performance-Einbußen sei es mit gängigen Tools möglich, solche Angriffe zu erkennen, denn in verschiedenen Datenströmen, müssten die Detection-Informationen korreliert werden. Mit Verhaltensbasierten Tools könne man diese zwar erkennen, aber würde damit eine hohen Zahl an Fehlalarmen bekommen.

Die Zahl der Angriffe auf Basis von IPv6 wird den Vorhersagen der Forscher zufolge künftig steigen. Vor allem die Anbieter sollten daher für das Problem sensibilisiert werden. Auch müsste angesichts dieser Möglichkeit die Interpretation von Netzwerk-Traffic geändert werden, um solche Angriffe besser verstehen zu können. Anwender dagegen müssen sich informieren, wie sie Sicherheitslösungen richtig konfigurieren und installieren, um verdächtige Vorgänge im Netzwerk besser überprüfen zu können.

Mit IPv6 versucht man Beschränkungen aufzuheben, die etwa durch den zu klein gewordenen Adressraum von IPv4 entstanden sind. Jedoch ist IPv6 keine Weiterentwicklung von IPv4 sondern im Grunde genommen ein völlig neues Protokoll, das aber nicht nur neue Möglichkeiten, sondern wie oben beschrieben auch neue Risiken birgt.

„Die Tools, die wir gemeinsam entwickelt haben, wurden öffentlich gemacht und so kann die Sicherheits-Community die Ergebnisse gegen ihre eigenen Informationssysteme testen und verifizieren“, kommentiert Bernhards Blumbergs, Autor der Ergebnisse und Sicherheitsforscher bei dem NATO Cooperative Cyber Defence Centre of Excellence.

[Mit Material von Martin Schindler, silicon.de]