Categories: FirewallSicherheit

IPv6-Attacken umgehen Netzwerk-Sicherheit

Wie aus einem gemeinsamen Whitepaper der NATO Cooperative Cyber Defence Centre of Excllence und der technischen Universität Tallin hervorgeht, können in herkömmlichen, IPv4-basierten Netzen Daten über IPv6 an Überwachungstools vorbei aus einem Netzwerk herausgezogen werden. Die Methode wurde von den Forschern „Hedgehog in the Fog“ benannt.

Damit sei ein Angreifer in der Lage, einen versteckten Kanal zu erstellen, über den Daten aus einem Netz abgeführt werden können. Zudem sollen sich über IPv6-Transition-Mechanismen auch Systeme fernsteuern lassen können. In einem Proof of Concept zeigen die Forscher mit einem getunnelten IPv6-Transition-Tool in einem IPv4- oder einem IPv4/IPv6-Dual-Stack, dass sie Traffic an quelloffenen und Signatur-basierten Network Intrusion Detection Systems (NIDS) vorbeischleusen können. Getestet wurden Snort, Surcata, Bro und Moloch.

Anonymisiert getestet wurden auch kommerzielle Tools, sie wurden allerdings nicht final in die Forschung mit aufgenommen. In vielen Tools sei noch kein Support für IPv6 implementiert, weil die Anwender das nicht nachfragen, auch seien viele Tools nicht für die Analyse von 128-bit-IPv6-Adressen entwickelt worden, heißt es in dem Whitepaper. Des Weiteren verwenden zahlreiche Hersteller auch quelloffene Tools als Grundlage für ihre Produkte. Auch lassen sich Tools umgehen, weil oft aus Performance-Gründen Real-Time Detection und Traffic-Decapsulation sowie Payload-Decoding deaktiviert und gerade für kleinere Unternehmen seien solche Tools meist zu teuer, weshalb diese nicht final evaluiert wurden.

Mit dem aktuellen Stand der Technik sei es dennoch sehr schwierig, sich gegen solche Angriffe zur Wehr zu setzen, denn diese sind in Echtzeit nur schwer zu entdecken. Vor allem dann, wenn in Netzen mit hohem Datenaufkommen, die Daten in kleinere Stücke aufgeteilt und an verschiedene Punkte und mit unterschiedlichen Protokollen im Netz verteilt werden. Nur mit erheblichen Performance-Einbußen sei es mit gängigen Tools möglich, solche Angriffe zu erkennen, denn in verschiedenen Datenströmen, müssten die Detection-Informationen korreliert werden. Mit Verhaltensbasierten Tools könne man diese zwar erkennen, aber würde damit eine hohen Zahl an Fehlalarmen bekommen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Die Zahl der Angriffe auf Basis von IPv6 wird den Vorhersagen der Forscher zufolge künftig steigen. Vor allem die Anbieter sollten daher für das Problem sensibilisiert werden. Auch müsste angesichts dieser Möglichkeit die Interpretation von Netzwerk-Traffic geändert werden, um solche Angriffe besser verstehen zu können. Anwender dagegen müssen sich informieren, wie sie Sicherheitslösungen richtig konfigurieren und installieren, um verdächtige Vorgänge im Netzwerk besser überprüfen zu können.

Mit IPv6 versucht man Beschränkungen aufzuheben, die etwa durch den zu klein gewordenen Adressraum von IPv4 entstanden sind. Jedoch ist IPv6 keine Weiterentwicklung von IPv4 sondern im Grunde genommen ein völlig neues Protokoll, das aber nicht nur neue Möglichkeiten, sondern wie oben beschrieben auch neue Risiken birgt.

„Die Tools, die wir gemeinsam entwickelt haben, wurden öffentlich gemacht und so kann die Sicherheits-Community die Ergebnisse gegen ihre eigenen Informationssysteme testen und verifizieren“, kommentiert Bernhards Blumbergs, Autor der Ergebnisse und Sicherheitsforscher bei dem NATO Cooperative Cyber Defence Centre of Excellence.

[Mit Material von Martin Schindler, silicon.de]

Anja Schmoll-Trautmann @Anja_NME

Anja Schmoll-Trautmann berichtet über aktuelle Entwicklungen im Bereich Consumer Electronics, Mobile und Peripherie. Sie arbeitet mit Windows in allen Varianten, OS X, iOS und Android.

Recent Posts

Sinequa-Marktbefragung in UK, Frankreich und Deutschland: In punkto DSGVO-Reife hält sich jeder für den Spitzenreiter

Zwei Jahre nach Inkrafttreten der EU-weiten DSGVO-Datenschutzbestimmungen hat der Anbieter kognitiver Such- und Analysesoftware eine Umfrage in drei europäischen Ländern…

21 Stunden ago

Ausprobiert: Rock Space WLAN Repeater AC1200

Der Rock Space WLAN Repeater AC1200 funkt mit 5 und 2,4 GHz. Die maximale Übertragungsrate beträgt 867 MBit/s. Bei 2,4…

2 Tagen ago

BSI veröffentlicht Sicherheitsanforderungen für Smartphones

Mit dem Forderungskatalog will das BSI einen öffentlichen Diskurs über Sicherheit von Smartphones starten. Die Anforderungen sollen zukünftig in Richtlinien…

2 Tagen ago

Update für Chrome schließt Zero-Day-Lücke

Mit Version 80.0.3987.122 schließt Google in Chrome drei Sicherheitslücken. Mit CVE-2020-6418 findet sich darunter auch eine Zero-Day-Lücke die aktiv ausgenutzt…

2 Tagen ago

Firefox: Mozilla aktiviert DNS-über-HTTPS für US-Nutzer

Durch die Verschlüsselung von DNS-Abfragen schützen sich Anwender vor dem Ausspionieren des Surfverhaltens. Anders als beim Google-Browser Chrome können Firefox-Nutzer…

2 Tagen ago

Opera R2020 mit verbessertem Tab-Management

Opera 67.0 alias R2020 soll mit seinem verbessertem Tab-Management für Ordnung beim Surfen sorgen. Tabs lassen sich in insgesamt fünf…

2 Tagen ago