Neue Sicherheitslecks in Vistas Webstack

Martin Schindler,

Auch wenn das Netzwerkprotokoll IPv6, quasi das ‘neue’ Internet, noch mehr oder weniger in den Sternen steht, unterstützt Microsoft diese Technologie bereits.

Unter dem Code-Namen Teredo wurde die Spezifikation 2006 von der Internet Engineering Task Force (IETF) verabschiedet. Mit dieser Technologie soll der Übergang von IPv4 auf IPv6 erleichtert werden und auch die Sicherheit für das ‘neue Internet’ erhöht werden. Nun warnen Sicherheitsexperten von Symantec und Ericsson jedoch, dass über diese Technologie in Vista und anderen Betriebssystemen Sicherheitsparameter von Unternehmensnetzen wie Firewalls umgangen werden könnten.

Über Teredo lässt sich IPv6-Verkehr an IPv4 NATs tunneln. NATs, so genannte Network Adress Translators, werden aufgrund der Knappheit von IP-Adressen bei IPv4 verwendet, um in Unternehmensnetzwerken mehrere individuelle IP-Adressen hinter einer Unternehmens-IP-Adresse zu verbergen.

Verwendet ein Unternehmen im Netz die Teredo-Technologie, müssen Clients, Host-spezifische Relays und die Server allesamt Support für Teredo haben. In Vista ist Teredo per Default aktiviert, jedoch nicht im kommenden Windows Server 2008.

Nun haben James Hoagland von Symantec und Suresh Krishnan von Ericsson ein Dokument vorgestellt, in dem sie zahlreiche neue Gefährdungen durch Teredo in Vista offenlegen. Noch ist das Dokument nicht öffentlich zugänglich. Die IPv6-Arbeitsgruppe der IETF prüft derzeit die Untersuchung, die von dem Sicherheitshersteller Symantec in Auftrag durchgeführt wurde.

Dennoch scheinen die beiden Forscher von der Sicherheit Teredos nicht überzeugt zu sein. So raten die beiden Forscher, allen Teredo-Traffic über den Source Port 3544 und den Destination Port 3544 zu Filtern. Solange jedoch Firewalls oder andere Sicherheitslösungen mit dem Teredo-Traffic nicht zurecht kommen, sollte Teredo im Netzwerk deaktiviert werden. Ohne Teredo-Support suchen Firewalls nur in IPv4-Paketen und ‘sehen’ nicht, dass innerhalb dieses IPv4-Pakets noch ein IPv6-Paket mitkommt.

Vielen, so warnen die Forscher in dem Dokument, sei zudem nicht klar, dass Vista-Hosts über den aktivierten Teredo-Support IPv6 verwenden und damit auch aus aller Welt adressierbar sind.