IPv6-Attacken können Netzwerk-Sicherheit umgehen

Über IPv6 können in herkömmlichen, IPv4-basierten Netzen Daten an Überwachungstools vorbei aus einem Netzwerk herausgezogen werden. Das geht aus einem gemeinsamen Whitepaper der NATO Cooperative Cyber Defence Centre of Excllence und der technischen Universität Tallin hervor.

Die Forscher haben die Methode mit “Hedgehog in the Fog” betitelt. Ein Angreifer sei damit in der Lage, einen versteckten Kanal zu erstellen, über den Daten aus einem Netz abgeführt werden können. Zudem sollen sich über IPv6-Transition-Mechanismen auch Systeme fernsteuern lassen können.

Die Forscher zeigen in einem Proof of Concept mit einem getunnelten IPv6-Transition-Tool in einem IPv4- oder einem IPv4/IPv6-Dual-Stack, dass sie Traffic an quelloffenen und Signatur-basierten Network Intrusion Detection Systems (NIDS) vorbeischleusen können. Getestet wurden Snort, Surcata, Bro und Moloch.

Auch kommerzielle Tools wurden anonymisiert getestet aber nicht final in die Forschung mit aufgenommen. In dem Whitepaper heißt es, dass in vielen Tools noch kein Support für IPv6 implementiert sei, weil die Anwender das nicht nachfragen, auch seien viele Tools nicht für die Analyse von 128-bit-IPv6-Adressen entwickelt worden. Des Weiteren verwenden zahlreiche Hersteller auch quelloffene Tools als Grundlage für ihre Produkte. Auch lassen sich Tools umgehen, weil oft aus Performance-Gründen Real-Time Detection und Traffic-Decapsulation sowie Payload-Decoding deaktiviert und gerade für kleinere Unternehmen seien solche Tools meist zu teuer, weshalb diese nicht final evaluiert wurden.

Dennoch sei es mit dem aktuellen Stand der Technik sehr schwierig, sich gegen solche Angriffe zur Wehr zu setzen, denn diese sind in Echtzeit nur schwer zu entdecken. Vor allem dann, wenn in Netzen mit hohem Datenaufkommen, die Daten in kleinere Stücke aufgeteilt und an verschiedene Punkte und mit unterschiedlichen Protokollen im Netz verteilt werden. Nur mit erheblichen Performance-Einbußen sei es mit gängigen Tools möglich, solche Angriffe zu erkennen, denn in verschiedenen Datenströmen, müssten die Detection-Informationen korreliert werden. Mit Verhaltensbasierten Tools könne man diese zwar erkennen, aber würde damit eine hohen Zahl an Fehlalarmen bekommen.

Die Forscher sagen voraus, dass die Zahl von Angriffen auf Basis von IPv6 künftig steigen wird. Daher sollten vor allem die Anbieter für das Problem sensibilisiert werden. Auch müsste angesichts dieser Möglichkeit die Interpretation von Netzwerk-Traffic geändert werden, um solche Angriffe besser verstehen zu können. Anwender dagegen müssen sich informieren, wie sie Sicherheitslösungen richtig konfigurieren und installieren, um verdächtige Vorgänge im Netzwerk besser überprüfen zu können.

Mit IPv6 versucht man Beschränkungen aufzuheben, die etwa durch den zu klein gewordenen Adressraum von IPv4 entstanden sind. Jedoch ist IPv6 keine Weiterentwicklung von IPv4 sondern im Grunde genommen ein völlig neues Protokoll, das aber nicht nur neue Möglichkeiten, sondern wie oben beschrieben auch neue Risiken birgt.

“Die Tools, die wir gemeinsam entwickelt haben, wurden öffentlich gemacht und so kann die Sicherheits-Community die Ergebnisse gegen ihre eigenen Informationssysteme testen und verifizieren”, kommentiert Bernhards Blumbergs, Autor der Ergebnisse und Sicherheitsforscher bei dem NATO Cooperative Cyber Defence Centre of Excellence.