IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen

Weitere Magazine

Empfehlungen

Info

© Secorvo Security Consulting GmbH3.1 Neighbor DiscoveryDie Neighbor Discovery umfasst zahlreiche Funktionen, von denen die Kommunikation überIPv6 abhängt. Die Neighbor Discovery ist a priori ungeschützt, insbesondere sind ND-Nachrichten weder authentisiert, noch gegen Manipulation geschützt. So kann ein Angreiferdurch ND-Spoofing sowohl Man-in-the-Middle-Angriffe als auch Denial-of-Service-Angriffedurchführen. Eine Analyse von Bedrohungen gegen die Neighbor Discovery allgemein wurdebereits in RFC 3756 durchgeführt; RFC 6104 geht im Speziellen auf Router Advertisementsein. Fernando Gont hat die Neighbor Discovery eingehend analysiert und dabeiInformationen aus verschiedenen Quellen zusammengetragen [Gont 2013a] und konkreteHinweise zur Ausnutzung von Schwachstellen und deren Konsequenzen gegeben [Gont2012a].3.1.1 BedrohungenIm Einzelnen sind die folgenden Angriffe auf die Neighbor Discovery möglich, wenn derAngreifer Zugang zum Link hat:· Ein Angreifer kann Nodes mit ND-Nachrichten (und anderen ICMPv6-Nachrichten) fluten.Dadurch könnte die Netzwerkbandbreite oder die Rechenleistung der angegriffenenNodes ausgelastet werden. Durch fehlerhafte Implementierungen kann es sogar zuAbstürzen kommen. Wenn die Implementierung beispielsweise nicht die Anzahl derEinträge im Neighbor Cache begrenzt, kann durch einen einfach durchzuführendenAngriff der Betriebssystemspeicher komplett belegt werden. Beispiele für anfälligeSysteme sind FreeBSD 9.0 und NetBSD 5.1 [Gont 2013a].Eine spezielle Variante davon, die auch off-link leicht durchgeführt werden kann, bestehtin der Anfrage nach Nodes mit nicht-existierenden Adressen, beispielsweise durchAufzählung eines Netzwerks mit einem Portscanner, siehe Abschnitt 4.2. Der Router, derfür das entsprechende Präfix zuständig ist, muss die entsprechenden NeighborSolicitations versenden und auf die entsprechenden Neighbor Advertisements warten. Beieiner Flutung mit Anfragen nach nicht-existieren Adressen könnte der dafür vorgeseheneSpeicher komplett belegt werden, so dass legitime Anfragen nach bestehenden Nodesnicht mehr verarbeitet werden können.· Ein Angreifer kann gefälschte Router Advertisements verschicken. Zum Zweck einesMan-in-the-Middle-Angriffs kann der Angreifer seinen eigenen Node zum bevorzugtenRouter für ein oder mehrere bestehende Präfixe erklären. Zum Zweck eines Denial-of-Service-Angriffs wird ein nicht existierender Node zum Router erklärt.· Ein Angreifer kann zum Zweck eines Denial-of-Service-Angriffs über gefälschte RouterAdvertisements bestehende Präfixe ungültig machen oder neue Präfixe verbreiten.Hierbei würden die entsprechenden Präfixe von allen Nodes am Link (fälschlicherweise)als on-link betrachtet werden. Anstelle einer Weiterleitung an einen Router würde fürAdressen mit den betroffenen Präfixen eine (vergebliche) Neighbor Discoverydurchgeführt.· Ein Angreifer kann über gefälschte Router Advertisements falsche Parameter verbreiten.Denkbar ist beispielsweise die Verbreitung eines so niedrigen Hop Limits, dassKommunikation im Extremfall nur noch link-local stattfinden kann. Denkbar istbeispielsweise auch die Verbreitung von gefälschten Router Advertisements mitgesetztem M-Flag, wodurch die Hosts am Link angewiesen werden, ihre Adresse voneinem (nicht existierenden) DHCPv6-Server zu beziehen.· Ein Angreifer kann einen Node während der Duplicate Address Detection davon abhalten,ein Interface mit einer Adresse zu konfigurieren. Hierbei wird zum Zweck eines Denial-of-Secorvo White Paper IPv6 Seite 34 von 67WP IPv6 11 Stand 08. Oktober 2013
© Secorvo Security Consulting GmbHService-Angriffs jede entsprechende Neighbor Solicitation (d. h. mit Quelladresse :: undeiner Link-Local Solicited-Node Multicast-Adresse als Zieladresse) mit einem widersprechendenNeighbor Advertisement beantwortet.· Ein Angreifer kann zum Zweck eines Denial-of-Service-Angriffs einen Node im Rahmender Neighbor Unreachability Detection davon überzeugen, dass ein Node erreichbar ist,der eigentlich nicht mehr erreichbar ist. Der angegriffene Node geht dannfälschlicherweise davon aus, dass der betroffene Node (beispielsweise ein Router)Pakete korrekt entgegennimmt und verarbeitet bzw. weiterleitet.· Ein Angreifer kann während der Adressauflösung gefälschte Neighbor Advertisementsverschicken, bei denen die im Neighbor Advertisement angegebene Link-Layer-Adressegefälscht ist. Dieser Angriff entspricht dem „klassischen“ ARP-Spoofing bei IPv4. ZumZweck eines Man-in-the-Middle-Angriffs könnte der Angreifer die eigene Link-Layer-Adresse verwenden, zum Zweck eines Denial-of-Service-Angriffs könnte der Angreifer aufeine nicht existierende Link-Layer-Adresse verweisen.Als Spezialfall hiervon könnte auch die Link-Layer Broadcast-Adresse oder eine Link-Layer Multicast-Adresse verwendet werden.· Ein Angreifer kann zum Zweck eines Denial-of-Service-Angriffs gefälschte NeighborAdvertisements im Namen eines existierenden Routers verschicken, bei denen imNeighbor Advertisement das Router-Flag nicht gesetzt ist. Dadurch würde der Router vonden Hosts am Link nicht mehr als Router betrachtet werden und alle Routen über denbetreffenden Router würden aus den Routingtabellen der Hosts entfernt werden.· Ein Angreifer kann gefälschte Redirect-Nachrichten verschicken. Zum Zweck eines Manin-the-Middle-Angriffskönnte der Angreifer auf den eigenen Node verweisen, zum Zweckeines Denial-of-Service-Angriffs könnte der Angreifer einen nicht existierenden Nodeverweisen.Noch weitere, hier nicht aufgeführte Angriffe sind unter bestimmten Umständen denkbar.Diese hängen beispielsweise von der Qualität der jeweiligen Implementierungen ab. EinNode, dessen IPv6-Implementierung lediglich älteren RFCs folgt, könnte gegen Angriffeverwundbar sein, denen durch Maßnahmen in neueren RFCs begegnet wird.3.1.2 Denkbare MaßnahmenPrinzipiell kommen zum Schutz der Neighbor Discovery die in den folgenden Abschnittenbetrachteten Gegenmaßnahmen in Betracht.3.1.2.1 IPsecAls Bestandteil von ICMPv6 kann jede Nachricht der Neighbor Discovery prinzipiell mit IPsecgesichert werden.KritikpunkteDie vorgesehene Nutzung von IPsec für die Neighbor Discovery leidet unter einemHenne/Ei-Problem. Das IPsec-Schlüsselmanagement erfolgt über das Protokoll IKE. Dieswird jedoch über UDP betrieben, d. h. für eine Nutzung müssen bereits IP-Adressenkonfiguriert sein. Aus prinzipieller Sicht spräche zwar nichts gegen die Nutzung von IKE überICMP, diese Idee wurde jedoch bisher noch nicht aufgegriffen. Die einzige Möglichkeitbesteht dann in manuellem Schlüsselmanagement. Dies skaliert jedoch nicht und kommtaufgrund des Betriebsaufwands allenfalls für Umgebungen mit höchstem Schutzbedarf inSecorvo White Paper IPv6 Seite 35 von 67WP IPv6 11 Stand 08. Oktober 2013
Seite 2 und 3: © Secorvo Security Consulting GmbH

IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?