IPv6 - Die grundlegenden Funktionen, Bedrohungen und Maßnahmen

© Secorvo Security Consulting GmbHAls einzig durchgängig legitime, im üblichen Betreib zu erwartende Header-Erweiterungenverbleiben der Hop-by-Hop Options Header für Link-Local Multicast Listener Discovery sowieder Fragmentation Header, wobei auch hier noch Einschränkungen möglich sind.Darüber hinaus gibt es bei vielen ICMPv6-Nachrichtentypen derzeit gar kein legitimesEinsatzszenario für Header-Erweiterungen einschließlich Fragmentierung, hier ist vor allemdie Neighbor Discovery genannt. Seit Neuestem ist tatsächlich vorgesehen, dassfragmentierte Nachrichten der Neighbor Discovery verworfen werden [RFC 6980].3.4 FragmentierungBei der Fragmentierung von IPv6-Paketen spielen teilweise dieselben Probleme eine Rolle,die auch schon bei IPv4 aufgetreten sind. Unglücklicherweise hat RFC 2460 bei derDefinition von IPv6 überlappende Fragmente zugelassen, obwohl dies von IPv4 her bereitsals problematisch bekannt war. Überlappende Fragmente können beispielsweise dafürverwendet werden, Filterentscheidungen an Firewalls zu unterlaufen. Hier wurde erst mitRFC 5722 Abhilfe geschaffen – überlappende Fragmente sind nicht mehr zulässig undPakete mit überlappenden Fragmenten müssen stillschweigend verworfen werden.3.4.1 BedrohungenDie bereits von IPv4 bekannten Angriffsvektoren sind:· Denial of Service gegen den Ziel-Node: Für die Wiederherstellung eines Pakets ausFragmenten muss der Ziel-Node bis zur vollständigen Wiederherstellung oder bis zueinem Time Out ausreichend Speicher für das Paket vorhalten. Die Gesamtdauer derVorhaltung kann durch den Versand von Kleinstfragmenten erheblich in die Längegezogen werden. Durch massenhaften Versand von Paketfragmenten kann der Ziel-Nodedazu gezwungen werden, seinen gesamten hierfür vorgesehenen Speicher zu blockieren.· Ein Paket, das einen Fragment-Header enthält, tatsächlich aber nicht fragmentiert ist, wirdals atomares Fragment bezeichnet. Die Behandlung atomarer Fragmente ist nichteindeutig geregelt und könnte je nach Implementierung zu Schwierigkeiten führen [Gont2012c]. Kern des Problems ist, dass eine Implementierung anfällig für einen Denial-of-Service-Angriff ist, wenn atomare Fragmente genauso behandelt werden, wie„gewöhnliche“ Fragmente. Wenn die verwendeten Fragment-IDs nicht unvorhersagbarsind, dann wäre es konkret möglich, atomare Fragmente dazu einzusetzen, um Überlappungenmit (legitimen) Fragmenten eines anderen Pakets zu provozieren und somit einstillschweigendes Verwerfen des legitimen fragmentierten Pakets herbeizuführen.Spezifisch für IPv6 sind die folgenden Aspekte:· Ein großes Sicherheitsproblem stellen überlappende Fragmente dar, da hiermitFilterrichtlinien umgangen werden können. Nach RFC 2460 sind überlappende Fragmentebei IPv6 zulässig; erst mit RFC 5722 wurden überlappende Fragmente ausnahmslos fürunzulässig erklärt und sollten verworfen werden. Hier könnten sich Systeme mit einerälteren Implementierung jedoch trotzdem als anfällig erweisen.· Darüber hinaus könnte Fragmentierung – trotz des Verbots überlappender Fragmente – inKombination mit Header-Erweiterungen verwendet werden, um Filterentscheidungen anFirewalls zu umgehen oder zumindest aufwändig zu gestalten. Bei IPv6 leisten hierzu dieErweiterungs-Header für die Hop-by-Hop Options und Destination Options Vorschub.Diese beiden Erweiterungs-Header haben eine variable Länge und lassen sich leicht soaufblähen, dass beispielsweise der Header für das Upper Layer Protocol in das zweite,dritte oder ein noch weiter nachfolgendes Fragment verschoben wird. Die vollständigeInspektion eines solchen Pakets erfordert die Rekonstruktion aus allen Fragmenten.Secorvo White Paper IPv6 Seite 40 von 67WP IPv6 11 Stand 08. Oktober 2013