Unsichtbare Bedrohung

von Mathias Hein

Nahezu alle Unternehmen haben inzwischen IPv6-fähige Systeme im Einsatz, denn auf allen Betriebssystemen ist standardmäßig sowohl IPv4 als auch IPv6 implementiert. Dies soll den Zugang zum IPv6-Internet erleichtern und IPv6-in-IPv4-Tunnel ermöglichen, um IPv6-Inhalte zu erreichen. Einige dieser Prozesse finden unabhängig von Benutzereingaben oder Konfigurationen statt und öffnen so gefährliche Lücken im Netz. Dieser latenten IPv6-Bedrohung sind sich viele Administratoren nicht bewusst. Wie ein Schutz dagegen aussehen kann und Admins somit First Hop Security etablieren, zeigt dieser Artikel.

Die überwiegende Mehrheit der Unternehmen hat noch keine Schritte zur Sicherung der IPv6-fähigen Knoten unternommen. Auch wissen die meisten IT-Abteilungen nicht, wie IPv6 in einem LAN funktioniert und wie es sich vom IPv4-Protokoll unterscheidet. In der Konsequenz heißt das: Unbekanntes lässt sich nicht effektiv schützen! Jedoch weist IPv6 einige besondere funktionale Unterschiede zu IPv4 auf, die die Strategie zur Abwehr von LAN-Bedrohungen verändern.

In den meisten Fällen implementieren IT-Verantwortliche keine speziellen Sicherheitsmaßnahmen, um den IPv4-ARP- oder DHCP-Datenverkehr in Zugangsnetzwerken zu schützen. Es ist jedoch eine Tatsache, dass viele der LAN-basierten Angriffe für IPv6 ähnliche oder genau die gleichen Schwachstellen wie IPv4-Bedrohungen aufweisen. Bestehen also keine IPv4-LAN-Schutzmaßnahmen, dann ist es sinnlos, höhere Sicherheitsstandards für die IPv6-Nachbarschaftserkennung zu verlangen.

Bedrohungen durch IPv6-NDP

Das "IPv6 Neighbor Discovery Protocol" (NDP; RFC 4861) erleichtert den IPv6-Knoten die Kommunikation untereinander. Es verwendet das "Internet Control Message Protocol" (ICMPv6) und Link-lokale Multicast-Kommunikation, um ähnliche Funktionen wie das "Address Resolution Protocol" (ARP) von IPv4 auszuführen. Die Angriffe auf das Protokoll finden in der Regel auf der lokalen physischen beziehungsweise virtuellen Verbindung statt. Daher muss der Angreifer physischen Zugriff auf das lokale Netzwerk haben oder ein System im LAN kompromittiert und unter seine Kontrolle gebracht haben.

Das Auskundschaften von IPv6-fähigen Knoten im LAN ist zwar nicht praktikabel, wenn der Angreifer mit Brute-Force-Techniken versucht, die von den lokalen Knoten verwendeten IPv6-Adressen zu erraten. Es gibt jedoch Methoden, die ein findiger Hacker verwenden kann, um das Auffinden besagter Knoten zu beschleunigen. Einige dieser Methoden erfolgen heimlich und leise, während andere Spuren hinterlassen.

Inzwischen sind eine Reihe von LAN-Schwachstellen bekannt, die ein lokal angeschlossener Angreifer auszunutzen kann. Diese sind im RFC 6583 (Operational Neighbor Discovery Problems) [1] dokumentiert. So kann ein Link-lokaler Angreifer beispielsweise bösartige "ICMPv6 Neighbor Solicitation"- oder "Neighbor Advertisement"-Nachrichten generieren, um den Nachbarcache des Knotens zu verwirren. Dies zielt auf einen DoS-Zustand ab oder kann Man-in-the-Middle-Angriffe (MITM) erleichtern.

Am gefährlichsten sind Attacken, bei denen bösartige "ICMPv6-Router Advertisement"-Nachrichten (RA) in ein Netzwerk gelangen, das nur mit IPv4 arbeitet. Diese Art von Botschaften veranlassen alle IPv6-fähigen Geräte im lokalen Netzwerk dazu, ihre IPv6-Stacks zu aktivieren, eine IPv6-Adresse zu erwerben und zu versuchen, IPv6 aktiv zu nutzen. In der Praxis sind ICMPv6-RA-Nachrichten unverzichtbar und stellen den ersten Schritt in der Adresszuweisungsphase dar. Auch versorgen sie den Host mit Informationen über sein lokales IPv6-Standardgateway. Gefälschte RAs können Rechner neu nummerieren und ebenfalls einen DoS-Zustand für einen Rechner verursachen oder einen MITM-Angriff ermöglichen [2].

Methoden zur NDP-Absicherung

Wollen Sie eine Verteidigungsstrategie für diese Arten von IPv6-NDP-Angriffen festlegen, besteht das erste Problem darin, herauszufinden, wo im Netz IPv6 implementiert beziehungsweise aktiviert ist. Viele Unternehmen wissen nicht genau, welche Geräte mit ihren Netzwerken verbunden sind. Übliche Methoden, um festzustellen, was sich in Ihrem Netz befindet, bestehen darin, den lokalen IPv6-fähigen Router nach seinem IPv6-Nachbarschaftscache zu fragen, entweder über die Befehlszeilenschnittstelle (CLI) oder mit einem SNMP-GET auf eine bestimmte MIB-OID. Die Verwendung von Produkten wie dem "Switch Port Manager" von Infoblox oder ein IP-Adressverwaltungssystem (IPAM), wie es verschiedene Hersteller anbieten und das mit den DHCP-Diensten verknüpft ist, liefert ebenfalls Informationen darüber, welche IP-Adressen aktiv sind.

Unternehmen fehlt es auch an Möglichkeiten, unerwünschte Geräte aus den Netzwerken fernzuhalten. Das Verhindern von unbefugtem LAN-Zugang ist in der Regel eine Frage der physischen Sicherheit. Auch sind viele Organisationen nur in der Lage, ungenutzte Switchports und Verbindungen in Konferenzräumen und öffentlich zugänglichen Bereichen zu deaktivieren. Hier kann Portsicherheit helfen, die Anzahl der MAC-Adressen zu begrenzen, die ein Zugangsport lernen darf. Auch die bereits seit Jahren verfügbaren Zugangsschutzmechanismen IEEE 802.1x oder IEEE 802.1AE (MACsec) helfen. Jedoch unterstützen die meisten der kommerziellen NAC-Systeme nicht das IPv6-Protokoll.

Es gibt mehrere hostbasierte Überwachungsprodukte, die Neighbor Solicitation/Network Advertisement- und Router Solicitation/Router Advertisement-Nachrichten beobachten und NDP-Angriffe erkennen und verhindern können. Zu diesen Open-Source-Dienstprogrammen gehören NDPMon, Ramond, IPv6RA-Guard und IPv6mon. Die Einschränkung dieser Werkzeuge besteht darin, dass in jedem LAN ein System diese Funktionen ausführen müsste. Das ist für ein Unternehmen mit vielen Zugangsnetzen möglicherweise nicht skalierbar.

Auch der Switch kann helfen

Eine bessere Lösung besteht darin, Erkennung und Schutz in die Geräte des Zugangsnetzes zu integrieren. Diese IPv6-Sicherheitsmaßnahmen sind im Ethernet-Zugangsswitch oder im Wireless-Controller implementiert und sichern alle nachgelagerten Endknoten ab. Die Angriffserkennung innerhalb dieser Switches ist vergleichbar mit der Art und Weise, wie ein Switch DHCP- und IGMP-Snooping (Identifizierung von Hosts, die am Empfang von Multicast-Verkehr interessiert sind) und PIM-Snooping (Ermittlung der lokalen PIM-Router) durchführt. Ein Ethernet-Switch ließe sich also so konfigurieren, dass er eine portbasierte ACL nutzt und dadurch verhindert, dass ein Zugangsport die Router-Advertisement-Nachrichten an andere Link-lokale Knoten sendet. Ein Angreifer wird auf diese Weise daran gehindert, wie ein bösartiger DHCPv6-Server zu agieren.

Beispiele für das Erkennen und Verhindern von Rogue-RA-Nachrichten in einem Ethernet-Switch listet RFC 6105 [3]. Das Dokument zeigt auf, dass Ethernet-Switches in der Lage sind, zu lernen, welche lokalen IPv6-Router rechtmäßig RA-Nachrichten an die Knoten im Netzwerk senden dürfen und dass Endpunkte diese Nachrichten überwachen, erkennen und verwerfen können. Die Switches haben auch die Möglichkeit zu erkennen, wenn RA-Nachrichten zu schnell (mehr als das Standardintervall von 200 Sekunden) gesendet werden und können diese Paketübermittlung drosseln.

Weitere First-Hop-Security-Funktionen sind das Snooping von DHCPv6-Verkehr und das Ermitteln der zugewiesenen IPv6-Adressen aller Knoten im Netz. Der Switch kann auch IPv6-Pakete snoopen und feststellen, ob die Knoten den Verkehr von ihren zugewiesenen IPv6-Adressen beziehen. Wenn die IPv6-Pakete andere IPv6-Adressen verwenden als die, die der Snooping-Prozess ermittelt, generiert der Endpunkt möglicherweise gefälschte Pakete, die zu blockieren sind.

Nicht alle Hersteller unterstützen First Hop Security

Viele der großen Hersteller wie Cisco, HP/Aruba oder Arista haben inzwischen IPv6-First-Hop-Security-Funktionen standardmäßig in ihre Ethernet-Switches integriert. So bietet etwa Cisco IOS für IPv6 First Hop Security diese Features:

- IPv6 RA Guard weist gefälschte RA-Nachrichten ab, die von Hostports (Nicht-Routerports) kommen.

- DHCPv6 Guard blockiert DHCPv6-Nachrichten, die von nicht-autorisierten DHCPv6-Servern und Relays stammen.

- IPv6-Snooping und Geräteverfolgung erstellt eine Binding-Table, in der DHCP-v6- und ND-Nachrichten sowie der reguläre IPv6-Datenverkehr überwacht werden. Die Bindungstabelle kann ND-Spoofing verhindern.

- IPv6 Source Guard verwendet die Binding-Table, um Datenverkehr von unbekannten Quellen oder falschen IPv6-Adressen, die nicht in der Bindungs- tabelle enthalten sind, zu verwerfen.

- IPv6 Prefix Guard verweigert Datenverkehr von außerhalb des Subnetzes.

- IPv6 Destination Guard verwirft IPv6-Datenverkehr, der an direkt verbundene Zieladressen gesendet wird, die nicht in der Binding-Table enthalten sind.

Allerdings gibt es viele Anbieter, deren Geräte keine IPv6-Sicherheitsfeatures bieten. Ermitteln Sie also, ob Ihre Switches diese Funktionen umfassen. Hier muss die Empfehlung lauten, diese zu erwerben, um Einblick in IPv6-Aktivitäten im LAN zu erhalten.

Fazit

Sollten Sie IPv6 überall im Netzwerk deaktivieren? Die Antwort lautet: Nein, das geht nicht. Vielmehr müssen Sie lernen, mit IPv6 umzugehen. Aus diesem Grund sollten Sie sofort mit der Nutzung von IPv6 beginnen, denn nur dann sind Sie in der Lage, IPv6-spezifische Sicherheitsprobleme zu entdecken. Dabei gilt, dass Sie immer native IPv6-Konnektivität wo möglich verwenden sollten, denn dies ist sicherer als unbeaufsichtigter, getunnelter Datenverkehr. Auf jeden Fall sollten Sie die von den Herstellern angebotenen First-Hop-Security-Funktionen standardmäßig im Netzwerk aktivieren und somit den wesentlichen IPv6-Angriffsszenarien zuvorkommen.

First Hop Security für IPv6

Unsichtbare Bedrohung

Bedrohungen durch IPv6-NDP

Bedrohungen durch IPv6-NDP

Methoden zur NDP-Absicherung

Auch der Switch kann helfen

Nicht alle Hersteller unterstützen First Hop Security

Fazit