In den vergangenen Wochen wurde ich von mehreren Unternehmen nach ungewöhnlichen Paketen gefragt, die über diese Netzwerke in das Internet verschickt werden. Diee Anomalien wurden durch einen Upgrade der Software auf ihren IPS-Systemen sichtbar. In den früheren Versionen hatten die Systeme keine Möglichkeiten zur Erkennung des beschriebenen Datenverkehrs. Bei den von IPS-System erkannten  Paketen handelt es sich um IPv6-Pakete, die quasi Huckepack in IPv4-Paket (IP-Protokoll 41) übertragen werden. Diese über das IPv4-Protokoll getunnelten IPv6-Pakete wurden entweder unabsichtlich von einem Endgerät generiert oder jemand versucht mit Hilfe des Tunnelings seine Aktivitäten im Netzwerk zu verschleiern.

Die Ursache dieser Pakete sind die dynamische Tunneling-Techniken der Desktop-Betriebssysteme und sollen dem Anwender den Zugang auf IPv6-Ressourcen erleichtern. Hierzu gehören:

• der 6to4-Mechanismus: Auf Basis eines 6to4-Systems (RFC 3056) werden IPv6-Pakete über ein IPv4-Netzwerk (in der Regel das IPv4-Internet) getunnelt. Der Administrator muss hierfür keinen expliziten Tunnel konfigurieren. Über festgelegte Routen können 6to4-Hosts direkt mit Rechnern in IPv6-Netzen kommunizieren. Der 6to4 Lösungsansatz kann sowohl für die Kommunikation einzelner Rechner als auch  für ein gesamtes IPv6-Netzwerk genutzt werden. Beim Einsatz auf einem einzelnen Rechner muss dieser über eine weltweit gültige IPv4-Adresse verfügen. Der Rechner ist für die Kapselung der ausgehenden IPv6-Pakete bzw. für den Empfang von 6to4-Paketen verantwortlich. Viele Betriebssysteme unterstützen diesen Mechanismus über eine Pseudo-6to4-Schnittstelle. Wird der 6to4-Mechanismus von einem lokalen Netzwerk genutzt, benötigt das gesamte lokale Netzwerk nur eine einzige IPv4-Adresse. Innerhalb dieses Netzwerks lernen die Rechner ihre IPv6-Adressen und Routen über die Router Discovery-Mechanismen.

• Toredo: Diese Tunneltechnik (RFC 4380) dient der Übermittlung von IPv6-Datenverkehr über IPv4-NATs. Durch die Tunnelung des IPv6 besteht die Gefahr, dass insbesondere die Sicherheitsfunktionalitäten NAT-basierter IPv4 Routern vollständig ausgehebelt werden. Teredo nutzt für den Transport den UDP-Port 3544. Auf Basis von Teredo werden IPv6-Pakete in IPv4-basierte UDP-Nachrichten verpackt und damit transparent über IPv4-NAT-Komponenten übermittelt. Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die vorhandenen Paketfilter wirkungslos bleiben. Teredo ist standardmäßig auf Windows Vista aktiviert. In Windows Server 2008 Umgebungen muss dieser Mechanismus vom Server-Administrator konfiguriert und aktiviert werden.

Zur Erkennung des potenziellen Sicherheitsrisikos benötigen die Netzadministratoren die richtigen Werkzeuge. Darüber hinaus müssen diese Werkzeuge auch entsprechend der individuellen Sicherheitsrichtlinien des betreffenden Unternehmens eingesetzt werden.

In der Regel verfügen die Unternehmen über bewährte Firewall-Richtlinien zur Kontrolle des eingehenden und ausgehenden Datenverkehrs. Viele Administratoren setzen sich jedoch nicht mit den technischen Möglichkeiten ihrer Produkte auseinander, sondern übernehmen (aus Unwissendheit oder Bequemlichkeit) die Default-Regeln der Produkte.

In Cisco Firewalls sind beispielsweise die Standard-Eigenschaft so gesetzt, dass der gesamte Verkehr von den höheren Sicherheits-Level-Interface (100 = trusted) bis hinab zu dem unteren Sicherheits-Level-Interface (0 = untrusted) standardmäßig durchgelassen wird. Das führt dazu, dass in vielen Unternehmen mit den Firewall-Richtlinien nachlässig umgegangen wird. Ohne eine Individualisierung der Firewall-Richtlinie in Senderichtung (für den ausgehenden Verkehr)  besteht die Gefahr, dass der getunnelte IPv6-Datenverkehr (über IPv4-Port 41 oder UDP-Port 3544) das Unternehmen unkontrolliert verlassen kann. Da es sich um Stateful-Firewalls handelt, gelangt natürlich auch der zurücklaufende Datenverkehr über die Tunnel wieder in die Unternehmen.

Verfügt ein Unternehmen über eine solide Sicherheitspolitik, dann ist es umso wichtiger, die in das Netzwerk hinein bzw. die aus dem Netzwerk heraus übertragenen Daten streng zu kontrollieren. Daher sollten alle Möglichkeiten des Deep Packet Inspections (DPI) genutzt werden. Die DPIs befinden in der Regel jedoch an Stellen im Netzwerk an dem eine große Menge von aggregierten Verkehrsdaten (1 oder 10 GBit/s-Links) übertragen werden. Zur Kontrolle des gesamten Verkehrs in diesen Sammelpunkten werden schnelle Prozessoren und erhebliche Rechenleistungen benötigt. Steht diese nicht zur Verfügung, dann werden die Pakete unkontrolliert weitergeleitet. Auch sind die meisten DPI-Systeme nicht in der Lage, getunnelte Protokolle zu kontrollieren.

Es stellt sich also die Frage, mit welchen Produkten die getunnelten IPv6-Pakete erkannt werden können? Die nachfolgende Liste an verfügbaren Produkten ist naturgemäß unvollständig. Sie soll jedoch dazu beitragen den über IPv4 getunnelten Verkehr für den Administrator transparenter zu machen.

Cisco IPS

Cisco IPS-Sensoren bieten Funktionen zur Überprüfung von IPv6-Paketen. Allerdings verfügten die Produkte anfänglich nur über wenige IPv6-Signaturen. Erst mit der IPS-Software Version 6.2 integrierte Cisco die wesentlichen IPv6-Inspection-Funktionen. Cisco IPS 7.0 erweiterte die Möglichkeiten der Software, verfügt jedoch noch immer nicht über eine Anomalie-Erkennung für die IPv6-Mechanismen.

Cisco Flexible Packet Matching (FPM)

Das Cisco IOS unterstützt eine Funktion namens "Flexible Packet Matching (FPM). Diese wird zur Erkennung und Weiterverarbeitung/Behandlung von Paketen genutzt. Mit dieser Funktion können komplexe ACLs mit Hilfe von MQC-Konfigurationen erstellt werden, die die Behandlung der individuellen Pakete festlegt. Damit lassen sich praktisch jede Art von Layer-2 oder Layer-3-Paketfilter definieren. FPM wurde auch zudem im jüngsten IOS Release 15,0 noch einmal verbessert.
Eine der wesentlichen Einschränkungen von FPM besteht darin, dass dieser Mechanismus nur IPv4-Unicast-Pakete kontrolliert. Daher ist FPM nicht in der Lage, reine IPv6-Pakete zu erkennen.

Command Information Assure6

Command Information Assure6 verfügt über eine langjährige Reputation in der IPv6-Community. Das DPI-System ist in der Lage, alle Arten von IPv6-Datenverkehr zu erkennen. Damit werden nicht nur reine IPv6-Pakete, sondern auch die über IPv4 getunnelten IPv6-Pakete bzw. die über IPv6 getunnelten IPv6-Pakete im Datenstrom gefunden. Zudem verfügt das System über viele Signaturen zur Erkennung der gängigen IPv6-Angriffsarten.

Snort

Snort unterstützt seit der Version 2.8.0 die IPv6-Protokolle. Die neueste Snort-Version 2.8.5 verfügt über integrierte IPv6-DPI-Funktionen. Der Trick besteht darin, dass bei der Kompilierung von Snort die "./configure --enable-ipv6" Konfigurationsparameter genutzt werden. Bei der Konfiguration des Regelwerks muss darauf geachtet werden, dass anstelle von der Variablen „var“ die Variable „ipvar“ genutzt wird. Mit Hilfe des net-Befehls lassen sich die IPv6-Adressen angeben.

OpenDPI

Die von ipoque entwickelte Protocol and Application Classification Engine (PACE) verfügt über Bibliothek zur Hinzufügung von IPv6-Protokollen in die OpenDPI Software. Dadurch erkennt das System alle Arten von getunnelten und generischen IPv6-Datenströmen.

Wireshark

Der kostenlose Protokollanalysator „Wireshark“ (www.wireshark.org) gehört heute zu der Grundausstattung jedes Netzadministrators. Die Analysesoftware ist auf Basis von Filtern in der Lage, nach jeder Art von Paket zu suchen und diese inklusiv aller Protokolldetails korrekt darzustellen. Auch die auf Basis von IPv4 bzw. IPv6 getunnelten Pakete werden mit Hilfe von Wireshark sichtbar.

Fazit

Die Anbieter der diversen Analyse und Deep Packet Inspection (DPI) Systeme werden in den kommenden Monaten die Funktionen ihrer Produkte erheblich verbessern müssen, um die von getunnelten IPv6-Paketen ausgehenden Gefahren sichtbar zu machen. Kurzfristig kann sich der Netzadministrator mit einer Wireshark-Analyse behelfen und eine Prüfung seines Netzwerks auf unerwünschte IPv6-Pakete vorzunehmen. Mit der gewonnen Sichtbarkeit lassen sich anschließend die Firewall-Regeln individuell anpassen und der IPv6-Verkehr wird ausgesperrt.

Foto: Quelle-Fotolia.com

• Verwandte Themen
• Herausforderungen durch Echtzeitanwendungen in Unternehmensnetzen
• IPv6 hat Probleme im Bereich der Security