pixel_dreams - Fotolia
Zunehmende Gefahr durch DDoS-Attacken via IPv6
Die steigende Zahl von IPv6-Adressen spielt auch Hackern in die Hände, die bereits spezialisierte Attacken entwickeln, die auf den Besonderheiten des neuen Protokolls beruhen.
Die Begrenztheit von IPv4-Adressen macht einen Übergang zu IPv6 unvermeidlich, auch wenn dieser Prozess deutlich länger dauert, als viele vermutet haben. Insbesondere das Internet of Things (IoT) sorgt laut Berechnungen von Google dafür, dass sich die Nutzung von IPv6-Adressen derzeit etwa alle neuen Monate verdoppelt.
Dieses Wachstum bei IPv6-Adressen sorgt für neue Sicherheitsrisiken und Herausforderungen. Auf der einen Seite ermöglicht der massiv vergrößerte Adressraum, dass jedes Device auf der Welt seine eigene, einzigartige IP-Adresse bekommt. Auf der anderen Seite öffnet dies aber auch die Pforten für neue und deutlich größere DDoS-Attacken (Distributed Denial of Service).
Momentan treten DDoS-Angriffe via IPv6 noch nicht so häufig auf wie vergleichbare Attacken via IPv4. Ihre Zahl und Intensität nimmt jedoch kontinuierlich zu. Auch lassen sich viele Angriffe via IPv4 auch via IPv6 umsetzen, allerdings in häufig verstärkter Intensität. Außerdem testen Hacker bereits jetzt Methoden und Techniken, um bald komplett neue Angriffe mit Hilfe des IPv6-Protokolls durchführen zu können.
Aktuell unterstützen nur etwa 25 Prozent der Webseiten bereits IPv6. In fast allen Unternehmen ist das neue Protokoll jedoch zumindest in Teilbereichen ihres Netzwerkes anzutreffen – teilweise mit, teilweise ohne Wissen der Administratoren. Das sorgt bereits jetzt für Probleme, da viele On-Premises gegen DDoS-Attacken genutzte Tools noch nicht vollständig auf IPv6 vorbereitet sind.
Zudem wurden zahllose Netzwerk-Devices bei der Nutzung von IPv6 noch nicht auf dieselben Regeln vorbereitet, die bereits bei IPv4 gelten. So wurde unter anderem vor kurzem bekannt, dass selbst große Anbieter von VPN-Diensten nur IPv4-Traffic schützen, obwohl ihre Programme bereits mit IPv6-Daten umgehen können.
Netzwerk-Admins sollten ihre Systeme aus diesen Gründen möglichst zügig auf das Vorhandensein von IPv6 prüfen. Vor allem ist es wichtig, herauszufinden, ob und wie die vorhandenen Geräte das neue Protokoll nutzen und welche Konfigurationen dabei bereits im Einsatz sind. Es sollte auf jeden Fall sichergestellt sein, dass durch IPv6 keine neuen Schwachstellen entstehen und dass die genutzten Security-Tools auch alle Funktionen bieten, um beide Protokolle analysieren und verstehen zu können.
Warum Hacker IPv6-Angriffe nutzen
Für einen Hacker bietet IPv6 viele Vorteile. So entsteht dadurch nicht nur ein neuer Angriffskanal. Dank der zunehmenden Zahl von IPv6-Geräten lassen sich damit auch weit umfangreichere Angriffe durchführen. IPv4 nutzt bei den Adressen ein 32-Bit-Modell, das für etwa 4,3 Milliarden einzigartige Adressen sorgt. IPv6 setzt dagegen auf ein 128-Bit-Modell, das Angreifern über 320 Sextillionen Adressen „zum Spielen“ gibt. Zum besseren Verständnis: Eine Sextillion ist eine 1 mit 36 anhängenden Nullen.
Damit wird deutlich, dass es in Anbetracht dieser gigantischen Zahl an potentiellen IPv6-Adressen deutlich schwieriger ist, eine strikte Blacklist mit IP-Adressen zu pflegen, die überwacht oder geblockt werden sollen. Spezialisten wie Spamhaus sind sich dieses Problems durchaus bewusst, da ein Spam-Versender relativ leicht eine Attacke starten kann, bei der er für jede versandte Nachricht eine neue IPv6-Adresse generiert. Dieselbe Taktik kann auch bei DDoS-Angriffen via IPv6 genutzt werden, so dass es erheblich erschwert wird, den unerwünschten Traffic nur auf Basis von IP-Adressen auszufiltern. Auch ohne diese Probleme ist es nicht leicht, Paketfilterregeln in IPv6-Firewalls zu implementieren, da die einzelnen Pakete verschiedene Arten von Headern haben können.
Positiv ist immerhin, dass es mit IPv6 möglich ist, deutlich zuverlässigere Whitelists zu erstellen. Der Grund dafür ist, dass hier NAT (Network Address Translation) nicht mehr in dem Umfang wie früher benötigt wird. IPv6 stellt Adressen bereit, die im Prinzip direkt bis zum Ziel geroutet werden können.
Hacker haben aber noch eine weitere Möglichkeit, IPv6-Netze auszunutzen: In vielen Unternehmen ist der genutzte Adressbereich relativ klein. Es gibt bereits einen DDoS-Angriff via IP, der sich das zunutze macht. Die Angreifer senden dabei Pakete an beliebige Adressen im Netz und hoffen dabei, dass diese nicht existieren. Die Router müssen diese Requests verarbeiten und Anfragen nach Layer-2-Adressen für die nicht vorhandenen IP-Adressen verschicken. Dadurch werden die betroffenen Router überlastet, so dass ein so genannter Broadcast-Sturm entsteht, der das Netzwerk weitegehend lahmlegen oder zumindest deutlich verlangsamen kann.
Bei IPv4 waren diese Angriffe schon schlimm. Bei IPv6 sind sie noch deutlich gefährlicher geworden, da hier aufgrund des größeren Adressraums weit mehr nicht vergebene Adressen genutzt werden können. Die Chance, dass ein adressierter Host wirklich existiert, ist in manchen Netzen teilweise nahe Null. Um dieses Problem zu lösen, können Administratoren eine Blackhole-Route einrichten, die für alle Adressen genutzt wird, die derzeit nicht im Netzwerk genutzt werden. Mit Hilfe von Prefixes lassen sich zusätzlich spezifische Routen für alle existierenden Adressen einrichten. Dadurch wird sichergestellt, dass nur Traffic weitergeleitet wird, der an existierende Endpoints gerichtet ist, während alle anderen Pakete im „Schwarzen Loch“ landen.
IPv6-Attacken sind unvermeidbar: Richtig darauf vorbereiten
Es ist aus den genannten Gründen nicht zu vermeiden, dass sich IPv6 in Unternehmen weiterverbreitet. Dadurch nimmt aber auch die Gefahr gefährlicher IPv6-Attacken immer mehr zu. Admins sollten sich jetzt deswegen möglichst bald mit dem SEND-Protokoll (Secure Neighbor Discovery) auseinandersetzen. Damit lassen sich einige spezifische IPv6-Angriffswege verhindern. IPv6-Knoten nutzen ansonsten das nicht vor bösartigem Traffic geschützte ND-Protokoll (Neighbor Discovery), um andere Clients im Netzwerk zu entdecken und um mit ihnen zu kommunizieren.
Darüber hinaus gibt es viele Tools, mit denen sich die Netzwerkeinstellungen überwachen lassen. So erstellt zum Beispiel NDPWatch eine Datenbank mit allen Ethernet- und IPv6-Verknüpfungen und versendet auf Wunsch jedes Mal einen Alarm per E-Mail, wenn sich unerwartete Änderungen ergeben. NDPMon (Neighbor Discovery Protocol Monitor) überwacht dagegen das lokale Netzwerk und meldet unter anderem alle verdächtigen Aktivitäten, wenn etwa ein Node suspekte ND-Messages versendet. Außerdem gibt es das THC IPv6 Attack Toolkit, das genutzt werden kann, um ein besseres Verständnis über das eigene Netzwerk zu bekommen und um zu lernen, wie es auf bösartigen Traffic reagiert.
Der Übergang zu IPv6 wurde schon sehr früh angekündigt und dauert immer noch an. Die Geschwindigkeit dieses Prozesses hat aber deutlich zugenommen, so dass der Wendepunkt in nicht allzu weiter Ferne liegt. Es ist deswegen an der Zeit, das eigene Netzwerk vorzubereiten und gründliche Maßnahmen gegen DDoS-Attacken via IPv6 zu treffen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!