Security ist ein stets aktuelles Thema in der IT. Deshalb widmet sich das ADMIN-Magazin 04/2012 speziell Sicherheitsaspekten und gibt Antworten auf die Fragen: ... (mehr)

Rogue Router

Wird nun ein Rogue Router aktiv und sendet dieser ebenfalls an die Multicast-Gruppe FF02::1 ein Router Advertisement (Abbildung 4), wird die Netzwerkkonfiguration der Hosts manipuliert, sodass die IP-Adressen und Routingtabellen nicht den administrativen Vorgaben entsprechen. Dieses Szenario findet sich in der Praxis häufig, da Technologien wie Windows Internet Connection Sharing (ICS), Software Router in Linux-Derivaten (»radvd« ) oder diverse Tools aus bekannten Werkzeugsammlungen im Internet Router Advertisements (RAs) an die lokalen Kommunikationspartner ohne großen manuellen Aufwand verteilen. Werden diese Aktivitäten nicht überwacht, etabliert sich der Rogue Router als IPv6 Default Gateway. Darüber hinaus kann er über bestimmte Flags im Router Advertisement die DNS-Konfigurationen der Hosts kontrollieren.

Abbildung 4: Ein Rogue Router bringt ebenfalls Router Advertisements in Umlauf, die Hosts im LAN verwenden, um daraus IPv6-Adressen für sich zu bilden.

DNS und LLMNR

Anwendungen verwenden in der Regel eine Resolver Library die zum RFC 3484 [2] kompatibel ist ("Default Address Selection for Internet Protocol version 6 (IPv6)"). Aufgrund der selbstverständlichen Nutzung von IPv4 und der unbewussten IPv6-Nutzung ergeben sich Wechselwirkungen mit den Personal Firewalls auf den jeweiligen Endsystemen sowie mit dem Netzwerkmonitoring, da diese Sicherungsmaßnahmen aktuell auf IPv4 fokussiert sind.

Abbildung 5 zeigt einen Wireshark Mitschnitt der Auflösung des Host-Namens "ibm-r52" mithilfe des Link Local Multicast Name Resolution Protocols (LLMNR). Liefert die DNS-Auflösung keine IP-Adresse, wird LLMNR in neueren Microsoft Betriebssystemen als Ergänzung genutzt. Da Source und Destination Address dem Link-Local-Scope (fe80::/10) zuzuordnen sind, ist das Übertragungsprotokoll IPv6. Die Tatsache, dass IPv6 aktiviert ist und LLMNR eine Namensauflösung liefert, hat zur Folge, dass die anstehenden Nachrichten nun auch über IPv6 transportiert werden.

Abbildung 5: Mitschnitt der Auflösung eines Hostnamens mithilfe des Link Local Multicast Name Resolution Protocols.

Im schon erwähnten RFC 3484 ist die Implementierung einer administrativen Schnittstelle zur Steuerung des bevorzugten Netzwerkprotokolls und der Adressauswahl im jeweiligen Host-Betriebssystem gefordert. Microsoft-Administratoren können diese Policy über Netsh-Befehle ändern. Linux-Admins editieren die Datei »/etc/gai.conf« . Lediglich Apple entspricht mit seinem OS X nicht der Forderung des RFC.

Die Auswahlkriterien werden wie in Tabelle 1 zeilenweise definiert und dargestellt. Einer Adresse wird dabei im Auswahlprozess nach RFC 3484 die Zeile mit der bestmöglichen Übereinstimmung (Prefix) zugeordnet.

Tabelle 1

Auswahl nach RFC 3484

Precedence

Label

Prefix

Beschreibung

50

0

::1/128

Loopback

40

1

::/0

IPv6-Adressen

30

2

2002::/16

6to4 Adressen

20

3

::/96

IPv4 kompatible Adressen (veraltet)

10

4

::ffff:0:0/96

IPv4 Adressen (mapped)

5

5

2001::/32

Teredo

Die Spalte »Precedence« gibt einer IPv6 Global Unicast-Adresse den Wert 40, der IPv6 Loopback Address den Wert 50. Platzhalter für mögliche IPv4-Adressen ist der Eintrag ::ffff:0:0/96 mit der Precedence 10. Aufgrund der höheren Precedence wird IPv6 bevorzugt. Dabei werden Source Address und Destination Address möglichst so ausgewählt, dass der Gültigkeitsbereich (Global oder Link Local) übereinstimmt. Die Spalte »Label« steuert die Zuordnung einer Source Address zu einer Destination Address, falls mehrere Adressen zur Auswahl stehen.

Wie bereits weiter oben erwähnt, haben die im Router Advertisement gesetzen Flags direkten Einfluss auf die DNS-Konfiguration der Hosts. Abbildung 6 zeigt ein Router Advertisement, in dem das gesetzte »OTHER« -Flag signalisiert, weitere Konfigurationsparameter mittels Stateless DHCPv6 zu suchen. So kann die DNS-Konfiguration eines Hosts gesteuert beziehungsweise manipuliert werden. Alternativ bietet dazu der RFC 5006 [3] als neuere Methode an, den DNS-Server im Router Advertisement bekanntzugeben (Option Recursive DNS Server). Allerdings kann so ein potenzieller Angreifer mittels der beschriebenen Techniken die reguläre DNS-Infrastruktur umgehen. Das gilt sowohl für die Abbildung der Host-Namen auf IPv4-Adressen als auch auf IPv6-Adressen.

Abbildung 6: Das Router Advertisement mit gesetztem OTHER-Flag beeinflusst direkt die DNS-Konfiguration eines Hosts.

In der Microsoft-Welt kann dann wegen der dynamischen DNS-Updates im Active Directory und der weiter unten vorgestellten 6to4-Tunnel ungewollt die Kommunikation über IPv6 erfolgen.

Weitere latente Gefährdungen werden durch die von Microsoft automatisch aktivierten Tunneltechnologien wie ISATAP, 6to4 und Teredo in die Kommunikationsnetze getragen. Unübersehbar sind die intensiven Wechselwirkungen zwischen IPv6 und dem etablierten Vorgänger IPv4, da alle Tunneltechnologien IPv6-Datenverkehr in IPv4 tunneln (Abbildung 7). Damit wird IPv4 zur Link-Layer-Technologie.

Abbildung 7: Automatisch aktivierte Tunnel-Technologien verpacken IPv6 in IPv4.
comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022