Laufzeit: 01.04.2011 - 31.07.2013
Eine wichtige technische Voraussetzung für den fortschreitenden Ausbau der
Kommunikations- und Netzwerkinfrastrukturen in den nächsten Jahren ist der Umstieg
von der derzeitig genutzten Version des Internet-Protokolls IPv4 auf das
Nachfolgeprotokoll IPv6.
Die Umstellung von IPv4 auf IPv6 trifft die Netzinfrastruktur unserer
Informationsgesellschaft. Derzeit bereitet zum Beispiel das Bundesinnenministerium
den großflächigen Einsatz von IPv6 vor. Daher ist die Absicherung der IPv6-Netze
von hoher gesellschaftlicher Relevanz und Bedeutung.
IPv6 fordert zwar im Standard den Einsatz von IPsec, wird dadurch aber nicht
automatisch ein "sicheres" Protokoll. Durch neue Protokolle wie das Neighbor
Discovery Protocol [1], die Adress-Konfiguration [2] und neuartige Protokollansätze
in der Fragmentierung und in ICMPv6, sind neue Sicherheitsrisiken entstanden.
Es zeigt sich aktuell ein Defizit an Tools zur Analyse der Bedrohungslage in
IPv6-Netzen, sowie zum Test der Schutzwirkung von IPv6-Firewalls und Intrusion
Detection Systemen.Da IPv4 nicht zu IPv6 kompatibel ist, können bestehende Werkzeuge nicht für diese
Aufgabe genutzt werden. Speziell angepasste Werkzeuge für IPv6 stehen bisher nicht
oder nur in eingeschränkter Form zur Verfügung, sodass sich hier potentielle
Sicherheitslücken beim Einsatz von IPv6 auftun. Neue Protokolleigenschaften wie
z. B. die Address-Autokonfiguration bieten neuartige Möglichkeiten für Angriffe,
die bisher von keinem Intrusion Detection System (IDS) erkannt werden.
Den aufgezeigten Sicherheitsrisiken soll mit der Entwicklung von Werkzeugen
für die Sicherheitsanalyse begegnet werden.
Es ist zu erwarten, dass mit dem fortschreitenden Deployment und Betrieb von
IPv6-Netzen weitere Schwachstellen in den Protokollen und deren Implementierungen
offengelegt werden. IPv6-Dark- und -Honeynets sind geeignete Werkzeuge, um solche
Schwachstellen erkennen und analysieren zu können.
Im Rahmen dieses Projekts sollen mit Hilfe eines IPv6-Honeynets Aussagen darüber gewonnen werden, welchem Gefährdungspotential reale IPv6-Netze derzeit ausgesetzt sind. Dazu wird ein IPv6-Darknet installiert, welches alle Netzwerkaktivitäten innerhalb eines nicht genutzten IPv6-Subnets aufzeichnet und für die Analyse verfügbar macht. Zusätzlich wird ein IPv6-Honeynet entwickelt.
Für einen Netzwerkadministrator ist es notwendig, zuverlässige Testwerkzeuge zu besitzen, welche darüber Auskunft geben, ob die eingesetzten Schutzmechanismen den Anforderungen genügen. Für IPv4 existiert eine Reihe von freien und kostenpflichtigen Werkzeugen, wie z. B. Nessus [3] und Nmap [4], die allerdings entweder keine oder nur eingeschränkte IPv6-Fähigkeit en aufweisen. Ein weiteres Projektziel ist deshalb die Entwicklung eines Validierungs-Werkzeugs für die Überprüfung von Firewall-Konfigurationen (ICMPv6, Multicast, Routing Header, IPsec, Fragmentation, etc.) und IDS-Systemen.
Traditionelle Firewallkonzepte gehen von einem Einsatz an Netzübergängen aus. Lokale
Angriffe werden von diesen Geräten somit nicht oder nur zufällig erkannt. Mit dem
OpenSource IDS Snort [5] ist es möglich auch in verteilten und geswitchten Netzinfrastrukturen
Angriffserkennungssensoren zu platzieren, die ohne teure Spezialhardware auskommen und
auf traditionellen, preiswerten Systemen (PCs, Notebooks) ablauffähig sind. Für die Erkennung
von Angriffen auf das Neighbor Discovery Protocol [1] und die Adresskonfiguration [2] soll
im Projekt ein eigener IPv6-Präprozessor für Snort entwickelt werden. Anschließend
werden die Snort v6 Erkennungskomponenten auf den Einsatz in Embedded Systems mit Anschaffungskosten
im Bereich von weniger als 200 EUR portiert.
Dieser Embedded Snort Sensor soll auch Privatpersonen, KMUs und öffentlichen Einrichtungen
die IPv6-Netzwerkanalyse ermöglichen und kann z. B. auch zum Schutz von Sensornetzen genutzt
werden.
Schließlich sollen die entwickelten Werkzeuge in Kooperation mit dem Industriepartner EANTC genutzt werden, um sowohl IPv6-Protokoll- als auch Firewall-Lasttests durchzuführen. Der Betrieb eines Darknets und eines IPv6-Honeypots wird aufschlussreiche Ergebnisse über die aktuelle Bedrohungslage liefern.
Literatur:
[1] |
T. Narten, E. Nordmark, W. Simpson, and H. Soliman. |
[2] |
S. Thomson, T. Narten, and T. Jinmei. |
[3] |
Nessus. Network vulnerability scanner. |
[4] |
Nmap. Network security scanner. |
[5] |
Snort. Open source network intrusion detection system. |