Skip to content

Angriffe auf TCP/IP (13) - Schutzmaßnahmen

Nach der Vorstellung der Angriffe auf und über TCP kommen wir nun zur Frage, wie man sich davor schützen kann. Los geht es mit dem

Schutz vor (D)DoS-Angriffen

Sich vor (D)DoS-Angriffen zu schützen ist extrem schwierig. Geht der Angriff nur von einem oder wenigen Absendern aus können deren Pakete über eine Sperrliste in der Firewall verworfen werden. Einfache Angriffe kann die Firewall sogar selbstständig abwehren, indem die Sperrliste bei Erkennen eines Angriffs dynamisch erzeugt wird.

Bei groß abgelegten Angriffen funktioniert das aber nicht mehr. Auch Standardmaßnahmen wie das Filtern ungültiger Absenderadressen nach RFC 2827 (s.u.) durch die Grenz-Router zur Verhinderung von Angriffen, die die Sperrlisten über IP-Spoofing umgehen, hilft gegen die aktuellen Angriffe wie die aus dem IoT nicht, da dabei gar kein IP-Spoofing mehr zum Einsatz kommt.

Die meisten Hoster bieten inzwischen einen Grundschutz vor DDoS-Angriffen, u.a. durch mehrfache leistungsfähige Internet-Anbindungen sowie den Einsatz spezieller Netzwerkhardware zur Datenstromanalyse und der Abwehr von Angriffen auf Anwendungsebene. Aber bei den Datenmengen, die bei den Angriffen des Mirai-Botnets anfallen, sind diese Maßnahmen schnell überfordert.

Teilweise hilft eine Verteilung der Last auf mehrere Server an mehreren Standorten, wie es auch im Rahmen der Content Delivery Networks zur schnelleren Auslieferung von Inhalten gemacht wird.

Schutz vor Angriffen in der Größenordnung des Mirai-Botnets bieten nur spezielle, externe Filter-Services. Es gibt mehrere Anbieter, die die Daten auf verschiedene Arten prüfen und filtern und nur legitime Anfragen an den Hoster weiterleiten.

Schutz vor IP-Spoofing

Da IP-Spoofing auf einer Designschwäche beruht, kann man es nicht verhindern. Also muss man versuchen, das Beste aus der Situation zu machen und den möglichen Schaden zu begrenzen.

Wenn jedes Teilnetz nur Pakete in andere Netze weiterleitet, die Absenderadressen aus dem eigenen Netzwerk tragen, ist IP-Spoofing nur noch im jeweiligen Teilnetz möglich. Außerdem wird so verhindert, das vom lokalen Teilnetz aus IP-Spoofing-Angriffe gestartet werden. Analog können von außen kommende Pakete mit Absenderadresse aus dem lokalen Netz verworfen werden, da sie mit Sicherheit gefälscht ist. Die entsprechenden Maßnahmen sind in RFC 2827 beschrieben.

Schutz vor ARP-Spoofing

Im Gegensatz zum global möglichen IP-Spoofing ist ARP-Spoofing ein lokales Problem, da es immer nur im jeweiligen Teilnetz möglich ist. Zu seiner Verhinderung gibt es eine einfache Lösung: Die Verwendung statischer ARP-Einträge. Ihr Nachteil ist, dass bei allen Systemen im jeweiligen Teilnetz alle IP-Adressen mit der jeweils dazu gehörenden MAC-Adresse im ARP-Cache eingetragen werden müssen. Dies führt zu einem erhöhten Verwaltungsaufwand. Oft reicht es aber aus, nur die MAC-Adressen kritischer Systeme wie des Standard-Gateways oder wichtiger Server statisch einzutragen, um die Auswirkungen eines Angriffs zu minimieren.

Eine weitere Möglichkeit ist der Einsatz virtueller LANs (VLANS), durch die das lokale Netz in logische Netzwerksegmente aufgeteilt wird, die untereinander über einen Router kommunizieren. Eine Kommunikation auf Ethernet-Ebene ist nur innerhalb der Segmente möglich, sodass gefälschte ARP-Informationen nur das jeweilige Segment betreffen. Nur der Router als Bestandteil jedes angeschlossenen VLANs ist weiterhin angreifbar. Allerdings ist kein Man-in-the-Middle-Angriff mehr möglich, da ein Angreifer zwar den über den Router in ein anderes VLAN gehenden Netzwerkverkehr zu sich umleiten, die Daten danach aber nicht an den ursprünglichen Empfänger weiterleiten kann.

Außer diesen vorbeugenden Maßnahmen ist auch der Einsatz eines Intrusion-Prevention-Systems möglich, durch das erkannte Angriffe gestoppt werden können.

Schutz vor Hijacking

Gegen TCP- und andere Hijacking-Angriffe wie z.B. HTTP-Hijacking hilft der Einsatz von Authentifizierungs- und Verschlüsselungssystemen. Allerdings muss bei der Authentifizierung mit besonderer Sorgfalt vorgegangen werden, damit sich kein Angreifer als Man-in-the-Middle einschleichen kann. Beim Einsatz einer Ende-zu-Ende-Verschlüsselung guckt der Angreifer buchstäblich auf die Röhre: Er kann zwar die Verbindung über seinen Rechner umleiten, die verschlüsselt übertragenen Daten aber nicht entschlüsseln.

Hiermit ist das Thema "Angriffe auf TCP/IP" fast abgeschlossen. In der nächsten Folge stelle ich noch die Erkennung von Systemen anhand ihres TCP/IP-Stacks vor, das sog. Fingerprinting.

Carsten Eilers

>
        </div>
                
        <footer class= Kategorien: Grundlagen

Trackbacks

Keine Trackbacks