aktuell | IPv6Marc HeuseDie beste VerteidigungForschungsprojekt IPv6 Intrusion DetectionDas neue Internet-Protokoll IPv6 verbreitet sich zwar gut, aber Abwehr -strategien gegen Angreifer aus dem Netz sind noch in der Entwicklung.Das Bundesministerium für Bildung und Forschung fördert daher ein Projekt,in dessen Rahmen unter anderem bewährte IPv4-Analyse <strong>technik</strong>en undWerkzeuge auf IPv6 umgesetzt werden, statt erst auf Angriffe zu reagieren.Erste Ergebnisse belegen nun, wie wichtig der Schritt war.Die Testsuite ft6 prüft IPv6-Firewalls automatisiert und zeigtbestandene und nicht bestandenePrüfungen (rot) auf einen Blick.Das Forschungsprojekt „IPv6 Intrusion Detection“läuft bereits seit dem Jahr 2011.Mitte Juni präsentierten die Teilnehmer – dieBeuth-Hochschule für Technik, die UniversitätPotsdam und die Firma EANTC – auf dem BerlinerWorkshop erste spannende Ergebnisse.Eine frühe Bestandsaufnahme hat gezeigt,dass es für umfassende IPv6-Sicherheitsanalysenetwa von Netzelementen wie Routernund Firewalls an Werkzeugen mangelte. Sohatten sich die Projektteilnehmer vorgenommen,Intrusion-Detection-Mechanismen aufIPv6 umzusetzen, ein Darknet und ein Honeynetaufzubauen und Zugriffe darauf zu untersuchen.Den vierten Schwerpunkt bildete dieAnalyse von IPv6-Firewalls.Eines der Projektergebnisse ist die Testsuiteft6, die IPv6-Firewalls auf den Zahn fühlt. DieProgramme bringen eine grafische Oberflächeauf Grundlage des Frameworks Qt4 mitund nutzen das in Python geschriebene ToolScapy, mit dem sich IP-Pakete manipulierenlassen. So kann man per Mausklick analysieren,wie gründlich eine Firewall IPv6-Protokollkomponentenfiltert. Kern der Analyse istdie Behandlung von verketteten IPv6-Headern(IPv6-Extension-Header) und deren Optionen.Angriffskonzepte mit solchen Headerngründen darauf, dass Firewalls keine beliebigenVerkettungslängen korrekt analysierenkönnen und so unerwünschte Pakete ins LANlassen. Die Ergebnisse bereitet ft6 grafisch auf.Was ft6 leisten kann, belegen Analysen derMittelstands-Firewalls Cisco ASA5510, Checkpoint2210, Juniper J2320 sowie Linux ip6tables.Unterm Strich kam heraus, dass sie mitIPv6-Erweitungsheadern bisher nur schwerfertig werden. Sie können deren Inhalte derzeitnicht oder nur äußerst aufwendig filtern(ip6tables). Immerhin, besorgniserregende Sicherheitslückentraten nicht auf. Die ft6-Testsuiteist über die Webseite des Forschungsprojektserhältlich (siehe c’t-Link am Ende diesesBeitrags).In einem separaten Schwerpunkt wurdendie Firewall Checkpoint 2210 und der RouterJuniper J2320 Belastungstests mit unterschiedlichenAnteilen an IPv4- und IPv6-Verkehrausgesetzt (Messreihen mit je 100, 90, 50und 10 Prozent Anteilen). Die Ergebnisse deutenauf Filtermechanismen von sehr unterschiedlicherReife hin. Beispielsweise befördertdie Checkpoint-Firewall bei reinem IPv4-Verkehr bis zu 1300 MBit/s, jedoch nur 180MBit/s, wenn es ausschließlich IPv6-Paketesind. Eine Ursache für den Einbruch dürftedarin liegen, dass der Hardware-Optimierungsmechanismusder Firewall deaktiviertwird, sobald man IPv6-Regeln einträgt.Der Juniper-Router war bei reinem IPv6-Betriebnur 10 Prozent langsamer als bei reinemIPv4-Betrieb. Er bremste überraschenderweiseaber mehr, wenn der Verkehr je zur Hälfte ausIPv4- und IPv6-Paketen bestand (rund 25 Prozentgegenüber reinem IPv4-Verkehr). In einerzweiten Messreihe untersuchten die Forscherdie Auswirkung von Hop-by-Hop-Headernauf den Durchsatz. Den Inhalt solcherErweitungsheader muss jeder Router undjede Firewall überprüfen, da er Informationenenthält, die wichtig für das Routing sind.Deshalb kosten sie mehr Verarbeitungszeit.Wenn 10 Prozent der Pakete mit Hop-by-Hop-Headern versehen waren, war dieCheckpoint-Firwall nicht einmal 1 Prozentlangsamer als ohne die Test-Header. Sie ließaber um bis zu 34 Prozent nach, wenn allePakete Hop-by-Hop-Header enthielten. DemJuniper-Router bereitet diese Aufgabe derzeitmehr Probleme: Er war bei der erstenMessreihe um <strong>15</strong> Prozent langsamer und beider zweiten sank der Durchsatz sogar auf1/100 ab. Mittels solcher Pakete sind derzeitalso Denial-of-Service-Angriffe auf kleine bismittlere IPv6-Router denkbar.Im Rahmen des Workshops stellte derAutor dieses Beitrags sein IPv6-Angriffstoolkitthc-ipv6 sowie damit erzielte Ergebnisse einesFirewall-Tests vor. Die Resultate, die unter anderemSicherheitsprobleme in den FirewallsJuniper SRX, Fortinet und Cisco ASA aufzeigten,haben wir bereits veröffentlicht [1].Die IPv6-Analysen sind aber nicht auf pureAngriffsszenarien beschränkt. Von der HochschuleBeuth stammt eine separate Testsuitezum Detektieren von Einbruchsversuchen(Intrusion Detection). Sie ist ebenfalls alsOpen Source erhältlich und gründet auf demSnort-Preprozessor. Damit lässt sich inzwischenein großer Teil an IPv6-spezifischenProtokollangriffen erkennen. Man kann siealso bereits für die Überwachung von IPv6-Netzen einsetzen.DornröschennetzIm Darknet-Projekt wurde ein IPv6-Subnetz(48er Prefix) angelegt und überwacht. Wenigüberraschend gab es keine Angriffe darauf.Das dürfte zum Teil daran liegen, dass IPv6noch nicht im Fokus von Angreifern steht,aber auch an den enormen Netzwerkgrößen– Treffer durch zufälliges Scannen sind beiIPv6 unwahrscheinlich. Jedoch verirrten sichein paar Pakete in dieses Netz. Dabei handeltees sich aber aller Wahrscheinlichkeit nachnur um Antworten auf Synflooding-Angriffeauf andere Ziele mit vorgetäuschten IPv6-Absenderadressen.Im Honeynet-Projekt haben die Entwicklerden Honeypot-Dienst honeyd für IPv6 erweitert.Das gestaltete sich sehr umfangreich,weil honeyd nicht Dienste simuliert, sondernkomplette Systeme – also lernte honeyd zunächstdas IPv6-Protokoll. Noch beherrschtdas neue „honeydv6“ nicht alle Funktionen,die man von der IPv4-Version kennt. Zum Beispielvermag es Windows- oder OS-X-Betriebssysteme mit IPv6-Stack noch nichtnachzuahmen, aber die Basis ist gelegt.ResümeeEs ist erfreulich zu sehen, wenn Forschungsprojektenicht nur theoretische Ergebnisseliefern. Das nun gesammelte Know-how unddie deutlich gewachsene Zahl an Werkzeugendürften gut zu einem Fundament fürIPv6-Sicherheitsstrategien beitragen. FürRouter- und Firewall-Hersteller haben sienun klare Schwerpunkte zur Abhärtung ihrerProdukte aufgezeigt.(dz)Literatur[1]ˇMarc Heuse, Türsteher, IPv6-Firewalls für kleineUnternehmen, c’t 11/2013, S. 162[2]ˇVorträge und Ergebnisse des Workshops,www.idsv6.de/en/workshop.htmlwww.ct.de/13<strong>15</strong>03636 c’t 2013, Heft <strong>15</strong>
aktuell | NetzePowerline-Durchsatz hochgerechnetNach Allnet (c’t 5/13, S. 47) bringt nun auchZyxel einen leicht beschleunigten Power -line-Adapter heraus: Der PLA5205 setzt wieder ALL168600 auf den Qualcomm-ChipQCA7450. Er nutzt die etablierte 500-MBit/s-Technik und ist dadurch zu vorhandenenHomePlug-Adaptern kompatibel, koppeltaber das Signal fallweise auf unterschied -liche Adern des Stromnetzes (Diversity). Dadurchsteigt der durchschnittliche Power -line-Durchsatz um 20 Prozent. Allnet undZyxel rechnen damit die Bruttodatenrate auf600 MBit/s schön, obwohl die Adapter nachwie vor Daten mit maximal 500 MBit/s überdie Stromleitung schicken. Zyxel verlangtfür einen Adapter 46 Euro. Ein Starterkitmit 2 PLA5205 kostet 89 Euro. (ea)Zyxels Powerline-Adapter PLA5205 nutzen Diversity,um den mittleren Durchsatz um 20 Prozent zusteigern, was bei herkömmlicher Technik einermaximalen Bruttorate von 600 MBit/s entspräche.∫ Netz-NotizenXirrus Networks kündigt 11ac-WLAN-Modulefür seine XR-WLAN-Arrays an. Damitsollen vorhandene Installationen alleindurch Modultausch aufrüstbar sein. DieModule sind jetzt schon bestellbar, werdenaber erst im Herbst ausgeliefert.Eaton bringt mit der Eclipse Pro eine neueUSV-Serie für Heimbüros oder kleinereUnternehmen wie Arztpraxen und Architekturbürosheraus. Die Geräte sind mitAusgangsleistungen zwischen 650 und1600 VA erhältlich.Netgear wartet mit einer PoE-gespeistenWLAN-Basis für 105 Euro auf: Der WN203funkt im 2,4-GHz-Band mit maximal 300MBit/s brutto und soll in Kleinbüros oderHotels bis 50 Zimmer eine Basisversorgungfür Mobilgeräte herstellen. Er beherrschtdazu auch Multi-SSID mit VLAN-Tagging.Router mit schnellem WLAND-Link erweitert sein Router-Portfolio um vierGeräte mit schnellem WLAN gemäß IEEE802.11ac: Der DIR-810L erreicht auf 5 GHz maximal433 MBit/s brutto, DIR-850L und -860Lschaffen 867 MBit/s, der DIR-868L kommt auf1300 MBit/s. Im 2,4-GHz-Band, das alle Mo -delle parallel bedienen, liegt die Höchstgeschwindigkeitbei <strong>15</strong>0, 300 beziehungsweise450 MBit/s (IEEE 802.11n). Die ersten beidenBreitband-Router besitzen Fast-Ethernet-Portsfür WAN und LAN, die anderen bieten durchgängigGigabit-Ethernet. D-Link verlangt fürdie Router 105 bis 269 Euro.(ea)
- Seite 1: magazin fürcomputertechnikwww.ct.d
- Seite 7: Action-CamsBewegungen in hohemTempo
- Seite 16 und 17: aktuell | Unsichere Industrieanlage
- Seite 18: aktuell | Computer Graphics Interna
- Seite 22 und 23: aktuell | SupercomputerAndreas Stil
- Seite 24 und 25: aktuell | ProzessorenAndreas Stille
- Seite 26 und 27: aktuell | Smartphones, Tablets, Not
- Seite 28: aktuell | Grafik, HardwareMini-ITX-
- Seite 31 und 32: aktuell | EmbeddedRobuste Mainboard
- Seite 34 und 35: aktuell | PeripherieRobustes Displa
- Seite 38: aktuell | Anwendungen3D-Puppe Genes
- Seite 41 und 42: aktuell | Technische AnwendungenGü
- Seite 43: aktuell | ForschungErweiterte Reali
- Seite 47 und 48: aktuell | LinuxEinsteiger-Linux Zor
- Seite 50 und 51: aktuell | AppleDetails zu iOS 7 und
- Seite 52: kurz vorgestellt | Display, Android
- Seite 55 und 56: kurz vorgestellt | Motorrad-Navigat
- Seite 57 und 58: kurz vorgestellt | Externe Festplat
- Seite 59 und 60: kurz vorgestellt | Modellier-App, O
- Seite 62 und 63: Prüfstand | MacBook AirJohannes Sc
- Seite 64 und 65: Report | VR-Brille zum Selbstausdru
- Seite 66 und 67: Prüfstand | 3D-Rendererunbekleidet
- Seite 68 und 69: Report | Voice-Tools für Linux-Gam
- Seite 70: Report | Voice-Tools für Linux-Gam
- Seite 73 und 74: Report | Facebook-RechenzentrumIn l
- Seite 75 und 76: Report | Service & SupportRobert W.
- Seite 77 und 78: Report | Glass im Alltagschaltet wa
- Seite 79 und 80: Prüfstand | SmartphonesApple iPhon
- Seite 81 und 82: Prüfstand | Smartphonesbeim Q10, b
- Seite 84 und 85: Prüfstand | SmartphonesSonys Ände
- Seite 86 und 87:
Prüfstand | SmartphonesGrafik-Benc
- Seite 88 und 89:
Prüfstand | SmartphonesSurfenFürs
- Seite 90 und 91:
Prüfstand | SmartphonesSmartphone-
- Seite 92 und 93:
Prüfstand | SmartphonesLeistungsau
- Seite 94 und 95:
Benjamin BenzZu schnellKomplett-PCs
- Seite 96 und 97:
Prüfstand | Komplett-PCsKomplett-P
- Seite 98 und 99:
Prüfstand | Profi-GrafikkartenMart
- Seite 100 und 101:
Prüfstand | Profi-GrafikkartenDie
- Seite 102 und 103:
Prüfstand | Profi-GrafikkartenK Sa
- Seite 104 und 105:
Report | Action-Cams - ZubehörPhil
- Seite 106 und 107:
Report | Action-Cams - ZubehörKlet
- Seite 108 und 109:
Prüfstand | Action-CamsUlrich Hilg
- Seite 110 und 111:
Prüfstand | Action-CamsDie Contour
- Seite 112 und 113:
Prüfstand | Action-CamsTaschenlamp
- Seite 114 und 115:
Prüfstand | Action-CamsDas Farbdis
- Seite 116 und 117:
Prüfstand | Action-CamsÜbern Tell
- Seite 118 und 119:
Christof WindeckNeu startenLösunge
- Seite 120 und 121:
Praxis | UEFI-TroubleshootingSecure
- Seite 122 und 123:
Praxis | UEFI-TroubleshootingDer bo
- Seite 124 und 125:
Praxis | UEFI-Troubleshooting: Wind
- Seite 126 und 127:
Praxis | UEFI-Troubleshooting: Wind
- Seite 128 und 129:
Thorsten LeemhuisWeitere Betriebsar
- Seite 130 und 131:
Praxis | UEFI-Troubleshooting: Linu
- Seite 132 und 133:
Praxis | UEFI-Troubleshooting: Linu
- Seite 134 und 135:
Praxis | UEFI-Troubleshooting: Umpa
- Seite 136 und 137:
Praxis | UEFI-Troubleshooting: Umpa
- Seite 138 und 139:
Know-how | Das leistet UEFIChristof
- Seite 140 und 141:
Praxis | iPhone-AkkuwechselChristia
- Seite 142 und 143:
Praxis | iPhone-Akkuwechsel5Der dri
- Seite 144:
dedizierter1Gbit/sPort
- Seite 147 und 148:
Praxis | HotlineHOTLINESie erreiche
- Seite 149 und 150:
Praxis | Hotlinedoch parallel auch
- Seite 152 und 153:
Praxis | SSD-DiagnoseBoi FeddernGuc
- Seite 154 und 155:
Praxis | SSD-Diagnosedows ein und e
- Seite 156 und 157:
Praxis | IPv6-EinführungReiko Kaps
- Seite 158 und 159:
Praxis | Content MarketingFrank Pus
- Seite 160:
Praxis | Content MarketingDas Keywo
- Seite 164 und 165:
Praxis | Bonjour im VPNDušan Živa
- Seite 166 und 167:
Praxis | Bonjour im VPNters“ alle
- Seite 168 und 169:
Praxis | Hyper-V ReplicaPeter Sieri
- Seite 170:
Praxis | Hyper-V ReplicaNur Windows
- Seite 173 und 174:
Praxis | Hyper-V ReplicaEin Assiste
- Seite 175 und 176:
Know-how | JavaScript-Frameworksvar
- Seite 177 und 178:
Know-how | JavaScript-FrameworksKla
- Seite 179 und 180:
Know-how | Trusted Computingon 2.0
- Seite 181 und 182:
Know-how | Trusted Computingsichert
- Seite 184:
Buchkritik | Apple-Dienste, 3D-Soft
- Seite 187 und 188:
Spiele | Rundenstrategie, Indie- un
- Seite 190:
Kids’ Bits | Rätselsammlung, Leu
- Seite 193 und 194:
Illustration: Susanne Wustmann, Dor
- Seite 212 und 213:
Inserentenverzeichnis *1&1 Internet
- Seite 214:
ÖSTERREICH 9,90 ¤ / SCHWEIZ 13,60