F

Ist TCP/IP Reassembly ein Sicherheitsrisiko für Ihr Intrusion Prevention System?

Ob TCP/IP Reassembly für Ihr Intrusion Prevention System ein Sicherheitsrisiko darstellt, lässt sich testen. Danach können Sie entsprechend reagieren.

Auf der Black Hat 2013 wurde von Security-Experten die Behauptung aufgestellt, dass Produkte für Netzwerk-Security...

von Next Generation Firewalls ( NGFWs) bis hin zu Intrusion Prevention Systems (IPS) davon abhängig sind, wie sie mit so genanntem TCP/IP-Reassembly umgehen können. Ohne die Fähigkeit zu TCP/IP-Reassembly könnten die Sicherheitsbarrieren dieser Produkte umgangen werden, die damit ein enormes Sicherheitsrisiko darstellen würden. Was genau ist damit gemeint und wie kann ein Unternehmen sicherstellen, dass ihre Security-Produkte in diesem Bereich ausreichend abgesichert sind?

Benötigen Anwendungen eine logische Netzwerk-Verbindung, kommunizieren diese in der Regel über das Transmission Control Protocol (TCP). Kurz gesagt funktioniert TCP mithilfe eines Drei-Wege-Handschlags: Nachdem eine logische Verbindung zwischen den Hosts aufgebaut wurde, werden Segmente der sogenannten Payload-Daten vor- und zurück gesendet. Allerdings sind nicht alle Segmente gleich groß oder schlagen bei der Reise von einem Host zum anderen denselben Netzwerk-Pfad ein. Hinzu kommt, dass dazwischen geschaltete Netzwerkgeräte manchmal so konfiguriert sind, nur Segmente bis zu einer bestimmten Größe zu verarbeiten. Bekommt ein solches Netzwerkgerät im eingeschlagenen Pfad ein Segment, das zu groß zum Verarbeiten ist, dann wird das Segment aufgeteilt. Wenn das Zielgerät alle vorgesehenen Segmente des Senders schließlich erhält, liegen diese oftmals nicht mehr in chronologischer Reihenfolge vor. Damit lässt sich nur durch das Konzept der Sequence Numbers die Reihenfolge der Segmente wiederherstellen.

Das in der Frage erwähnte Whitepaper diskutiert nun das Sicherheitsrisiko durch diverse Schwachstellen in Bezug auf TCP/IP Reassembly. Um die Schwachstelle auf IPS-Ebene zu demonstrieren, ließ man einige ältere und bekannte Exploits gegen eine Reihe solcher Systeme laufen, die ohne TCP/IP-Manipulation in der Lage sein sollten, die Angriffe zu erkennen. Sobald ein IPS einen der bekannten Exploits entdeckte, wurde derselbe Angriff unter Zuhilfenahme von TCP/IP Reassembly durchgeführt. Damit wurde also der gleiche Code an dieselben Geräte geschickt, allerdings in mehrere Segmente aufgeteilt. In vielen Fällen wurde der gleiche Exploit, der vorher einwandfrei entdeckt wurde, von den IPSs jetzt nicht mehr erkannt. Vor dem TCP/IP Reassembly konnten die Angriffe also erfolgreich blockiert werden, nach der Manipulation nicht mehr.

Durch ähnliche Tests kann eine Organisation herausfinden, ob die eingesetzten Security-Produkte in diesem Bereich Stand halten oder tatsächlich ein Sicherheitsrisiko darstellen. Werfen Sie bekannte Exploits gegen ein IPS ins Rennen, von denen Sie wissen, dass Ihr IPS diese erkennt. Im Anschluss wiederholen Sie dies, setzen aber TCP/IP Reassembly ein. Dabei kann Ihnen zum Beispiel ein Tool wie Metasploit behilflich sein. Sollte Ihr IPS beide Versuche blockieren, lässt sich Ihr Intrusion Prevention System von der TCP/IP-Manipulation nicht ins Bockshorn jagen. Sollte das nicht der Fall sein, überprüfen Sie am besten zunächst die Geräte-Konfiguration, möglicherweise lässt sich hier ganz unkompliziert nachbessern. Funktioniert das nicht, sollten Sie in jedem Fall den Anbieter oder Hersteller Ihrer IPS-Lösung kontaktieren, vielleicht fehlt Ihnen auch einfach nur ein Software-Update oder es liegt ein anderes Problem vor. Falls dies aber auch nicht zutrifft, sollten Sie tatsächlich über den Austausch Ihres IPS nachdenken.

Artikel wurde zuletzt im April 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Network-Intrusion-Detection und -Analyse

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close