Zum Hauptinhalt springen

11. Sicherheitsüberlegungen (Security Considerations)

Dieses Kapitel behandelt Sicherheitsprobleme des SCTP-Protokolls, potenzielle Bedrohungen und entsprechende Schutzmechanismen.

11.1. Sicherheitsziele

11.1.1. Integritätsschutz

  • CRC32c-Prüfsumme: Schützt gesamtes Paket
  • Verification Tag: Verhindert Paketfälschung

11.1.2. Verfügbarkeitsschutz

  • Cookie-Mechanismus: Verhindert SYN-Flood-Angriffe
  • Multihoming: Bietet Pfadredundanz

11.1.3. Vertraulichkeit

Hinweis: SCTP bietet keine Verschlüsselung. Empfohlen: TLS/DTLS/IPsec.

11.2. SCTP-Antworten auf potenzielle Bedrohungen

11.2.1. Maskierungsangriffe

Schutz: Verification Tag-Validierung, 4-Wege-Handshake, State Cookie mit HMAC-Signatur

11.2.2. Replay-Angriffe

Schutz: TSN (monoton steigend), Cookie-Lebensdauer, assoziationsspezifischer Verification Tag

11.2.3. Denial-of-Service-Angriffe

SYN-Flood-Typ-Angriffe

Cookie-Mechanismus:

1. INIT-Empfang → Keine TCB-Zuweisung
2. State Cookie-Generierung → INIT ACK-Senden
3. COOKIE ECHO-Empfang → Jetzt TCB-Zuweisung

Paket-Flood-Angriffe

Schutz: Verification Tag-Filterung, Prüfsummenverifizierung, Staukontrolle

Multihoming-Missbrauchsangriffe

Schutz: Adressverifizierung via HEARTBEAT, Ratenbegrenzung

11.2.4. Abhören

Einschränkung: SCTP bietet keine Verschlüsselung Empfohlen: TLS over SCTP, DTLS over SCTP, IPsec

11.2.5. Blind-Angriffe

Schwierigkeit: 32-Bit Verification Tag + TSN-Bereich raten Erfolgswahrscheinlichkeit: 1/2^32 oder niedriger

11.3. SCTP-Interaktionen mit Firewalls

11.3.1. Herausforderungen

  • Verständnis der SCTP-Zustandsmaschine erforderlich
  • Multihoming-Verarbeitung (mehrere IP-Adressen)
  • Dynamisches Hinzufügen/Entfernen von Adressen

11.3.2. Empfehlungen

Grundlegende Filterung:

  • SCTP-Prüfsummenverifizierung
  • Zustandsverfolgung
  • INIT-Ratenbegrenzung
  • Multihoming-Unterstützung

Konfiguration:

Erlaubt (ausgehend): INIT, COOKIE ECHO, DATA, SACK, HEARTBEAT
Erlaubt (eingehend): INIT ACK, COOKIE ACK, DATA, SACK, HEARTBEAT ACK
Blockiert: Ungültige Zustandsübergänge, falscher Verification Tag

11.3.3. NAT-Überlegungen

Herausforderung: SCTP enthält IP-Adressinformationen (INIT, ASCONF) Empfohlen: SCTP-fähiges NAT/ALG, NAT-Traversierungstechniken

11.4. Schutz nicht-SCTP-fähiger Hosts

11.4.1. Problem

Angreifer verwendet SCTP INIT gegen nicht-SCTP-fähige Hosts

11.4.2. SCTP-Verhalten

ICMP-Fehlerempfang: Protokollieren, Pfad als unerreichbar markieren, nicht sofort abbrechen Ratenbegrenzung: INIT-Senderate zu einzelnem Ziel begrenzen

11.4.3. Netzwerkschutz

  • Ingress-Filterung: Quelladressenfälschung verhindern (BCP 38)
  • Egress-Filterung: SCTP-Verkehr zu Nicht-SCTP-Ports begrenzen
  • Host-Firewall: Pakete nicht unterstützter Protokolle verwerfen

Zusammenfassung

SCTP-Sicherheitsmechanismen:

  1. Verification Tag (Fälschungs-/Blind-Angriffsverhinderung)
  2. Cookie-Mechanismus (SYN-Flood-Verhinderung)
  3. CRC32c-Prüfsumme (Fälschungs-/Fehlererkennung)
  4. Adressverifizierung (Multihoming-Missbrauchsverhinderung)
  5. 4-Wege-Handshake (verbesserte Authentifizierung)

Sicherheitseinschränkungen:

  • Keine Verschlüsselung (erfordert TLS/DTLS/IPsec)
  • Keine Quellauthentifizierung (erfordert Mechanismen der oberen Schicht)

Best Practices:

  • Verschlüsselungsschicht für sensible Daten verwenden
  • Ratenbegrenzung und Überwachung implementieren
  • Firewalls und NAT ordnungsgemäß konfigurieren
  • Sichere Codierungspraktiken befolgen
  • Sicherheitsupdates zeitnah anwenden
Letztes Update am