Zum Hauptinhalt springen

6. Sicherheitsüberlegungen

Dieses Kapitel diskutiert Sicherheitsauswirkungen der IPv4-ID-Feldaktualisierungen.

6.1 Datenschutzauswirkungen

Die ID-Feldgenerierungsstrategie kann Informationen über den Sender preisgeben:

  1. Datagramm-Senderate: Durch Beobachtung der ID-Wachstumsrate
  2. Geräte-Fingerprinting: Identifizierung von Gerätetypen durch ID-Muster
  3. Benutzeraktivitätsverfolgung: Verfolgung durch ID-Änderungen

Gegenmaßnahmen:

  • Verwendung von Zufallswerten für atomare Datagramme
  • Per-Flow-Zähler statt globaler Zähler
  • Regelmäßiges Zurücksetzen der Zähler
  • Zufällige Initialwerte

6.2 Fragmentierungsangriffe

IPv4-Fragmentierung kann für verschiedene Angriffe ausgenutzt werden:

6.2.1 Fragmentierungs-Reassemblierungsangriffe

Angreifer können:

  1. Ressourcenerschöpfung: Unvollständige Fragmente senden
  2. Reassemblierungsfehler: Fragmente mit gleicher ID aber unterschiedlichem Inhalt senden
  3. Firewall-Umgehung: Durch Fragmentierung Firewall-Prüfungen umgehen

Gegenmaßnahmen:

  • Verwendung atomarer Datagramme (DF=1)
  • Path MTU Discovery
  • Begrenzung unvollständiger Fragmente
  • Fragmentvalidierung

6.3 ID-Kollisionsangriffe

Angreifer können versuchen, die begrenzte ID-Kapazität auszunutzen:

  1. ID-Vorhersageangriff: Vorhersage von ID-Generierungsalgorithmen
  2. ID-Erschöpfungsangriff: Schnelle Erschöpfung des ID-Raums
  3. Reassemblierungs-Interferenzangriff: Gefälschte Fragmente mit gleicher ID senden

Gegenmaßnahmen:

  • Randomisierte ID-Generierung
  • Per-Flow-ID-Raum
  • Transportschicht-Validierung
  • IPsec

6.4 Denial-of-Service-Angriffe

IPv4-ID-Feldverarbeitung kann Ziel von DoS-Angriffen sein:

  1. Fragmentierungs-Flutangriff: Massive fragmentierte Datagramme
  2. ID-Erschöpfungsangriff: Schnelle Erschöpfung des Sender-ID-Raums
  3. Reassemblierungs-Ressourcenerschöpfung: Unvollständige Fragmente

Gegenmaßnahmen:

  • Ratenbegrenzung
  • Ressourcenverwaltung
  • Priorisierte Verarbeitung atomarer Datagramme
  • Firewall und Filterung

6.5 Vergleich mit IPv6

IPv6-Fragmentierung ist sicherer:

  1. End-to-End-Fragmentierung: Nur Quellknoten fragmentieren
  2. 32-Bit-Identifikationsfeld: Größerer ID-Raum
  3. Expliziter Fragmentierungsheader: Klarere und sicherere Verarbeitung

6.6 Empfehlungen

  1. Atomare Datagramme (DF=1) bevorzugen
  2. Randomisierte ID-Generierung verwenden
  3. Auf Transportschicht-Schutz vertrauen
  4. Überwachungs- und Erkennungsmechanismen einsetzen
  5. Regelmäßige Updates durchführen

Navigation:

Letztes Update am