IPv6 Security – Typische Angriffe

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

IPv6 Security – Typische Angriffe

IPv6 bringt viele neue Mechanismen gegenüber IPv4 mit sich. Dadurch ergeben sich auch neue Angriffsflächen. Dieser Artikel beschreibt die wichtigsten Angriffsszenarien, die in IPv6-Netzen auftreten können.

Neighbor Discovery (ND) Angriffe

Neighbor Discovery ersetzt ARP in IPv6 und ist anfällig für ähnliche Manipulationen.

  • ND Spoofing / Poisoning: Falsche Zuordnung von IPv6- zu MAC-Adressen.
  • Rogue Neighbor Advertisement: Angreifer meldet sich als anderer Host oder Gateway.
  • Neighbor Solicitation Flood: Überflutung mit ND-Anfragen → Denial-of-Service.

Gegenmaßnahmen: Secure Neighbor Discovery (SEND), ND Inspection, Switch-basierte Sicherheitsfunktionen.

Router Advertisement (RA) Angriffe

Router Advertisements (RA) können leicht missbraucht werden.

  • Rogue RA (Evil radvd): Angreifer gibt sich als Router aus und verteilt falsche Präfixe.
  • RA Flood: Viele falsche RA-Pakete erzeugen Routing-Chaos und CPU-Last.
  • Prefix Injection: Angreifer schickt unerwünschte Präfixe in das Netz.

Gegenmaßnahmen: RA-Guard auf Switches, Filterung von RA-Paketen.

DHCPv6 Angriffe

Ähnlich wie DHCP bei IPv4 kann DHCPv6 für Angriffe missbraucht werden.

  • Rogue DHCPv6 Server: Verteilt falsche Adressen, Gateways oder DNS-Server.
  • DHCPv6 Starvation: Angreifer reserviert massenhaft Leases → legitime Clients gehen leer aus.

Gegenmaßnahmen: DHCPv6-Snooping, Authentifizierung, Port-Security.

Multicast Listener Discovery (MLD) Angriffe

IPv6 nutzt Multicast intensiv für Kommunikation und Service Discovery.

  • MLD Flood: Überflutung mit MLD-Nachrichten kann Router oder Switches belasten.
  • Fake Group Memberships: Angreifer meldet viele Multicast-Gruppen an, um Last zu erzeugen.

Gegenmaßnahmen: MLD-Snooping, Limitierung auf Switch-Ebene.

Extension Header und Fragmentation Angriffe

IPv6 erlaubt den Einsatz von Extension Headers und Fragmentierung, was missbraucht werden kann.

  • Header-Ketten-Missbrauch: IDS/Firewalls können umgangen werden.
  • Fragmentation DoS: Viele kleine Fragmente erzeugen hohe Last und blockieren Sessions.

Gegenmaßnahmen: Firewalls und IDS so konfigurieren, dass sie Extension Headers korrekt verarbeiten; unnötige Extensions blockieren.

SLAAC Manipulation

Stateless Address Autoconfiguration (SLAAC) kann gezielt missbraucht werden.

  • SLAAC Attacke: Angreifer schickt gefälschte Router Advertisements mit Präfix und Default-Route → alle Clients routen über ihn.
  • MITM durch SLAAC: Kombination von gefälschtem Präfix + DNS-Angriff erlaubt Traffic-Manipulation.

Gegenmaßnahmen: RA-Guard, Router-Authentifizierung, Monitoring.

Weitere Bedrohungen

  • DNS Hijacking via DHCPv6: Ein Rogue DHCPv6-Server liefert falsche DNS-Informationen.
  • Dual-Stack Fake Router: Angreifer kündigt IPv6-Konnektivität an; Clients bevorzugen IPv6 und senden Traffic über den Angreifer.
  • ICMPv6 Floods: Überlastung durch massenhafte ICMPv6 Echo Requests.

Zusammenfassung

IPv6 erweitert den Adressraum, bringt aber neue Angriffsvektoren mit sich. Besonders kritisch sind:

  • Neighbor Discovery Spoofing (IPv6-Variante von ARP-Spoofing).
  • Rogue Router Advertisements.
  • Rogue DHCPv6-Server.
  • Missbrauch von Multicast (MLD).
  • Manipulation durch Extension Headers und Fragmentation.
  • SLAAC-Manipulation und Prefix Injection.

Empfehlung: Einsatz von RA-Guard, DHCPv6-Snooping, ND-Inspection und Monitoring in produktiven Netzen.

Abgerufen von „http://wiki.ixheim.de/index.php?title=IPv6_Security_–_Typische_Angriffe&oldid=64352