IP-Spoofing

Egal, ob Sie als Pri­vat­per­son im Internet unterwegs oder für ein lokales Netzwerk ver­ant­wort­lich sind: Der Schutz vor un­be­fug­ten Zugriffen und sys­tem­schä­di­gen­den Angriffen spielt stets eine wichtige Rolle. Auf ver­schie­dens­ten Wegen ver­schaf­fen sich Kri­mi­nel­le seit Jahr­zehn­ten Zugriff auf fremde Com­pu­ter­sys­te­me und richten dabei mal kleinere, mal größere Schäden an. Vom Angriff selbst bekommt man in der Regel gar nichts mit, sofern die Ein­dring­lin­ge ihr Handwerk verstehen. Ferner wissen viele Cy­ber­kri­mi­nel­le auch ihre Spuren zu ver­wi­schen, sodass es mit ge­wöhn­li­chen Mitteln nahezu unmöglich ist, den Ursprung der Attacken im Nach­hin­ein zu ermitteln. Eine der be­lieb­tes­ten Techniken der Cy­ber­gangs­ter ist von jeher das so­ge­nann­te Spoofing (dt. Ma­ni­pu­la­ti­on; Ver­schleie­rung), das in seiner ur­sprüng­li­chen Form, dem IP-Spoofing, bereits in den 1980er-Jahren in Experten-Kreisen ein Thema war.

Beim so­ge­nann­ten IP-Spoofing handelt es sich um ein Verfahren, bei dem TCP/IP- oder UDP/IP-Da­ten­pa­ke­te mit einer ge­fälsch­ten Ab­sen­der­adres­se versendet werden. Dabei greift der Angreifer auf die Adresse eines au­to­ri­sier­ten, ver­trau­ens­wür­di­gen Systems zurück. Auf diese Weise kann er eigene Pakete in das fremde Rech­ner­sys­tem ein­schleu­sen, die ansonsten von einem Fil­ter­sys­tem blockiert werden würden. In den meisten Fällen dient IP-Spoofing der Aus­füh­rung von DoS- und DDoS-Attacken. Unter be­stimm­ten Umständen kann der Angreifer al­ler­dings mit der ent­wen­de­ten IP auch den Da­ten­ver­kehr zwischen zwei oder mehreren Rech­ner­sys­te­men abfangen oder ma­ni­pu­lie­ren. Solche Man-in-the-Middle-Angriffe mithilfe von IP-Spoofing setzen heut­zu­ta­ge jedoch (bis auf wenige Aus­nah­me­fäl­le) voraus, dass sich der Angreifer im selben Subnetz wie der Ge­schä­dig­te befindet.

Die Mög­lich­keit, die IP-Adresse zu fälschen, ist dadurch gegeben, dass Quell- und Ziel­adres­se, die jedes IP-Paket in seinem Header enthält, nicht aus­rei­chend vor Ma­ni­pu­la­ti­on geschützt sind. Es exis­tie­ren weder Me­cha­nis­men, um diese Angaben zu ver­schlüs­seln, noch, um sie auf Kor­rekt­heit zu prüfen. Der Angreifer erhält mit einem einfachen IP-Spoofing-Angriff keinerlei Zugriff auf den Da­ten­ver­kehr. Er verändert nämlich lediglich den Adress­ein­trag im ent­spre­chen­den Paket, während die tat­säch­li­che IP-Adresse un­ver­än­dert bleibt. Somit gelangt die Antwort auf die aus­ge­sand­ten Daten auch nicht zu ihm, sondern zu dem Rechner, dessen Adresse er angegeben hat.

Dass ein dritter, nicht au­to­ri­sier­ter Teil­neh­mer hinter dem IP-Paket steckt, bleibt dem ant­wor­ten­den System verborgen, was IP-Spoofing für die bereits an­ge­spro­che­nen DoS- und DDoS-Angriffe nutzbar macht. Vor allem folgende zwei Szenarien sind denkbar:

1. Auf Basis der ent­wen­de­ten Quell­adres­se ver­schickt der Angreifer Da­ten­pa­ke­te in großer Zahl an ver­schie­de­ne Systeme innerhalb des je­wei­li­gen Netzwerks. Diese be­ant­wor­ten die Kon­takt­auf­nah­me, indem sie ebenfalls ein Da­ten­pa­ket versenden – und zwar an den ei­gent­lich un­be­tei­lig­ten Rechner, dessen IP-Adresse zweck­ent­frem­det wurde.
2. Ein an­ge­streb­ter Ziel­rech­ner erhält zeit­gleich Da­ten­pa­ke­te von diversen ge­fälsch­ten IP-Adressen und wird dadurch über­las­tet.

Die Rechner, deren IP-Adresse der Angreifer entwendet, können also entweder Ziel der DDoS-Attacke sein oder im Verbund als Werkzeug einer solchen herhalten. In beiden Fällen bleibt der Angreifer unerkannt, da die ver­sen­de­ten Pakete offiziell von den Rechnern zu stammen scheinen, deren IPs über­nom­men wurden.

Ein Angreifer kann die ab­sicht­lich her­bei­ge­führ­te Über­las­tung prin­zi­pi­ell von jedem be­lie­bi­gen Ort aus in­iti­ie­ren, insofern der Ziel­rech­ner mit dem Internet verbunden ist. Im Gegensatz dazu ist ein direkter Zugriff auf den Da­ten­ver­kehr mitt­ler­wei­le erheblich schwerer möglich, wenn sich der Computer des Ein­dring­lings nicht in demselben Subnetz befindet. Das liegt darin begründet, dass das Abfangen eines Da­ten­pa­ke­tes nur mithilfe der ent­spre­chen­den Paket-Se­quenz­num­mer gelingt – ein Vorhaben, das heute im Vergleich zu früheren Tagen von außerhalb nahezu unmöglich ist.

In der Ver­gan­gen­heit ge­ne­rier­ten Be­triebs­sys­te­me und Netz­werk­ge­rä­te diese im TCP-Header ein­ge­tra­ge­nen Vor­gangs­num­mern noch nach einem immer gleichen Muster. Angreifer konnten so einfach testweise mehrere Pakete an das an­ge­peil­te System schicken und dank der Emp­fangs­be­stä­ti­gun­gen die nächst­fol­gen­de Se­quenz­num­mer vor­her­sa­gen. Das hinter der Nummer steckende Paket konnten sie nun lesen oder ma­ni­pu­lie­ren und an­schlie­ßend mit ge­fälsch­ter Absender-IP wei­ter­lei­ten, ohne dass es von den beiden kom­mu­ni­zie­ren­den Systemen re­gis­triert wurde. Da viele Systeme auf host­ba­sier­te Log-in-Verfahren zu­rück­grif­fen, die An­mel­de­da­ten wie Be­nut­zer­na­men und Pass­wör­ter un­ver­schlüs­selt über­tru­gen, konnte der Angreifer mit etwas Glück sogar tat­säch­lich eine Ver­bin­dung aufbauen. Da heutige Systeme die Se­quenz­num­mern zufällig ausgeben, sind diese so­ge­nann­ten TCP-Sequence-Pre­dic­tion-Angriffe (auch Blind Spoofing genannt) im Grunde genommen unwirksam geworden – al­ler­dings sind ältere Geräte auch weiterhin gefährdet.

Bewegt sich der IP-Spoofer in demselben Subnetz – also zum Beispiel in einem lokalen Netzwerk – wie das an­ge­grif­fe­ne System, gelangt er we­sent­lich einfacher an die Se­quenz­num­mer bzw. die da­hin­ter­ste­cken­den IP-Pakete. Anstatt diese mühsam zu ermitteln, kann er den gesamten Da­ten­ver­kehr filtern, ana­ly­sie­ren und sich die ge­wünsch­ten Da­ten­pa­ke­te her­aus­grei­fen. Man spricht aus diesem Grund auch von Non-Blind Spoofing.

Seit Jahr­zehn­ten be­schäf­tigt die Pro­ble­ma­tik des IP-Spoofings die Si­cher­heits­be­auf­trag­ten und Fachleute der Com­pu­ter­bran­che. Ins­be­son­de­re die Tatsache, wie einfach sich DoS- bzw. DDoS-Angriffe durch­füh­ren lassen, macht das IP-Ma­ni­pu­la­ti­ons-Verfahren für Kri­mi­nel­le auch heute noch in­ter­es­sant. Schon lange hält sich daher die Forderung nach einer gezielten Filterung des aus­ge­hen­den Da­ten­ver­kehrs durch In­ter­net­dienst­leis­ter, die Pakete mit Quell­adres­sen außerhalb des zu­grun­de­lie­gen­den Netz­wer­kes erfasst und verwirft. Aufwand und Kos­ten­fak­tor sind jedoch we­sent­li­che Gründe dafür, dass bisher lediglich bei der Forderung bleibt, aber niemand ihr nach­kom­men möchte. Ein weiterer Grund für die zö­ger­li­che Haltung der Anbieter dürfte ferner in den Si­cher­heits­ei­gen­schaf­ten der über­ar­bei­te­ten In­ter­net­pro­to­koll-Version IPv6 liegen. Unter anderem be­inhal­tet der of­fi­zi­el­le Nach­fol­ger des aktuell noch sehr ver­brei­te­ten IPv4 ver­schie­de­ne optionale Au­then­ti­fi­zie­rungs- und Ver­schlüs­se­lungs­mög­lich­kei­ten für den Header der Da­ten­pa­ke­te, die IP-Spoofing zukünftig komplett ver­hin­dern könnten. Der Umstieg auf das neue Adres­sie­rungs­pro­to­koll erweist sich al­ler­dings bisher als sehr zähe An­ge­le­gen­heit, was sich zum Beispiel in der fehlenden IPv6-Un­ter­stüt­zung diverser gängiger Netz­werk­ge­rä­te äußert. Um zu ver­hin­dern, dass ein Angreifer Ihre IP-Adresse fälscht und zweck­ent­frem­det, haben Sie folglich nur die Mög­lich­keit, selbst die In­itia­ti­ve zu ergreifen, indem Sie eigene Schutz­me­cha­nis­men ein­rich­ten. Setzen Sie dabei den Schwer­punkt auf die folgenden zwei Maßnahmen:

• Richten Sie eine um­fas­sen­de Pa­ket­fil­te­rung für Ihren Router bzw. Ihr Si­cher­heits-Gateway ein. Diese sollte ein­ge­hen­de Da­ten­pa­ke­te ana­ly­sie­ren und verwerfen, wenn sie Quell­adres­sen von Geräten innerhalb Ihres Netz­wer­kes aufweisen. An­de­rer­seits sollten Sie auch selbst die Filterung aus­ge­hen­der Pakete mit Absender-Adressen über­neh­men, die außerhalb des eigenen Netz­wer­kes liegen. Auch, wenn Si­cher­heits­exper­ten dies­be­züg­lich die In­ter­net­dienst­an­bie­ter in der Pflicht sehen.

• Ver­zich­ten Sie auf host­ba­sier­te Au­then­ti­fi­zie­rungs­ver­fah­ren. Tragen Sie dafür Sorge, dass alle Log-in-Methoden über ver­schlüs­sel­te Ver­bin­dun­gen statt­fin­den. Damit mi­ni­mie­ren Sie das Risiko eines IP-Spoofing-Angriffs innerhalb Ihres Netz­wer­kes und setzen nebenbei auch wichtige Standards für die all­ge­mei­ne Si­cher­heit.

Ferner sollten Sie natürlich auch ältere Be­triebs­sys­te­me und Netz­werk­ge­rä­te aus­tau­schen, sofern Sie solche noch nutzen. Auf diese Weise werden Sie nicht nur Ihren Schutz vor IP-Spoofing erhöhen, sondern auch zahl­rei­che andere Si­cher­heits­lü­cken schließen.