Es drohen Denial-of-Service-Attacken

Experten warnen vor TCP-Fehler

30.04.2004
MÜNCHEN (CW) - Internet-Experten bereitet ein fast 20 Jahre alter TCP-Design-Fehler Kopfschmerzen: Ein Forscher hat nämlich eine Methode gefunden, mit der sich diese Schwachstelle für Denial-of-Service-(DoS-)Angriffe nutzen lässt. Dazu muss jedoch eine Reihe weiterer Bedingungen erfüllt sein.

Die Gefahr, vor der IT-Sicherheitszentren wie das englische National Infrastructure Security Coordination Centre warnen, basiert auf einem Jahre alten Designfehler des bei IP verwendeten Transmisson Control Protocol (TCP). Der Amerikaner Paul Watson hat nun ein Verfahren entwickelt mit dem sich TCP-Sessions innerhalb von 15 Sekunden zum Absturz bringen lassen. Bislang waren Experten davon ausgegangen, dass ein Angreifer hierzu zwischen vier und 142 Jahren benötige. Deshalb hatte man den Fehler auch nicht als besonders kritisch eingestuft.

Die Angriffsmethode

Konkret nutzt Watson bei seiner Methode eine Lücke in dem Verfahren, wie bei TCP eine Session zwischen zwei Rechnern beziehungsweise Geräten beendet wird. Damit eine solche Session überhaupt zustande kommt, muss neben den IP-Adressen und den involvierten Ports noch eine so genannte Sequenznummer bekannt sein, die etwa zum Auf- und Abbau einer Session dient. Der Designfehler liegt nun darin, dass dies keine exakte Nummer sein muss, sondern diese sich in einem Zahlenfenster (TCP Window) befinden und damit abgeschätzt werden kann. Watson ist es jetzt gelungen, die Zeit zur Abschätzung beziehungsweise Berechnung dieser Zahl auf 15 Sekunden zu verkürzen.

In der Regel dauert aber eine TCP-Session kaum 15 Sekunden, so dass ein Angriff ins Leere geht. Allerdings gibt es einige Ausnahmen, bei denen längere TCP-Sessions auftreten. Eine ist das Border Gateway Protocol (BGP). Über dieses tauschen Router untereinander Informationen darüber aus, wie die Daten weiterzutransportieren sind. Wird eine solche Session mutwillig unterbrochen, muss der Datenverkehr umgeleitet werden. Dies kann dann an weniger leistungsfähigeren Netzknoten auf der Umleitungsstrecke zu Verzögerungen führen.

Betroffene Applikationen

Während ein potenzieller Angriff auf BGP hauptsächlich die Internet-Service-Provider betreffen würde, gibt es aber auch TCP-Sessions, deren Störung der Benutzer direkt spürt. So weist Cisco darauf hin, dass bei TCP-Störungen etwa die bei VoIP verwendeten Protokolle H.225 und H.245 beeinträchtigt werden. Ebenfalls lassen sich so geschützte Datenübertragungen auf Basis der Transport Layer Security (TLS ) oder des Secure Sockets Layer (SSL) stören. Dies gefährdet zwar nicht die Datenintegrität, kann jedoch den Informationsaustausch insgesamt verhindern. Betroffen sind auch Speichernetze, wenn sie auf SCSI over IP (iSCSI) oder Fiber Channel over IP (FCIP) basieren. Beide benutzen nämlich länger andauernde TCP-Sessions zur Kommunikation. Letztlich hängt die Bedrohung davon ab, wie eine TCP/IP-Lösung das Transport Control Protocol verwendet.

Hersteller wie Cisco arbeiten mit Nachdruck an neuen Varianten ihrer Betriebsysteme, die einen besseren Schutz vor dieser Angriffsmöglichkeit offerieren sollen. Zudem existieren, da es sich ja um einen älteren Fehler handelt, bereits etliche Tipps, um mögliche Angriffe zu erschweren. Im Fall des BGP kann etwa zwischen den Routern ein Schlüssel ausgetauscht werden, um sich gegenseitig die Echtheit der Datenpakete zu versichern. Ein weiterer Ansatz ist, in Access-Control-Listen die IP-Adressen der verlässlichen Kommunikationsgeräte zu definieren. Ferner können Antispoofing-Maßnahmen ein Ausspähen der IP-Adressen verhindern, um so Störern die Angriffspunkte zu entziehen. (hi)