Open Source im professionellen Einsatz
Linux-Magazin 10/2012
© Alvin Teo, 123RF.com

© Alvin Teo, 123RF.com

Workshop: Pentests spüren Sicherheitslücken in IPv6-Netzen auf

Durch die Hintertür

Wer unbedacht IPv6 in seinem Netzwerk aktiviert hat und dabei grundlegende Sicherheitsfragen außer Acht lässt, öffnet Angreifern Tür und Tor. Dieser Workshop zeigt einen erfolgreichen Einbruch via IPv6 auf einen Server und erläutert, wie die gängigen Sicherheitstools mit IPv6 arbeiten.

346

340 Sextillionen Adressen, also die Zahl 340 mit 36 darauf folgenden Nullen – so viele IP-Adressen unterstützt das IPv6-Protokoll. Der Nachfolger des mit "nur" 4,3 Milliarden IPs ausgestatteten IPv4 hat zwar bereits mehr als zehn Jahre auf dem Buckel, aber trotzdem fangen viele Unternehmen erst jetzt damit an, auf die neue Version umzustellen.

Dabei drohen manchmal böse Überraschungen: Oft ist das neue Protokoll bereits in Servern, Appliances oder Routern aktiviert, weil die Default-Einstellung der Geräte das so vorsieht. Und das wiederum öffnet Angreifern Tür und Tor.

Vorsicht ist angebracht

Dass auch IPv6 nicht gefeit ist gegen Sicherheitsprobleme, zeigte bereits ein Schwerpunkt im Linux-Magazin 08/12 [1]. Dennoch ist sich die Mehrheit der Experten einig: Der neue Standard wird sich durchsetzen, wenn auch zunächst erst in Dual-Stack-Umgebungen, wo IPv4 und IPv6 parallel laufen und spezielle Software für reibungslose Datenübertragung sorgt.

Dieser Workshop zeigt, wie der sicherheitsbewusste Admin sich eine IPv6-Testumgebung in seinem Labor aufbaut, dort einen Server mit einer über IPv6 erreichbaren Schwachstelle integriert und diese unter Einsatz der richtigen Linux-Security-Tools erkennt und den Server testweise kompromittiert.

Per Default aktiviert?

Alle halbwegs aktuellen Betriebssysteme beherrschen das IPv6-Protokoll und aktivieren es in vielen Fällen bereits per Default auf allen Netzwerkgeräten. Auf Linux lässt sich das an der Shell über einen einfachen Test mit »ifconfig« oder »ip« verifizieren (Listing 1).

Listing 1

ifconfig und ip

01 root@bt:~# ifconfig -a
02 [...]
03 eth0   Link encap:Ethernet  HWaddr 00:0c:29:7c:e7:6a
04        inet addr:192.168.11.138  Bcast:192.168.11.255  Mask:255.255.255.0
05        inet6 addr: fe80::20c:29ff:fe7c:e76a/64 Scope:Link
06 [...]
07 root@bt:~# ip -6 addr
08 [...]
09 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436
10     inet6 ::1/128 scope host
11     valid_lft forever preferred_lft forever
12 [...]
13 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000
14     inet6 fe80::20c:29ff:fecf:6aba/64 scope link
15     valid_lft forever preferred_lft forever

Ist das neue Protokoll aktiv, dann wird die Ausgabe der Interface-Konfiguration mindestens einen »inet6« -Eintrag aufweisen. Gibt es im internen Netzwerk einen IPv6-fähigen Router, dann ist möglicherweise neben der Link-Local-Adresse auch schon ein Präfix konfiguriert.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Alles inklusive

    Viele kennen und nutzen Nmap. Nur wenige aber bedienen sich des mächtigen Werkzeugkastens, der im Laufe der Zeit rund um den eigentlichen Portscanner entstand.

  • Vollautomatik

    Das Security-Framework Metasploit scannt ganze Netzwerke auf Schwachstellen und wird dabei vor allem in Windows-LANs fündig. Indem es zahlreiche Exploits durchprobiert, gibt es Admins und Linux-Advokaten nebenbei gute Argumente für die Migration zu freier Software.

  • Hacken im Freien

    Vom Metasploit-Framework gibt es seit Mai einen besonders verwundbar konfigurierten Server namens Metasploitable. Mit dem hochgerüsteten Metasploit-Client lernen sicherheitsbewusste Admins, wie Angreifer Bruteforce-Attacken ausführen oder Backdoors in PDFs einbauen.

     

  • Erst mal anklopfen

    Egal ob Angreifer, Penetrationstester, Admin oder Netzwerktechniker: Keiner kommt ohne einen guten Scanner aus, der im Netz nach Hosts fahndet und deren Dienste abklopft. Das Lieblingswerkzeug der meisten ist Nmap. Zu Recht, da das Tool viele trickreiche Scantechniken kombiniert.

  • Insecurity Bulletin

    Wegen eines Programmierfehlers in Open SSL ließen Server ihre geheimen Schlüssel Byte-weise ins Internet tropfen. Eine Nachlese zum bisher aufsehenerregendsten Security-Bug des Jahres 2014.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.