Experten warnen vor Sicherheitsrisiken bei IP-Adressteilung
Auf der IETF-Konferenz in San Francisco stritten Experten erneut über die Frage, ob dem absehbaren Ende des IPv4-Vorrats mit Adressteilung auf Port-Ebene beizukommen sei.
Die gleichzeitige Belegung einer IPv4-Adresse mit verschiedenen Nutzern, die dann jeweils nur einen Teil der TCP-Ports zugeteilt bekommen, kann nach Ansicht von Experten erhebliche Sicherheitsprobleme mit sich bringen. Vor Kaminsky-artigen Attacken auf Adressen mit so eingeschränktem Portnummernbereich warnte etwa ein Vertreter von Nokia bei der 74. Konferenz der Internet Engineering Task Force in San Francisco, die am Montag eröffnet wurde.
Bei einer sogenannten Kaminsky-Attacke werden Nameservern falsche Namensauflösungen untergejubelt. Dabei wird ausgenutzt, dass verschiedene Zufallsparameter (wie auch die verwendeten Ports) erraten werden können, die dem anfragenden Server suggerieren, dass die Antwort vom tatsächlich angefragten Server kommen.
Verschlüsselung sowie die Vergabe nicht fortlaufender Portnummern könnten die Vorhersagbarkeit von Anfragen der kombinierten IP-Nummern-Portnummern-Server verringern, sagten Experten in San Francisco. Gleichzeitig machen solche Sicherheitsmaßnahmen das Konzept aber komplexer und teurer. Wie gravierend das Sicherheitsproblem ist, darüber gehen die Meinungen auseinander.
Die gemeinsame Nutzung von IPv4-Adressen ist als mögliche Alternative zu IPv6 als Lösung für den absehbaren Adressmangel im Gespräch. In spätestens zwei Jahren soll der Vorrat an IPv4-Adressen nach Schätzungen erschöpft sein. Mit der Möglichkeit, IPv4-Adressen durch Portnummernteilung zu "vervielfachen", müssten Provider nicht auf Network Address Translation (NAT) zurückgreifen, sagen Befürworter. NAT lehnen viele IETF-Entwickler wegen der Aufgabe des Ende-zu-Ende-Prinzips ab.
Abgesehen von Sicherheitsbedenken fürchten die Gegner um die Servicequalität. Anwendungen, die bislang Portnummern frei wählen konnten, könnten bei einer Einschränkung nicht mehr funktionieren. Die Zahl der Portnummern, die den hinter einer IP-Adresse arbeitenden Servern zugeteilt wird, dürfe nicht zu klein sein, forderte Alain Durand, der das Portnummernkonzept bei Comcast testet. Damit dennoch möglichst viele Nutzer hinter einer gemeinsamen IPv4-Adresse arbeiten können, müssten die Tranchen jeweils dynamisch zugewiesen werden. Auch das erhöht allerdings wieder den operativen Aufwand für den Provider.
Zudem werde das Loggen von Verbindungen, zu dem Provider vielerorts gesetzlich verpflichtet seien, aufwendiger und damit teurer, warnte Matt Ford von der Internet Society und riet dringend dazu, die rasche Migration auf IPv6 zu betreiben.
Die Befürworter der Portnummern-Idee konterten damit, dass IPv6 eben gerade nicht die Lösung für ihr Problem sei. Randy Bush, Chefentwickler bei der Internet Initiative Japan, stellte in San Francisco den gemeinsamen Vorschlag mehrerer Autoren für das Portnummernkonzept vor. Ein Anbieter wie Comcast, bei dem Millionen von Nutzern noch geraume Zeit an IPv4-Hardware hängen und IPv4-Anwendungen und -Inhalte nutzen wollten, könne entweder Network Adress Translation (NAT) einsetzen oder Ende-zu-Ende-Verbindungen mittels dem vorgeschlagenen "Hacks" möglich machen.
Siehe dazu auch:
(Monika Ermert) / (vbr)