Kommentar: Multipath-TCP
Neue Netzwerktechnologie hebelt Firewalls aus
Fortsetzung des Artikels von Teil 1
MPTCP-Vorteile sind Sicherheitsnachteile
Das Problem der Aufspaltung der Datenströme über verschiedene Verbindungswege wirft heikle Sicherheitsfragen auf und zeigt sich in den handelsüblichen Firewalls und Deep-Packet-Inspection-Software-Paketen. Diese Komponenten sind für die Überprüfung des regulären TCP-Protokolls ausgelegt und scheitern zumeist an den „neuen“ Mechanismen.
Momentan ist MPTCP in der Lage, so ziemlich jede Sicherheitskontrolle zu durchbrechen beziehungsweise zu umgehen. Durch MPTCP ändert sich nicht das Routing, sondern es ändern sich einige grundlegende Funktionen der Vernetzung. Beispielsweise entkoppelt MPTCP den TCP-Datenstrom von einer bestimmten IP-Adresse. Bei der klassischen TCP-Verbindung wird immer davon ausgegangen, dass ein Client immer einer Verbindung zu einem bestimmten Server zugeordnet wird. Da die Daten bei MPTCP von mehreren IP-Adressen kommen können, haben die Sicherheitseinrichtungen nicht mehr die Möglichkeit den gesamten Paketstrom einzusehen und somit auch nicht mehr die Fähigkeit die Schadcodes oder bösartige Angriffe zu erkennen. Im Moment gibt es kein Werkzeug, das dieses Umgehen der existierenden Sicherheitsmechanismen verhindern könnte.
Ein weiteres Problem besteht darin, dass die Anwendung beim Versenden von Paketen bestimmen kann, über welche Verbindung die Pakete gesendet werden. Empfängt eine Firewall einen TCP-Stream über mehrere Verbindungen, ist diese nicht in der Lage, den Zusammenhang zwischen den Verbindungen herzustellen.
Die MPTCP-Mechanismen wurden für eine höhere Ausfallsicherheit konzipiert. Aus diesem Grund lässt sich so ein Datenstrom von einer Firewall nicht oder schlecht blockieren. Als Reaktion auf das Blockieren des Datenstroms durch eine Sicherheitskomponente, versucht der MPTCP-Mechanismus einen anderen Weg zum Ziel zu finden. Dies bedeutet, dass die von den Endpunkte empfangenen Daten weniger unter Kontrolle zu bringen sind und die in den Datenströmen enthaltenen Informationen (zumindest im Moment) von den im Datenpfad liegenden Sicherheitskomponenten nicht analysiert werden können.
Fazit
Die MPTCP-Technologie ist ein Albtraum bei der Bekämpfung von Botnetzen oder von Netzwerken mit infizierten Computern, die Spams oder Malware verteilen. Nutzt man die MPTCP-Mechanismen in Kombination mit verteilten Anonymitätsdiensten (beispielsweise Tor), dann wird es sehr schwer werden, die Datenverkehre noch vernünftig zu kontrollieren.
Natürlich könnte der eine oder andere Netzbetreiber auf die Idee kommen, einfach die MPTCP-Mechanismen stumpf zu blockieren. Diese Abwehrstrategie wird jedoch nur so lange etwas taugen, so lange nur wenige Anwendungen das MPTCP-Protokoll nutzen. Langfristig müssen die Netzwerke für MPTCP geöffnet werden. Bis dahin hoffen wir, dass die Sicherheitsindustrie die entsprechenden Werkzeuge zur Kontrolle und Analyse von MPTCP entwickelt hat.
- Neue Netzwerktechnologie hebelt Firewalls aus
- MPTCP-Vorteile sind Sicherheitsnachteile
Lesen Sie mehr zum Thema
