Wie erkennbar sind IPv6-Adressen und AAAA-Namen für potenzielle Angreifer?

26

Es ist ziemlich üblich, jeden Tag eine erhebliche Anzahl kleinerer Hacking-Versuche zu erhalten, bei denen gemeinsame Benutzernamen / Kennwörter für Dienste wie SSH und SMTP verwendet werden. Ich habe immer angenommen, dass diese Versuche den "kleinen" Adressraum von IPv4 verwenden, um IP-Adressen zu erraten. Ich stelle fest, dass ich auf IPv6 keine Hacking-Versuche erhalte, obwohl meine Domain AAAA-Namensdatensätze aufweist, die jeden A-Name-Datensatz spiegeln, und alle IPv4-Dienste auch für IPv6 geöffnet sind.

Angenommen, ein öffentliches DNS (AWS-Route 53) mit einer undurchsichtigen Unterdomäne verweist auf ein hinreichend zufälliges / 64-Suffix. Sind IPv6-Adressen und / oder -Unterdomänen remote erkennbar, ohne dass jede Adresse in einem / 64-Bit-Präfix oder jede Unterdomäne in einer sehr langen Liste allgemeiner Namen überprüft werden muss?

Mir ist natürlich bewusst, dass das Durchsuchen des Webs nach aufgelisteten (Sub-) Domainnamen einfach genug ist. Mir ist auch bewusst, dass Computer im selben Subnetz NDP verwenden können. Ich bin mehr daran interessiert, ob DNS oder die zugrunde liegenden Protokolle von IPv6 das Erkennen / Auflisten unbekannter Domänen und Adressen per Fernzugriff ermöglichen.

Philip Couling
quelle
1
Verwandt: IPv6-Ersatz für das Scannen des IP-Bereichs
Michael Hampton
1
Dies sieht aus wie Sicherheit durch Unbekanntheit ... Wenn Ihre einzige Verteidigungslinie (angeblich) schwer zu erkennende Identifikatoren (entweder Namen oder IP-Adressen) verwendet, können Sie erwarten, dass irgendwann ein Verstoß gegen diese Regeln vorliegt. Sie sind zwar relativ sicher gegen generische Exploits / zufällige Stöße, aber wenn Sie sich gegen aktive Angriffe auf Sie verteidigen müssen, bricht diese Verteidigungslinie ab. Es gibt unzählige Möglichkeiten, "obskure" Namen zu entdecken. Schauen Sie sich zunächst geekflare.com/find-subdomains an
Patrick Mevzek,
3
@patrick Wenn Sie nur eine Verteidigungslinie haben, wird die Periode verletzt. Ich möchte immer noch nicht, dass meine verschlossenen Türen der ganzen Welt bekannt gemacht werden
Philip Couling,
2
Nach meiner eigenen Schlussfolgerung ist dies nicht meine einzige Sicherheitslinie. Ich habe nie etwas anderes vorgeschlagen.
Philip Couling

Antworten:

34

Bösartige Bots erraten keine IPv4-Adressen mehr. Sie probieren sie einfach alle aus. Auf modernen Systemen kann dies nur wenige Stunden dauern.

Mit IPv6 ist dies, wie Sie vermutet haben, nicht mehr wirklich möglich. Der Adressraum ist so viel größer, dass es nicht einmal möglich ist, ein einzelnes / 64-Subnetz innerhalb eines menschlichen Lebens brute-force zu scannen.

Bots müssen kreativer werden, wenn sie unter IPv6 wie unter IPv4 weiterhin blind scannen möchten, und böswillige Bot-Betreiber müssen sich daran gewöhnen, viel länger zwischen dem Auffinden von Maschinen zu warten, geschweige denn von verwundbaren.

Zum Glück für die Bösen und unglücklicherweise für alle anderen ist die Einführung von IPv6 viel langsamer verlaufen, als es eigentlich hätte sein sollen. IPv6 ist 23 Jahre alt, wurde jedoch erst in den letzten fünf Jahren in erheblichem Umfang eingesetzt. Da jedoch alle ihre IPv4-Netzwerke aktiv halten und nur sehr wenige Hosts IPv6-fähig sind, hatten böswillige Bot-Betreiber wenig Anreiz, den Wechsel vorzunehmen. Sie werden es wahrscheinlich erst tun, wenn IPv4 in nennenswertem Umfang aufgegeben wird, was wahrscheinlich in den nächsten fünf Jahren nicht der Fall sein wird.

Ich gehe davon aus, dass blindes Raten für böswillige Bots wahrscheinlich nicht produktiv sein wird, wenn sie schließlich auf IPv6 umsteigen. Daher müssen sie auf andere Mittel umsteigen, wie das Erzwingen von DNS-Namen oder das gezielte Erzwingen kleiner Teilmengen von jedes Subnetz.

Zum Beispiel gibt eine gemeinsame DHCPv6 - Server - Konfiguration aus Adressen in ::100durch ::1ffstandardmäßig. Das sind nur 256 Adressen, von insgesamt 64. Durch eine Neukonfiguration des DHCPv6-Servers zur Auswahl von Adressen aus einem viel größeren Bereich wird dieses Problem verringert.

Durch die Verwendung geänderter EUI-64-Adressen für SLAAC wird der Suchbereich auf 2 reduziert 24 multipliziert mit der Anzahl der zugewiesenen OUIs reduziert. Das sind zwar über 100 Milliarden Adressen, aber weit weniger als 2 64 . Zufällige Bots werden sich nicht darum kümmern, diesen Bereich zu durchsuchen, aber böswillige Akteure auf Bundesstaatsebene werden gezielte Angriffe durchführen, insbesondere wenn sie fundierte Vermutungen darüber anstellen können, welche NICs verwendet werden, um den Suchbereich weiter zu verringern. Die Verwendung von stabilen Datenschutzadressen nach RFC 7217 für SLAAC ist einfach (zumindest auf modernen Betriebssystemen, die dies unterstützen) und mindert dieses Risiko.

RFC 7707 beschreibt verschiedene andere Möglichkeiten, wie in IPv6-Netzwerken Aufklärungen durchgeführt werden können, um IPv6-Adressen zu finden, und wie diese Bedrohungen gemindert werden können.

Michael Hampton
quelle
Viele Bots sind bereits SEHR kreativ und es gibt wahrscheinlich einen riesigen Schwarzmarkt für die besseren Bots, wahrscheinlich mit gebündeltem Zugriff auf ihr Botnetz, während sie gerade dabei sind. Die Bots, die nicht kreativ sind, sollten mit jeder Methode, mit der Sie die kreativen blockieren, einfach blockiert werden.
BeowulfNode42
1
Das meiste, was ich sehe, ist die nicht-kreative Vielfalt der Bot. Obwohl es die kreative Vielfalt ist, die mich nachts wach hält. Zum Glück habe ich einen Kunden, der mich dafür bezahlt, dass ich den Schlaf verliere. Trotzdem sehe ich noch keinen signifikanten Bot-Traffic auf IPv6, ob kreativ oder nicht.
Michael Hampton
Ja, ich habe kürzlich bemerkt, dass die Versuche der Bruit Force über Monate verteilt sind (ein Benutzername oder ein Passwort pro Tag), was darauf hindeutet, dass jeder einzelne Benutzername oder jedes einzelne Passwort gegen jeden öffentlich zugänglichen SSH-Server im Internet (IPv4) geprüft wird, bevor mit dem nächsten Benutzernamen oder Passwort fortgefahren wird .
Philip Couling
8

Ich habe festgestellt, dass heutzutage VIELE Bots mit IPv4 oder IPv6 nicht raten. Sicherheit durch Dunkelheit ist überhaupt keine Sicherheit. Unbekanntheit verzögert oder verringert die Anzahl der Angriffe für eine Weile und ist dann irrelevant.

Hacker kennen den Domainnamen Ihres Unternehmens von Ihrer Website oder E-Mail-Adresse, welche öffentlichen Server-IPs Sie für E-Mails, SPFs, Webserver usw. veröffentlichen. Es kann zwar etwas länger dauern, bis sie einen zufälligen Servernamen kennen, sie raten jedoch Geben Sie die gebräuchlichen Namen wie www, mail, smtp, imap, pop, pop3, ns1 usw. ein und durchsuchen Sie Ihre Website nach zusätzlichen Daten. Sie rufen Ihre DNS-Namen, IP-Adressen und die Ports, auf die Sie sich konzentrieren möchten, aus dem Speicher früherer Überprüfungen ab. Sie rufen auch eine Liste von E-Mail-Adressen- / Passwort-Paaren ab, wenn sie Datenverletzungen feststellen, und versuchen alle diese Anmeldungen sowie einige zusätzliche Anmeldungen mit den Systemen, von denen sie glauben, dass sie auf Ihren Ports ausgeführt werden. Sie gehen sogar so weit, dass sie die Namen und die Aufgaben Ihrer Mitarbeiter kennen, um zu versuchen, einen Social-Engineered-Angriff durchzuführen. Unser Spam-Filter wird ständig von Betrügern bombardiert, die behaupten, es handele sich um Personen aus dem Management, die dringend eine Überweisung benötigen. Oh, sie erfahren auch, wer Ihre Geschäftspartner sind und behaupten, sie zu sein, und lassen Sie wissen, dass sich ihre Bankdaten geändert haben. Manchmal wissen sie sogar, welche Cloud-Plattformen Ihre Geschäftspartner für ihre Rechnungsstellung verwenden.

Kriminelle haben genauso wie alle anderen Zugriff auf Big-Data-Tools, und sie haben eine überraschend große Datenmenge angehäuft. Sehen Sie sich dieses Zeugnis einiger IT-Experten zum US-Kongress an: https://www.troyhunt.com/heres-what-im-telling-us-congress-about-data-breaches/

Apropos Datenverletzungen: Wenn ein Unternehmen etwas verliert, das so nutzlos erscheint wie ein Webserver-Protokoll, enthält es die IP-Adressen v4 oder v6 aller Benutzer dieses Servers und die Seiten, auf die es zugegriffen hat.

Zusammenfassend lässt sich sagen, dass bei keiner dieser Methoden ein Angreifer erraten muss, welche IP Sie verwenden.

Bearbeiten : Als kleine Übung habe ich 2 Minuten lang (von Ihrem Profil aus) auf Ihrer Website gestöbert, eines der hier verlinkten Online-Scan-Tools ausprobiert und ein bisschen mit nslookup nachgeschaut und ein paar Dinge über Sie herausgefunden . Ich vermute, dass eine der obskuren Adressen, über die Sie sprechen, beinhaltet

  • Ein Planetenname, der einem von Ihnen veröffentlichten ähnlich ist
  • freeddns
  • und eine IPv6-Adresse, die mit 2e85 endet: eb7a
  • und es läuft ssh

Da die meisten Ihrer anderen veröffentlichten IPv6-Adressen mit :: 1 enden. Dies ist nur aus Informationen, die Sie öffentlich mit 1 winzigen Vermutung veröffentlichen. Ist das von der IP, die Sie verstecken wollten?

Bearbeiten 2 : Ein weiterer kurzer Blick: Ich sehe, dass Sie Ihre E-Mail-Adresse auf Ihrer Website veröffentlichen. Überprüfen Sie auf der Website https://haveibeenpwned.com/, welche Daten gegen diese Adresse verstoßen und welche Daten auf dem Schwarzmarkt verfügbar sind. Ich sehe, es ist in den Brüchen gewesen

  • Adobe-Verletzung Oktober 2013: Gefährdete Daten: E-Mail-Adressen, Kennworthinweise, Kennwörter, Benutzernamen
  • MyFitnessPal: Im Februar 2018 Gefährdete Daten: E-Mail-Adressen, IP-Adressen, Kennwörter, Benutzernamen
  • MySpace: In ungefähr 2008 Gefährdete Daten: E-Mail-Adressen, Kennwörter, Benutzernamen
  • PHP-Freaks: Im Oktober 2015 Gefährdete Daten: Geburtsdaten, E-Mail-Adressen, IP-Adressen, Passwörter, Benutzernamen, Website-Aktivität
  • QuinStreet: Ungefähr Ende 2015. Gefährdete Daten: Geburtsdaten, E-Mail-Adressen, IP-Adressen, Kennwörter, Benutzernamen, Website-Aktivität

Wenn ich sehe, dass dieser Benutzername Teil der E-Mail-Adresse bei einigen anderen bekannten E-Mail-Anbietern verwendet wird, sehe ich, dass es viel mehr Daten gibt. Dies wäre eine weitere kleine Vermutung, die ein Bot machen könnte. Wenn ein Teil davon mit dem Teil korreliert, der bereits über Sie bekannt ist, kann der Bot davon ausgehen, dass es alles ist, was Sie sind. Es muss nicht sicher sein, dass es wahrscheinlich genug ist. Mit zusätzlichen Daten in diesen Verstößen

  • Verifications.io: Im Februar 2019 Gefährdete Daten: Geburtsdaten, E-Mail-Adressen, Arbeitgeber, Geschlecht, geografische Standorte, IP-Adressen, Berufsbezeichnungen, Namen, Telefonnummern, physikalische Adressen
  • River City Media Spam-Liste Im Januar 2017 Gefährdete Daten: E-Mail-Adressen, IP-Adressen, Namen, physikalische Adressen
  • Apollo: Im Juli 2018 startete das Sales Engagement. Kompromittierte Daten: E-Mail-Adressen, Arbeitgeber, geografische Standorte, Berufsbezeichnungen, Namen, Telefonnummern, Anreden, Social-Media-Profile
  • B2B USA Unternehmen Mitte 2017 Gefährdete Daten: E-Mail-Adressen, Arbeitgeber, Berufsbezeichnungen, Namen, Telefonnummern, physikalische Adressen
  • Bitly: Im Mai 2014 Gefährdete Daten: E-Mail-Adressen, Passwörter, Benutzernamen
  • Sammlung Nr. 1 (nicht überprüft): Im Januar 2019 wurde eine große Sammlung von Anmeldeinformationen (Kombinationen aus E-Mail-Adressen und Kennwörtern, mit denen Konten für andere Dienste missbraucht werden) entdeckt, die in einem beliebten Hacking-Forum verbreitet wurden
  • Dropbox: Mitte 2012 Gefährdete Daten: E-Mail-Adressen, Passwörter
  • Exploit.In (nicht verifiziert): Ende 2016 wurde eine große Liste von E-Mail-Adressen- und Kennwortpaaren in einer "Kombinationsliste" angezeigt, die als "Exploit.In" bezeichnet wird.
  • HauteLook: Mitte 2018 Gefährdete Daten: Geburtsdaten, E-Mail-Adressen, Geschlechter, geografische Standorte, Namen, Passwörter
  • Pemiblanc (nicht verifiziert): Im April 2018 wurde auf einem französischen Server eine Anmeldeinformationsliste mit 111 Millionen E-Mail-Adressen und Kennwörtern namens Pemiblanc gefunden
  • ShareThis: Im Juli 2018 Gefährdete Daten: Geburtsdaten, E-Mail-Adressen, Namen, Passwörter
  • Ticketfly: Im Mai 2018 Gefährdete Daten: E-Mail-Adressen, Namen, Telefonnummern, physikalische Adressen

Während der Bot gerade dabei ist, kann er Facebook überprüfen und feststellen, dass eine der Facebook-Seiten mit Ihrem Namen dasselbe Foto wie auf Ihrer Website enthält und jetzt mehr über Sie und Ihre Freunde weiß. Außerdem schätze ich, dass das Familienmitglied, das Sie auflisten, Ihre Mutter ist, die den Mädchennamen Ihrer Mutter aufführt. Über Facebook kann auch überprüft werden, welches LinkedIn-Profil Ihnen gehört.

Es gibt viel mehr Informationen online über uns, als die Leute erkennen. Big-Data- und Machine-Learning-Analysen sind real, sie sind jetzt verfügbar und viele der online geposteten oder durchgesickerten Daten können korreliert und verwendet werden. Was Sie wissen sollten, wenn Sie angeben, dass Sie 2003-2007 einen Bachelor-Abschluss in KI und Informatik gemacht haben. Seitdem ist ein langer Weg zurückgelegt worden, insbesondere mit den Fortschritten, die Google gegen Ende Ihres Studiums veröffentlicht hat. Menschen, die Menschen sind, werden in den meisten Fällen nur danach streben, von Ihnen zu profitieren, wobei einige die Daten vernünftig und legal verwenden, andere sie jedoch so verwenden, wie sie können.

Mein Punkt bei all dem ist zweifach, dass wir mehr Informationen veröffentlichen als wir denken und der springende Punkt bei DNS ist, die Umwandlung von Namen in IP-Adressen zu veröffentlichen.

BeowulfNode42
quelle
6

In Bezug auf AAAA-Datensätze:

DNS ist traditionell unverschlüsselt. Obwohl es eine Reihe von Standards (DNSSEC) für das Signieren von DNS gibt, war die Verschlüsselung von DNS-Einträgen weitaus zufälliger. Daher ist es im Allgemeinen am sichersten anzunehmen, dass jeder MitM alle Ihre DNS-Abfragen lesen kann, es sei denn, Sie sind gegangen Sie können verschlüsseltes DNS nicht explizit auf der Clientseite konfigurieren. Sie würden wissen, wenn Sie dies getan hätten, weil es eine ziemliche Tortur ist .

(Außerdem sendet Ihr Webbrowser wahrscheinlich unverschlüsseltes SNI im TLS-Handshake, nachdem die Domain aufgelöst wurde. Es ist nicht klar, wie Sie diese Lücke schließen würden, da zwischen dem Exit noch ein VPN oder ein Tor mit MitM verbunden sein können Knoten- oder VPN-Endpunkt und der Remote-Server. Die guten Leute bei Cloudflare arbeiten daran, dieses Problem endgültig zu beheben. ESNI wird jedoch auch von der Client-Implementierung abhängen, insbesondere für Chrome , wenn es wirklich in Betrieb genommen werden soll.)

MitM-Angriffe können jedoch je nach Bedrohungsmodell ein Problem darstellen oder auch nicht. Wichtiger ist die einfache Tatsache, dass DNS-Namen öffentliche Informationen sein sollen. Viele Leute (Suchmaschinen, DNS-Registrare usw.) sammeln und veröffentlichen DNS-Namen aus gänzlich harmlosen Gründen. DNS-Resolver wenden in der Regel Ratenbeschränkungen an, diese sind jedoch in der Regel recht großzügig, da sie DoS-Angriffe und nicht die Aufzählung von Subdomänen verhindern sollen. Das Erstellen eines HTTPS-Zertifikats umfasst häufig das Veröffentlichen des Domänennamens, damit alle sehen können, je nach Zertifizierungsstelle ( Let's Encrypt erledigt dies und viele andere). In der Praxis ist es ziemlich unmöglich, eine Domain oder Subdomain geheim zu halten, da fast jeder davon ausgeht, dass sie öffentlich sind und keine Anstrengungen unternimmt, sie zu verbergen.

Um diese Frage zu beantworten:

Ich bin mehr daran interessiert, ob DNS oder die zugrunde liegenden Protokolle von IPv6 das Erkennen / Auflisten unbekannter Domänen und Adressen per Fernzugriff ermöglichen.

Technisch gesehen nicht. Dies spielt jedoch keine Rolle, da eine enorme Menge von Technologien auf höherer Ebene davon ausgeht, dass Ihre DNS-Einträge öffentlich sind, so dass sie zwangsläufig öffentlich sind.

Kevin
quelle
1
Encrypted SNI ist in Entwicklung. Gib es ein oder zwei Jahre.
Michael Hampton
1
@MichaelHampton: Ich glaube, dass ESNI passieren wird. Aber angesichts der Erfolgsgeschichte der Branche (DNSSEC, IPv6, DANE, ...) bin ich ein bisschen skeptisch, dass "ein oder zwei Jahre" wirklich ausreichen werden. Egal, wir werden es bald genug sehen.
Kevin
1
CloudFlare treibt es voran, also wette ich lieber früher als später :)
Michael Hampton
Ich möchte zu jedem Ihrer spezifischen Beispiele "Ja, aber ..." sagen. Es ist jedoch ein sehr guter Punkt, dass DNS-Namen im Allgemeinen als öffentliche Informationen angesehen werden. +1
Philip Couling