Thema der Woche

01. April 2003

IPv4-Header Security Flag

Steven M. Bellovin hat am diesjährigen 1. April mit seinem [externer Link] RFC 3514 The Security Flag in the IPv4 Header (FTP-Link) einen Vorschlag unterbreitet, der das Filtern unerwünschter Pakete in Firewalls drastisch vereinfachen könnte: Das letzte bislang ungenutzte Bit im IPv4-Header könnte als Security Flag dienen und bösartige Absichten hinter der Aussendung eines IP-Pakets darlegen. Ein gesetztes Bit bedeutet gemäß RFC 3514 üble Absichten und standardkonforme abgesicherte Systeme sollen gegen derartige Pakete passende Verteidigungsmechanismen einsetzen, ungesicherte Systeme dürfen mit Absturz, Kompromittierung oder Ähnlichem reagieren (die Begriffe sollen, dürfen und müssen sind dabei in ihrer Bedeutung gemäß [externer Link] RFC 2119 zu interpretieren).

Der neue RFC 3514 regelt auch das standardkonforme Setzen des so genannten Evil Bits durch Angriffsprogramme oder unsichere Betriebssysteme. So muss beispielsweise ein System eine Programmierschnittstelle zum Setzen des Security Flags bereitstellen, sofern es über keine anderen Mechanismen dazu verfügt – Angriffsprogramm müssen diese Schnittstelle nutzen. Sollte ein bösartiges Paket auf dem Transport zu seinem Ziel durch einen Router in Fragmente zerlegt werden, die als solche ungefährlich sind, so muss der Router das Evil Bit löschen; erst beim Wiederzusammensetzen muss auch die Sicherheitswarnung wieder aktiviert werden (für weitere Details und Informationen zu standarfkonformem Auswerteverhalten durch Firewalls, Intrusion Detection Systems usw. sei auf den [externer Link] vollständigen Standard verwiesen).

Bellovins Ansatz ist jedoch nicht unumstritten: Im [externer Link] RISKS Forum hat Drew Dean die "pessimistische Weltsicht" hinter dem Evil Bit kritisiert und vorgeschlagen, statt dessen das Security Flag als Angelic Bit zu definieren: Wäre es gesetzt, so müssen Firewalls, Router und sonstige Netzkomponenten das Paket an sein Ziel weiterleiten. Gleichzeitig müssen unerwünschte Effekte durch dieses Paket ausgeschlossen sein – jeder, der ein Angelic Bit unrichtigerweise setzt, soll "göttlicher Vergeltung" anheimfallen.

Erstaunlicherweise hat sich der 1. April in der Internet Community immer wieder als Tag verblüffender Erkenntnisse erwiesen: Mit gleichem Datum sind in den Vorjahren viele visionäre RFCs veröffentlicht worden, beispielsweise im Jahre 2002 der [externer Link] RFC 3251 Electricity over IP oder schon 1990 der RFC 1149 Standard for the transmission of IP datagrams on avian carriers, der am 1. April 1999 durch [externer Link] RFC 2549 IP over Avian Carriers with Quality of Service aktualisiert wurde.

zum nächsten Thema der Woche

zum vorigen Thema der Woche

Valid HTML 4.01! | Valid CSS!

Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per E-Mail. Vielen Dank.