'Uitbreiding TCP maakt firewalls en beveiligingssoftware onwerkzaam'
Dat stellen Catherine Pearce en Patrick Thomas van Neohapsis tijdens een presentatie op de Black Hat-conferentie. Het probleem voor de beveiligers wordt veroorzaakt door het feit dat Multipatch TCP (MPTCP) het mogelijk maakt tegelijkertijd verschillende verbindingspaden te gebruiken en tijdens een sessie van verbinding te wisselen. Dat is vooral handig voor mobiele apparaten.
Shutterstock
Shutterstock
Door gelijktijdig gebruik te maken van wifi en mobiele dataverbindingen kan de snelheid en betrouwbaarheid van diensten verhoogd worden.
Beveiligingsantwoord nog niet gevonden
Voor beveiligingstechnieken levert dat echter een uitdaging op waarop het antwoord nog niet gevonden is, zeggen Pearce en Thomas. Firewalls, Intrusion Detection- en Data Loss Prevention-technieken zijn gebaseerd op de oude inrichting van TCP, waarbij een datastroom gekoppeld is aan één IP-adres. Als een logische gegevensstroom over verschillende TCP-verbindingen verdeeld raakt, kunnen die technieken het binnenkomende verkeer niet analyseren.
Pearce en Thomas betwijfelen ook of die technieken wel zo aan te passen zijn dat ze in de toekomst wél in staat zijn om via MPTCP opgezette verbindingen te monitoren. Daartoe zouden ze immers in staat moeten zijn om van verkeer dat via verschillende kanalen binnenkomt vast te stellen of er stromen tussen zitten die bij elkaar horen; om de inhoud ervan te beoordelen moeten ze dan bovendien in staat zijn de binnengekomen data in de juiste volgorde te sorteren.
Gebruik MPTCP lijkt niet te stoppen
Op dit moment is het probleem nog niet acuut. MPTCP wordt nog nauwelijks gebruikt. De belangrijkste uitzondering is Apples spraakassistent Siri. Netwerkleveranciers zouden het gebruik van MPTCP ook kunnen tegengaan, omdat de pakketjes waaruit MPTCP-verkeer bestaat wel als zodanig herkenbaar zijn. Maar als het gebruik van MPTCP toeneemt, is dat geen optie meer. En toename van MPTCP lijkt niet te stoppen. Cisco en Juniper ondersteunen het al in sommige netwerkapparaten. Er zijn ook al implementaties van het protocol voor Linux, BSD en Android. En Microsoft overweegt ondersteuning ervan in Windows.
Conclusie van Pearce en Thomas: beveiliging moet op een andere leest worden geschoeid. En het is de hoogste tijd om na te denken op welke leest dat moet zijn. Meer informatie is te vinden in de slides die ze presenteerden op de BlackHat-conferentie, en in een blog van Pearce.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee