Das Internet Control Message Protocol (ICMP) ist ein Protokoll der Schicht drei im ISO/OSI Modell und wird in der RCF 792 beschrieben. Grundsätzlich ist ICMP ein Bestandteil von IPv4, wird aber wie ein eigenständiges Protokoll behandelt.
Die digitale Bedrohungslage hat sich in den letzten Jahren stark weiterentwickelt. Die IT-Security Landschaft in Unternehmen hat sich dementsprechend angepasst.
Firewalls, Intrusion Detection und Prevention Systeme (IDS & IPS), Security Information and Event Management Systeme (SIEM), User and Entity Behavior Analytics (UEBA) und Stateful Protocol Analysis – Netzwerküberwachung wird immer enger gestrickt und Angreifer sind gezwungen, neue Wege zu finden, um unentdeckt im Netzwerk zu bleiben.
Eine beliebte Möglichkeit ist das ICMP-Tunneling. Hacker nutzen Protokolle der unteren ISO/OSI-Modell Schichten, die üblicherweise nicht so streng überwacht werden, um Ihren Traffic zu verschleiern.
ICMP, uses the basic support of IP as if it were a higher level protocol, however, ICMP is actually an integral part of IP, and must be implemented by every IP module.
Die Tabelle bildet nur einen kleinen Teil der ICMP-Pakettypen ab
Normalerweise werden im Datenfeld des ICMP Pakets genauere Informationen zur Zuordnung der ICMP-Nachricht hinterlegt. In der RFC 792 gibt es aber keine Regelung dazu, was in dem Datenfeld stehen muss. Diese Design-Entscheidung nutzen Angreifer beim ICMP-Tunneling aus. Anstatt direkt mit dem Ziel über z.B. TCP zu kommunizieren, verpacken Angreifer jedes Paket in ein ICMP-Echo oder Reply Paket. In einem Netzwerkmitschnitt würde man nur eine Reihe von Ping Paketen sehen, anstatt z.B. eine TCP-Verbindung.
Windows und Linux ICMP-Tools versenden Pakete meist mit einem Payload von 64 Byte. Das Protokoll erlaubt aber einen Payload von insgesamt 64 KiloByte.
Um Daten über ICMP zu tunneln, bedarf es einem Client und einem Server. Bei asynchronen Verbindungen ist der Traffic dabei wesentlich höher als bei synchronen Verbindungen.
Problematisch wird es dann aber bei stateful Firewalls oder NAT Geräten. Diese erlauben einen Echo Reply nur, wenn es ein passendes Echo Request Paket gibt. Stateful Firewalls und NAT Geräte würden also viele Echo Reply Pakete verwerfen, da es mehr Replies als Requests geben würde.
Es gibt aber schon einige ICMP-Tunneling Tools, die auch dieses Problem umgehen können. Der Client sendet in kontinuierlichen Abständen leere Echo Request Pakete, auf die der Server mit Echo Reply Paketen antworten kann.
Um stateful Firewalls und NAT zu umgehen, werden beim ICMP-Tunneling in kontinuierlichen Abständen leere ICMP Echo Requests gesendet. Diese sollten bei genauerer Betrachtung des Netzwerkverkehrs auffallen, sind aber schwer von normalen ICMP Traffic zu unterscheiden.
Normalerweise enthalten ICMP Echo Replies denselben Payload wie dazugehörige Echo Requests. Sollte sich der Payload unterscheiden, ist dies ein Zeichen für ICMP-Tunneling.
Damit die sensiblen Daten Ihres Unternehmens sicher und geschützt bleiben, ist die IT-Sicherheit Ihres Firmennetzwerks von großer Bedeutung. ICMP-Tunneling stellt eine neuartige Bedrohung für Ihre IT-Infrastruktur dar und sollte daher bei der Überprüfung der IT-Sicherheit nicht außer Acht gelassen werden. ProSec ist sich dieser Tatsache bewusst und überprüft mithilfe von Penetration Tests auch diese Möglichkeit des Eindringens in Ihr Firmennetzwerk. Finden Sie heraus, wie hoch die Gefahr durch ICMP-Tunneling für Sie ist und nehmen Sie noch heute Kontakt zu uns auf. Wir helfen Ihnen dabei, sicher und geschützt zu bleiben.
