ALPN-Erweiterung kann Protokoll-Interaktionen blockieren

ALPN wurde ursprünglich für SPDY und dessen Nachfolger HTTP/2 eingeführt. Damit konnten ein Client und ein Server auf Ebene der TLS-Verbindung aushandeln, mit welchem darunterliegenden Protokoll kommuniziert wird.

Stellenmarkt
  1. IT Servicetechniker (w/m/d)
    Bechtle Onsite Services GmbH, Ingolstadt
  2. Verwaltungsmitarbeiter als Fachberater SGB IX (m/w/d)
    KVJS - Kommunalverband für Jugend und Soziales Baden-Württemberg, Karlsruhe
Detailsuche

Mit dieser Methode lassen sich auch Cross-Protokoll-Angriffe verhindern. Ein moderner Webbrowser schickt im TLS-Handshake mittels ALPN die Information mit, dass er die Protokolle HTTP/1.1 und HTTP/2 unterstützt. ALPN nutzt für jedes Protokoll einen eindeutigen String-Identifier, in dem Fall sind das "http/1.1" und "h2". Ein Server, der ein anderes Protokoll wie beispielsweise FTP oder IMAP spricht, könnte an dieser Stelle die Verbindung abbrechen, denn die ALPN-Erweiterung müsste jeweils den String "ftp" oder "imap" enthalten.

Doch selbst Server, die ALPN unterstützen, brechen hier die Verbindung nicht immer ab. Viele Server lassen eine Verbindung trotz nicht passender ALPN-Erweiterung zu. Der Standard sagt hierzu, dass ein Server bei nicht passender ALPN-Erweiterung die Verbindung abbrechen soll, aber nicht muss.

Wenn Server und Client ALPN unterstützen und der Server zuverlässig die Verbindung bei einer unpassenden ALPN-Erweiterung abbricht, werden derartige Cross-Protokoll-Angriffe grundsätzlich unterbunden.

Weitere ähnliche Angriffe denkbar

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Eine solche generelle Gegenmaßnahme ist sinnvoll. Die Alpaca-Autoren haben sich primär auf die Interaktionen von Browsern und E-Mail-, sowie FTP-Protokollen konzentriert, prinzipiell sind aber viele weitere Angriffe denkbar.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Wenn verschiedene Protokolle miteinander interagieren, kann es immer zu unerwarteten Effekten führen. Es ist gut möglich, dass in Zukunft weitere ähnliche Angriffe entdeckt werden. Entwickler von Software, die TLS nutzt, sollten daher grundsätzlich ALPN implementieren und auf der Serverseite dafür sorgen, dass Verbindungen mit unpassender ALPN-Erweiterung sofort abgebrochen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Sicherheitslücke: Alpaca-Angriff zeigt Cross-Protokoll-Schwäche von TLS
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Netflix
Warum so viele Serien nur zwei Staffeln lang laufen

Die Superhelden-Serie Jupiter's Legacy war bei ihrem Start ein Erfolg bei Netflix. Jetzt wurde sie eingestellt. Wie entscheidet Netflix, ob eine Serie verlängert wird?
Von Peter Osteried

Netflix: Warum so viele Serien nur zwei Staffeln lang laufen
Artikel
  1. WD Red: Festplatten-Klage kostet 2,7 Millionen US-Dollar
    WD Red
    Festplatten-Klage kostet 2,7 Millionen US-Dollar

    Weil Western Digital einige NAS-Festplatten ohne Hinweis mit SMR-Technik verkauft hatte, muss der Hersteller dafür geradestehen.

  2. Model S Plaid: Teslas Knight Rider-Lenkrad könnte ergonomischer Krampf sein
    Model S Plaid
    Teslas Knight Rider-Lenkrad könnte ergonomischer Krampf sein

    Das D-förmige Lenkrad im neuen Tesla Model S sorgt für Kontroversen. Erste Fahrer haben es ausprobiert und sind nicht glücklich damit.

  3. Livewire One: Erste Details zu Harleys neuem Elektromotorrad
    Livewire One
    Erste Details zu Harleys neuem Elektromotorrad

    Im Mai hat Harley-Davidson eine eigene Elektromarke vorgestellt. Deren erstes Elektromotorrad soll bald kommen.

hjp 10. Jun 2021 / Themenstart

Da werden Erinnerungen wach. Unsere ersten HTML-Seiten haben wir auch einfach auf den...

mxcd 09. Jun 2021 / Themenstart

Alte Browser und falsch implementierte Protokolle sind ein Sicherheitsrisiko. Who knew?

Norcoen 09. Jun 2021 / Themenstart

wat? Hier fehlt die Info, dass es eher um eine MITM-Attacke geht, oder?

LoopBack 09. Jun 2021 / Themenstart

Würde das TLS-Zertifikat auch das Protokoll umfassen wäre dieser Angriff nicht möglich...

Kommentieren


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • PS5 bei o2 mit Mobilfunkvertrag bestellbar • Xbox Series X bei MM bestellbar 499,99€ • Breaking Deals bei MM (u. a. LG 75" Nanocell 8K 2.699€) • Corsair 32GB DDR4-3600 Kit 182,90€ • PCGH Gaming-PC i7 RX 6800 XT 2.500€ • Rabatte auf Geschenkkarten bei Amazon [Werbung]
    •  /