ALPN-Erweiterung kann Protokoll-Interaktionen blockieren

ALPN wurde ursprünglich für SPDY und dessen Nachfolger HTTP/2 eingeführt. Damit konnten ein Client und ein Server auf Ebene der TLS-Verbindung aushandeln, mit welchem darunterliegenden Protokoll kommuniziert wird.

Stellenmarkt
  1. Project Manager (m/w/d) Electronic Data Interchange/EDI
    ALDI International Services SE & Co. oHG, Mülheim
  2. Leitung Projektmanagement IT (m/w/d)
    Waschbär GmbH, Freiburg im Breisgau
Detailsuche

Mit dieser Methode lassen sich auch Cross-Protokoll-Angriffe verhindern. Ein moderner Webbrowser schickt im TLS-Handshake mittels ALPN die Information mit, dass er die Protokolle HTTP/1.1 und HTTP/2 unterstützt. ALPN nutzt für jedes Protokoll einen eindeutigen String-Identifier, in dem Fall sind das "http/1.1" und "h2". Ein Server, der ein anderes Protokoll wie beispielsweise FTP oder IMAP spricht, könnte an dieser Stelle die Verbindung abbrechen, denn die ALPN-Erweiterung müsste jeweils den String "ftp" oder "imap" enthalten.

Doch selbst Server, die ALPN unterstützen, brechen hier die Verbindung nicht immer ab. Viele Server lassen eine Verbindung trotz nicht passender ALPN-Erweiterung zu. Der Standard sagt hierzu, dass ein Server bei nicht passender ALPN-Erweiterung die Verbindung abbrechen soll, aber nicht muss.

Wenn Server und Client ALPN unterstützen und der Server zuverlässig die Verbindung bei einer unpassenden ALPN-Erweiterung abbricht, werden derartige Cross-Protokoll-Angriffe grundsätzlich unterbunden.

Weitere ähnliche Angriffe denkbar

Golem Akademie
  1. Cloud Transformation Roadmap: Strategien, Roadmap, Governance: virtueller Zwei-Tage-Workshop
    7.–8. März 2022, Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    28. Februar–4. März 2022, virtuell
Weitere IT-Trainings

Eine solche generelle Gegenmaßnahme ist sinnvoll. Die Alpaca-Autoren haben sich primär auf die Interaktionen von Browsern und E-Mail-, sowie FTP-Protokollen konzentriert, prinzipiell sind aber viele weitere Angriffe denkbar.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Wenn verschiedene Protokolle miteinander interagieren, kann es immer zu unerwarteten Effekten führen. Es ist gut möglich, dass in Zukunft weitere ähnliche Angriffe entdeckt werden. Entwickler von Software, die TLS nutzt, sollten daher grundsätzlich ALPN implementieren und auf der Serverseite dafür sorgen, dass Verbindungen mit unpassender ALPN-Erweiterung sofort abgebrochen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Sicherheitslücke: Alpaca-Angriff zeigt Cross-Protokoll-Schwäche von TLS
  1.  
  2. 1
  3. 2


hjp 10. Jun 2021

Da werden Erinnerungen wach. Unsere ersten HTML-Seiten haben wir auch einfach auf den...

mxcd 09. Jun 2021

Alte Browser und falsch implementierte Protokolle sind ein Sicherheitsrisiko. Who knew?

Norcoen 09. Jun 2021

wat? Hier fehlt die Info, dass es eher um eine MITM-Attacke geht, oder?

LoopBack 09. Jun 2021

Würde das TLS-Zertifikat auch das Protokoll umfassen wäre dieser Angriff nicht möglich...



Aktuell auf der Startseite von Golem.de
Microsoft
Sony äußert sich zur Übernahme von Activision Blizzard

Rund 20 Milliarden US-Dollar haben die Aktien von Sony verloren. Nun hat der Konzern erstmals den Kauf von Activision Blizzard kommentiert.

Microsoft: Sony äußert sich zur Übernahme von Activision Blizzard
Artikel
  1. Parallel Systems: Ehemalige SpaceX-Mitarbeiter entwickeln neuartige Güterzüge
    Parallel Systems
    Ehemalige SpaceX-Mitarbeiter entwickeln neuartige Güterzüge

    Das Startup Parallel Systems will konventionelle Züge durch modulare Fahrzeuge mit eigenem Antrieb und Energieversorgung ersetzen.

  2. Digitale-Dienste-Gesetz: Europaparlament will Nutzertracking stark einschränken
    Digitale-Dienste-Gesetz
    Europaparlament will Nutzertracking stark einschränken

    Das Europaparlament hat den Entwurf des Digitale-Dienste-Gesetzes verschärft. Ein Komplettverbot personalisierter Werbung soll es aber nicht geben.

  3. Jahresbilanz: Durch das Vodafone-Kabelnetz liefen 48 Exabyte
    Jahresbilanz
    Durch das Vodafone-Kabelnetz liefen 48 Exabyte

    Unser neues Leben spielt sich tagsüber bei Microsoft Teams ab. Dann verlagern sich die Datenströme in Richtung der Server von Netflix und Amazon.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED (2021) 40% günstiger (u.a. 65" 1.599€) • WD Black 1TB SSD 94,90€ • Lenovo Laptops (u.a. 17,3" RTX3080 1.599€) • Gigabyte Mainboard 299,82€ • RTX 3090 2.399€ • RTX 3060 Ti 799€ • MindStar (u.a. 32GB DDR5-6000 389€) • Alternate (u.a. Samsung LED TV 50" 549€) [Werbung]
    •  /