![Unter Network as a Service (NaaS) versteht man heute einerseits die Bereitstellung von Netzwerk-Infrastruktur-Komponenten und zugehörigen Dienstleistungen in einem Abo- oder Mietmodell, und andererseits die Bereitstellung spezieller Netzwerk-Services zur dedizierten Vernetzung von Standorten, Cloud-Diensten oder Geräten. (Bild: © tong2530 - stock.adobe.com [KI])](https://cdn1.vogel.de/k6CU6gRdiHmmSHNv8UGc_JwG92E=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4d/d0/4dd0399f9b8207477889a3c659d02379/0115475686.jpeg "Unter Network as a Service (NaaS) versteht man heute einerseits die Bereitstellung von Netzwerk-Infrastruktur-Komponenten und zugehörigen Dienstleistungen in einem Abo- oder Mietmodell, und andererseits die Bereitstellung spezieller Netzwerk-Services zur dedizierten Vernetzung von Standorten, Cloud-Diensten oder Geräten. (Bild: © tong2530 - stock.adobe.com [KI])")
![Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © igor.nazlo - stock.adobe.com [KI-generiert])](https://cdn1.vogel.de/6T_kNbCyNoMIy3KHASP8djUjYWs=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/8e/4f/8e4f126da182949ecf3a6806652a8749/0115429527.jpeg "Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © igor.nazlo - stock.adobe.com [KI-generiert])")
:quality(80)/p7i.vogel.de/wcms/00/31/0031258a77a126edd0f53f14a72de57c/0115276744.jpeg "Switches, Router, Gateways, Server, USVs, Racks & Co. – Das Feld der Netzwerk-Infrastruktur ist breit und viele Anbieter buhlen hier bei den IT-Awards um die Gunst der Leser von IP-Insider. (Bild: © didiksaputra - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/95/71951b75b2321e282559e37149c73f85/0114835821.jpeg "„Neofetch“ und andere Tools zeigen Informationen zur Hardware in Linux an. (Bild: Thomas Joos)")
:quality(80)/p7i.vogel.de/wcms/39/4b/394bd80867bedcee436b6c4f59499517/0115220829.jpeg "EtherApe zeigt den Datenverkehr im Netzwerk grafisch an. (Bild: Joos - EtherApe (Riccardo Ghetta, Juan Toledo))")
:quality(80)/p7i.vogel.de/wcms/b5/3d/b53dbab3e40fd2303e7dfca51f1f7939/0114877960.jpeg "Cyberangriffe treffen irgendwann jedes Unternehmen - Mit diesen Threat Hunting Tools lässt sich der Schutz verbessern. (Bild: ink drop - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/59/9e5931526af55d34cf212a6aa0593fd8/0115293144.jpeg "Opensignal hat die Erlebnisse von Nutzerinnen und Nutzern in den deutschen Mobilfunknetzen ausgewertet. (Bild: © – Bojan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/d1/b7d1f5b4af32a8a34cc9722702bfa8d3/0115309559.jpeg "Bei Planung, Konzeption und Aufbau eines 5G-Campusnetzes gibt es einiges zu beachten. Eine Checkliste hilft, alles Wichtige im Auge zu behalten. (Bild: © Manoj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/24/8d24b8fc44bfb1954a36e41d768d0721/0115043465.jpeg "KI- und ML-Algorithmen für die Kommunikation mit 6G lassen sich in SystemVue von Keysight importieren. Damit können die per Funk übertragenen Informationen minimiert werden, um eine genaue Kanalzustandsinformation zur Basisstation zu erhalten. (Bild: Keysight)")
:quality(80)/p7i.vogel.de/wcms/79/6c/796cb17faeac882eac2c1b3037a41e3e/0109117150.jpeg "Private 5G wird zum "heiligen Gral" für Anwendungsfälle in der Industrie 4.0. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b8/eb/b8eb242798e302e33239560cd17b06cd/0115293814.jpeg "Arista und Zscaler vertiefen ihre Zusammenarbeit. (Bild: Arista / Zscaler)")
:quality(80)/p7i.vogel.de/wcms/56/73/5673c47f4cbb4ab27e3cc9de133c162f/0115266518.jpeg "Microsoft 365 Copilot ist ein KI-basierter Assistent für mehr Produktivität und Effizienz. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/56/2d/562dbcd5c2f1fa12bcae9f99df02c831/0115259643.jpeg "Mit der allgemeinen Verfügbarkeit umfasst Red Hat Device Edge nun auch die Ansible Automation Platform für ein konsistentes Management vieler Geräte an mehreren Standorten. (Bild: Red Hat)")
![Beim "Endpoint Management im Jahr 2023" geht es grob immer darum, die Funktionalität an allen Endpunkten des Netzwerks aufrechtzuerhalten und Geräte, Daten und andere Assets an diesen Edge-Points vor Cyber-Bedrohungen zu schützen. Die Feinheiten beleuchtet unser eBook. (Bild: © EricPictures - stock.adobe.com - VIT [M])](https://cdn1.vogel.de/NDW7bMSL-DF6fVVvzkE2EtjLmZk=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/ca/74/ca74fe6b45462e00ab74722166888301/0115412116.jpeg "Beim "Endpoint Management im Jahr 2023" geht es grob immer darum, die Funktionalität an allen Endpunkten des Netzwerks aufrechtzuerhalten und Geräte, Daten und andere Assets an diesen Edge-Points vor Cyber-Bedrohungen zu schützen. Die Feinheiten beleuchtet unser eBook. (Bild: © EricPictures - stock.adobe.com - VIT [M])")
:quality(80)/p7i.vogel.de/wcms/09/a8/09a82c0734a4b082af0fb3a99a3fc68e/0115036412.jpeg "Mit dem Argus F300 sei es möglich, gleichzeitig die optischen Pegel auf den unterschiedlichen Downstream- und Upstream-Wellenlängen für GPON, XGS-PON und ein Video-Overlay über fünf separate Filter exakt zu bestimmen. (Bild: Intec)")
:quality(80)/p7i.vogel.de/wcms/d7/b6/d7b6b471d066cdd319561d7d2dbf2ab0/0115260548.jpeg "Professionelle Endpoint-Management-Systeme wie Aagon ACMP erlauben die Verknüpfung mit einem Software-Katalog und vereinfachen damit das Lizenzmanagement. (Bild: Thomas Bär - Aagon)")
:quality(80)/p7i.vogel.de/wcms/bf/64/bf64e78ac26cbe0e1daed5dfa4522b3b/0115165562.jpeg "LoadMaster 360 biete Nutzern eine konsolidierte Ansicht sämtlicher Daten aller Anwendungen und Prozesse. (Bild: Progress)")
:quality(80)/p7i.vogel.de/wcms/72/a1/72a148974e7a56fcc18b38db037e81ff/0115187980.jpeg "Übersicht über Bedrohungen in einer Mobile Threat Defence. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd36ba51ec18c8326eb74195506c084/0115029324.jpeg "Zyxel zufolge ist der WBE660S ein Gamechanger für alle, die WLAN-Staus an den schwierigsten Orten lösen wollen. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/40/1f/401f3b163d16dd22079e81981e1210c2/0115028607.jpeg "Versa Secure SD-LAN implementiert die Versa-Software auf Ethernet-Switches und Access Points, um integrierte Switching-, Routing-, Sicherheits- und Netzwerkdienste bereitzustellen.
(Bild: Versa Networks)")
:quality(80)/p7i.vogel.de/wcms/6d/0e/6d0e6a223166639fcc9954914388a8f8/0115048132.jpeg "Mit Windows 365 lassen sich auch Cloud-PCs zur Verfügung stellen, auf die Anwender über den Browser oder die Remotedesktop-App in Windows 10/11 Zugriff haben. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0d/d4/0dd416bd5ede8e030098411e28a47980/0115014065.jpeg "Das Forschungsprojekt QuaSiModO zeigt mehrere praktikable Ansätze und Verfahren, mit denen der IPsec/IKEv2-Datenaustausch quantensicher gemacht werden kann. (Bild: Dar1930 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/be/5cbe24f01d4a3e7f709886c90b78b562/0115266150.jpeg "Mit Universal ZTNA sei es möglich, eine Zero-Trust-Policy auf Identitätsebene für alle Benutzer zu managen und umzusetzen. (Bild: © – RareStock – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/67/a0676c15c39f3d545491e641f5471cd0/0115165459.jpeg "Die Yamaha CS-800 ist eine Video Sound Bar für kleine Besprechungsräume. (Bild: Yamaha)")
:quality(80)/p7i.vogel.de/wcms/ef/82/ef82510c2a772ae53fc6556827f3e05c/0115140985.jpeg "Das Dashboard der Wildix-Lösung visualisiert transparent das Anrufaufkommen. (Bild: Wildix)")
:quality(80)/p7i.vogel.de/wcms/25/26/25261bdef48903ea330ead23ac5718f4/0115095196.jpeg "Wenn ein System einen Alarm auslöst, muss dieser vom Sicherheitsteam untersucht werden. Handelt es sich dabei aber um einen falschen Alarm, müssen die Experten ihre Zeit an eine Bedrohung verschwenden, die nicht existiert. (Bild: Jesse Bettencourt/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/a9/9aa9f619b9cccaa303c7d625c2a79207/0115039586.jpeg "Die Lösungen und Services, rund um SASE variieren sehr stark, was Funktionalität und Qualität angeht. Eine sorgfältige Prüfung vor der Anschaffung einer SASE-Lösung ist daher wichtig. (Bild: momius - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f0d56ca4a1a8696bca9e2dc940292/0115051055.jpeg "Peter Arbitter ist Senior Vice President Portfolio- & Productmanagement bei der Deutschen Telekom und kennt sich aus mit Unternehmensnetzen und Cloud Computing. (Bild: Deutsche Telekom AG/Norbert Ittermann)")
:quality(80)/p7i.vogel.de/wcms/b2/77/b277e4f71c0fd0234e605443300c7c6d/0114803890.jpeg "Die NC4000-Optical-Node-Plattformen sind eine Entwicklung der CommScope-Tochter Arris.
(Bild: CommScope)")
:quality(80)/p7i.vogel.de/wcms/5d/15/5d15351840a95644c2174e6c2cea50b8/0114801126.jpeg "Iwis ist Hersteller moderner Kettentriebsysteme und hat sein teures und langsames MPLS-Netz durch eine SD-WAN-Lösung von Fortinet ersetzt. (Bild: © Photocreo Bednarek - stock.adobe.com)")
NAT-Slipstreaming 2.0 Geräte hinter NAT-Routern sind nicht sicher!
Mit NAT-Slipstreaming können Angreifer Geräte hinter einer NAT-Firewall angreifen. Der Angreifer muss dazu einen Benutzer nur auf eine entsprechend manipulierte Webseite locken. Wir zeigen, was es mit dem Angriff auf sich hat.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/77/647721ee50adf/f220119-logo-icp-rgbgruen-grau.png "f220119-logo-icp-rgbgruen-grau (ICP)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/14/64144695bcf74/logo-high-resolution.png "logo-high-resolution (Southern Tech)"){kind=logo}
Bei NAT-Slipstreaming-Angriffen locken Angreifer ihre Opfer auf eine entsprechend manipulierte Webseite. Für den Schadcode wird auf JavaScript gesetzt. Dieser verwendet den Browser auf dem Computer eines Opfers. Der Angriff nutzt Paketinjektion über alle bekannten Browser und verschiedene Techniken zum erkennen von internen IP-Adressen. Umfangreiche Informationen zeigt der Forscher Samy Kamkar auf seiner Webseite.
Seit Anfang 2021 gibt es eine weitere Form von NAT-Slipstreaming-Angriffen, die wesentlich gefährlicher ist. Während bei der ersten Version vor allem ein einzelnes Gerät hinter einer NAT-Firewall angegriffen wurde, kann bei NAT-Slipstreaming 2.0 das ganze Netzwerk hinter einer NAT-Firewall angegriffen werden, wenn ein einzelner Benutzer den Schadcode auf seinem Rechner ausführt.
Öffnet der Benutzer die Webseite, kann der Angreifer eine Verbindung zu dem entsprechenden Computer aufbauen, auch dann, wenn dieser sich hinter einer Firewall befindet. Dazu überträgt der Webserver Schadcode zusammen mit den Daten der aufgerufenen Webseite auf den Computer des Opfers. Bei diesem Vorgang wird die komplette Sicherheitsinfrastruktur übergangen. Grundsätzlich sind davon nahezu alle Browser betroffen. Die meisten Hersteller integrieren zwar in ihren Browsern mittlerweile weitere Schutzfunktionen, die allerdings nicht umfassend wirken. Hauptsächlich werden Listen mit ALG-Ports hinterlegt.
Welche Router und Firewalls sind betroffen?
Von NAT-Slipstreaming-Angriffen sind vor allem Router und Firewalls betroffen, die auf Application Layer Gateways (ALG) setzen (siehe nächster Abschnitt). Wenn auf einer Firewall oder einem Router ALG nicht aktiv ist, besteht auch keine Gefahr für einen erfolgreichen Angriff. Laut AVM sind auch AVM Fritz!Boxen nicht von den Angriffen betroffen.
...zu Lösungen auf Client-/Browserseite. In Reaktion auf den als NAT-Slipstreaming bekannt gewordenen Punkt werden inzwischen von etlichen Browsern für das WebRTC-Objekt ausgehende Verbindungen für weitere Ports unterbunden, z.B. 5060/5061. (2/2)
— FRITZ!Box (@AVM_DE) December 10, 2020
Application Layer Gateway als Grundlage für den Angriff
Damit NAT-Slipstreaming genutzt werden kann, nutzen Angreifer die Application Layer Gateways (ALG) auf einer NAT-Firewall aus. Generell handelt es sich bei einem ALG um einen Sicherheitsmechanismus auf Firewalls. Wenn im Netzwerk Dienste im Internet zur Verfügung gestellt werden, sind in der Firewall zahlreiche Ports notwendig, die zu den entsprechenden Endgeräten weitergeleitet werden sollen. Das stellt natürlich eine Sicherheitsgefahr dar.
Beim Einsatz eines ALG werden keine Ports dauerhaft statisch zu Endgeräten im Netzwerk geöffnet, sondern das Prinzip arbeitet mit dynamischen Ports. Kommt ein Paket am Router an, prüft er die Berechtigung und öffnet gegebenenfalls einen Port vom Internet zum Zielgerät. Über diesen dynamischen Port erfolgen die Zugriffe. Die Angreifer nutzen die interne IP-Extraktion per Timing-Attacke oder WebRTC, die automatische Erkennung von MTU und IP-Fragmentierung sowie den Missbrauch der TURN-Authentifizierung.
Für diesen Angriff muss das NAT/die Firewall ALG (Application Level Gateways) unterstützen. ALGs sind für Protokolle, die mehrere Ports (Steuerkanal + Datenkanal) verwenden können, wie SIP und H323 (VoIP-Protokolle), FTP, IRC DCC usw., zwingend erforderlich.
NAT-Slipstreaming 2.0
Der Schadcode auf dem Computer des Opfers versucht aus dem internen Netzwerk heraus eine SIP-Verbindung aufzubauen. Mit NAT-Slipstreaming 2.0 nutzen die Angreifer nicht SIP, sondern H.323. Der Schadcode sendet mehrere Fetch-Requests vom Browser des Opfers an den H.323-Port (1720) und ermöglicht es dem Angreifer eine Reihe von IP-Adressen und Ports zu durchlaufen, wobei jedes Mal ein Port zum Internet geöffnet wird.
Das ist für den Router zunächst nicht verdächtig, da die Anforderung aus dem internen Netzwerk stammt, nicht aus dem Internet. Sobald eine kompromittierte Verbindung geöffnet wurde, kann der Schadcode nahezu beliebig weitere Verbindungen öffnen, auch zu anderen Rechnern im Internet. Die Firewall wird dadurch wortwörtlich „durchlöchert“.
Im Rahmen der Anforderung öffnet das ALG den angeforderten Port, und der Angreifer kann durch diesen Port direkt auf den befallenen Computer zugreifen. Bei diesem Vorgang kann der Angreifer anschließend auch weitere Dienste auf dem kompromittierten Rechner öffnen und auch Daten übertragen oder manipulieren. Diese Angriffe sind schon länger bekannt, gewinnen seit Anfang Januar aber an Brisanz.
Mit NAT Slipstreaming 2.0 können Angreifer nicht nur den lokalen Rechner angreifen, sondern die anderen Rechner im jeweiligen Netzwerk gleich mit. Von den Angriffen sind nicht nur PCs betroffen, sondern auch andere Netzwerkgeräte. Dabei kann es sich um NAS-Systeme handeln, IoT-Devices, IP-Kameras, aber auch komplette Industrieanlagen, die eine IP-Adresse haben. Grundsätzlich ist jedes Gerät gefährdet, dass über IP im Netzwerk ansprechbar ist.
Haben die Geräte keine eigenen Sicherheitsfunktionen ist die Gefahr noch größer, da sich die Geräte auch nicht selbst schützen können. NAT-Slipstreaming ermöglicht daher auch Angriffe auf Computer, die überhaupt nicht mit dem Internet verbunden sind, aber im gleichen Netzwerk wie ein kompromittierter Computer betrieben werden.
Parallel dazu wird bei den betroffenen Browsern auch WebRTC (Web Real Time Communication) ausgenutzt. Dabei handelt es sich um einen Standard, der Browsern erlaubt, untereinander in Echtzeit zu kommunizieren und Daten auszutauschen
Schutz gegen NAT Slipstreaming
Um sein Netzwerk vor Angriffen mit NAT-Slipstreaming zu schützen, sollte auf dem Router die ALG-Funktion komplett deaktiviert werden. Natürlich hat das wiederum den Nachteil, dass in diesem Fall wieder statische Ports geöffnet werden müssen, allerdings sind durch diesen Vorgang die NAT-Slipstream-Angriffe nicht mehr möglich.
Mittlerweile haben die meisten Browserhersteller ihre Produkte aktualisiert. Auf allen Geräten mit denen eine Verbindung zum Internet aufgebaut werden kann, sollte eine aktuelle Version des jeweiligen Browsers installiert werden.
Wer sein Netzwerk sicher mit dem Internet verbinden will, sollte eine vollwertige Firewall nutzen und NAT nur in Ausnahmen einsetzen. Hier sollte natürlich idealerweise auch mit DMZ gearbeitet werden. Beim Einsatz von ALG sollte darauf geachtet werden, dass die Layer-7-Anwendungsinspektion korrekt konfiguriert ist und funktioniert. Die Richtlinien und Regeln dazu werden auf den Firewalls bereitgestellt, die ALG nutzen.
(ID:47298348)
:quality(80)/p7i.vogel.de/wcms/34/6b/346b7e181e5f9cc3d457af30c869c826/0114532021.jpeg "Das BSI warnt: Durch eine Sicherheitslücke können Angreifer sogar über das Internet, via Port 443, auf eine FritzBox zugreifen und den Besitzer aussperren. AVM hat inzwischen ein FritzOS-Update veröffentlicht, das die Lücke schließt. (Bild: Dr. Harald Karcher)")
:quality(80)/p7i.vogel.de/wcms/b9/f5/b9f51dacdebf3d3d24ad3e5a0ff0eaa8/0112819072.jpeg "Ein Watering-Hole-Angriff umfasst eine Kette von Ereignissen, um Zugriff auf das System eines Opfers zu erhalten. (Bild: giamplume - stock.adobe.com)")