Teredo 是否会给企业带来安全风险

嘉宾：Ed Skoudis，Interguardians 创始人兼高级安全顾问。该公司位于华盛顿特区，主要提供信息安全咨询服务。 ED 专注于黑客攻击与防御、信息安全和计算机隐私问题。他曾为多家财富 500 强企业进行过多次安全评估，并设计过信息安全治理和运营团队。同时还服务于金融行业、高新技术企业、医疗行业等行业的客户。 问：Teredo 的漏洞会导致使用过程中存在安全风险吗？ 答：当 Teredo 在企业环境中使用时，我感到害怕 - 只是因为它具有的功能。对于那些不熟悉该技术的人来说，Teredo 由 Microsoft 推广，是一种在 IPv4 端口上使用 UDP 数据报建立 IPv6 通信隧道的技术，如 RFC4380 中所定义。 　　Teredo 允许内部网络过渡到 IPv6、通过 NAT 设备相互连接并通过 IPv4 跨越互联网。听起来很简单，不是吗？那么，这里我就谈谈企业需要关注的一些安全问题。 　　在 Teredo 之前，许多组织已经尝试过 Internet 上的网络到网络 IPv6 连接，并使用 IPv6 到 IPv4 网关来实现。以下是常见场景： 　　假设两个组织在其内部网络上部署 IPv6。毫无疑问，在同一内网内，某个子网上的IPv6设备可以与其他IPv6设备进行通信。然而，在 Teredo 之前，通信需要穿越广阔且通信较差的 IPv4 互联网，要求每个组织部署一个可转换协议的 IPv6 到 IPv4 网关。在内部网络中，一台机器将构建发往内部网络上另一个系统的 IPv6 数据包，网关将在 IPv4 数据包中隧道传输 IPv6 数据包并将其发送到 Internet。一旦被其他子网接收到，这些数据包就会被另一个网关解封装，从 IPv4 中提取 IPv6 数据包并将其发送到 IPv6 目的地。 　　在终端主机系统中，Teredo 不需要 IPv4 到 IPv6 网关来实现封装。 IPv6数据包会被放入UDP数据包中，然后通过IPv4发送到目的系统。 Teredo 用于 NAT 间通信，只要可以在需要 IPv6 通信的两个系统之间发送通过 IPv4 的 UDP 数据包即可。　　这对企业意味着什么？如果没有 Teredo，网络管理员将不得不安装和配置 IPv6 到 IPv4 网关，这可能会增强其对攻击的抵抗力，但现在所有隧道功能都移交给终端系统，使网络安全变得更加困难。保护变得更加困难。在内部网络上，任何能够接收 UDP 数据包的支持 Teredo 的系统都可以成为 IPv6 隧道中的端点，此时任何绑定到系统 IPv6 地址的应用程序都将被暴露。 　　在您的网络中，安装了 Teredo 的系统甚至可以成为 IPv6 中的 VPN 端点，这可能允许攻击者将随机 IPv6 数据包发送到目标计算机，并将它们从该计算机路由到内部网络上的其他位置。赛门铁克安全专家 James Hoagland 在最近的一篇文章中更详细地描述了这些攻击。 　　如果 Teredo 默认关闭，不会造成任何问题。然而，与 Windows Vista 捆绑在一起的 IPv6 和 Teredo 是自动启用的，在我看来，这显然是流氓行为。 Windows Server 2008 支持 IPv6，但其 Teredo 已关闭。 　　为了避免遭受基于 Teredo 隧道或其他相关的攻击，首先需要在网络防火墙上拦截随机 UDP 数据包，特别是 Teredo 默认端口 UDP 3544 上的输入和输出通信数据。请注意，只有Teredo 服务将侦听此端口。客户端使用任意高编号的 UDP 端口将流量发送到目的地，因此您真正需要考虑的是阻止所有进出 UDP3544 的流量，并防止 Teredo 客户端和服务器使用它。当然，各种黑客也可能导致通信流量从其他端口进入。接下来，您应该做的是确保 Windows 主机上的个人防火墙支持 IPv6 过滤并已打开。尽管内置的 Windows 个人防火墙提供此支持，但许多其他产品并不提供。最后，您可以通过在终端系统上运行带有适当选项的“netsh”命令或在 Windows 注册表中设置来关闭 Teredo，这两种方法均在 Microsoft 文章中进行了描述。不过，我建议您在不使用 Teredo 时将其关闭。【编辑精选】 RSA 2010：白宫网络安全计划引发隐私争议 2010年RSA主题研讨会：IdM技术与僵尸网络防护策略 RSA三大主题：网络犯罪、云计算、IT消费 RSA 2010信息安全大会六大热点话题预测 全球安全盛典：RSA 2010 在美国旧金山开幕 天融信参加RSA2010美国信息安全大会 你知道2010年全球最酷的20家云安全厂商有多少家吗？ RSA展望2010：从企业内控到监管合规的双赢 聚焦安全，联想网控第五次参加RSA大会 网神王小宝闪耀旧金山，开创国际安全新时代