嘉賓：Ed Skoudis,Interguardians公司的創(chuàng)始人和高級(jí)安全咨詢師。該公司位于美國(guó)華盛頓特區(qū)，主要提供信息安全咨詢服務(wù)。ED擅長(zhǎng)于黑客攻擊與防御、信息安全以及計(jì)算機(jī)隱私問題。他已經(jīng)為財(cái)富500強(qiáng)諸多公司進(jìn)行過無數(shù)的安全評(píng)估，設(shè)計(jì)信息安全治理和運(yùn)行團(tuán)隊(duì)。同時(shí)，還為金融業(yè)、高科技企業(yè)、醫(yī)療行業(yè)以及其他行業(yè)的客戶。

問：Teredo的漏洞是否會(huì)導(dǎo)致其在使用中出現(xiàn)安全隱患？

答：當(dāng)Teredo應(yīng)用在企業(yè)環(huán)境時(shí)，這使我感到害怕——僅僅是因?yàn)樗邆涞墓δ?。?duì)不熟悉技術(shù)的人來說，由微軟倡導(dǎo)的Teredo是在IPv4的端口上使用UDP數(shù)據(jù)報(bào)建立IPv6通信隧道的技術(shù)，正如RFC4380中所定義的那樣。

　　Teredo允許內(nèi)部網(wǎng)絡(luò)過渡到IPv6, 通過它們的NAT設(shè)備互相連接并跨越IPv4的因特網(wǎng)。聽起來很簡(jiǎn)單，不是嗎？那么，在這里我將討論一些企業(yè)需要重點(diǎn)關(guān)注的安全問題。

　　在Teredo之前，許多組織在因特網(wǎng)上實(shí)驗(yàn)過網(wǎng)絡(luò)到網(wǎng)絡(luò)的IPv6連接，而且是使用IPv6-to-IPv4網(wǎng)關(guān)來實(shí)現(xiàn)的。下面是常見的情景：

　　比方說，兩個(gè)組織在他們的內(nèi)部網(wǎng)絡(luò)上部署了IPv6。 毫無疑問，在同一內(nèi)網(wǎng)中，某一子網(wǎng)上的IPv6設(shè)備能夠與其它IPv6設(shè)備通信。然而，在Teredo出現(xiàn)之前，通信會(huì)穿越龐大、通信狀況糟糕的IPv4因特網(wǎng)，需要每個(gè)組織部署一個(gè)IPv6-to-IPv4網(wǎng)關(guān)，該網(wǎng)關(guān)將會(huì)對(duì)協(xié)議進(jìn)行轉(zhuǎn)換。在一個(gè)內(nèi)部網(wǎng)絡(luò)中，一臺(tái)機(jī)器將會(huì)構(gòu)造發(fā)往內(nèi)網(wǎng)中另一系統(tǒng)的IPv6數(shù)據(jù)包，而網(wǎng)關(guān)會(huì)為IPv4數(shù)據(jù)包中的IPv6數(shù)據(jù)包建立隧道，并把它們發(fā)送到因特網(wǎng)上。 一旦被其它子網(wǎng)接收到，這些數(shù)據(jù)包將會(huì)被另一個(gè)網(wǎng)關(guān)解封，該網(wǎng)關(guān)從IPv4中提取IPv6數(shù)據(jù)包，并將其發(fā)送到IPv6的目的地。

　　在一個(gè)端主機(jī)（end-host）系統(tǒng)中，Teredo不需要IPv4-to-IPv6網(wǎng)關(guān)就能實(shí)現(xiàn)封裝，IPv6數(shù)據(jù)包會(huì)被放入U(xiǎn)DP數(shù)據(jù)包中，再通過IPv4發(fā)送到目的系統(tǒng)。Teredo被用于NAT間的通信，只要IPv4上的UDP數(shù)據(jù)包能夠在兩個(gè)需要進(jìn)行IPv6通信的系統(tǒng)間發(fā)送就行。

　　這對(duì)企業(yè)來說意味著什么？如果沒有Teredo，網(wǎng)絡(luò)管理者將不得不安裝和配置IPv6-to-IPv4 網(wǎng)關(guān)，這或許會(huì)增強(qiáng)他們對(duì)攻擊的抵抗能力，但所有的隧道功能這時(shí)都交給了端系統(tǒng)，使得對(duì)于網(wǎng)絡(luò)安全的保護(hù)變得更加困難。在內(nèi)部網(wǎng)絡(luò)中，任何具有Teredo功能的系統(tǒng)只要能夠接收UDP數(shù)據(jù)包，就能成為IPv6隧道中的一個(gè)端點(diǎn)，此時(shí)任何綁定到系統(tǒng)IPv6地址上的應(yīng)用程序便會(huì)暴露出來。

　　在你的網(wǎng)絡(luò)內(nèi)部，一個(gè)裝有Teredo的系統(tǒng)甚至可以成為IPv6中的VPN端點(diǎn)，而這有可能會(huì)允許攻擊者發(fā)送隨機(jī)的IPv6數(shù)據(jù)包到目標(biāo)機(jī)上，而且可以從該機(jī)器為路由到內(nèi)部網(wǎng)絡(luò)中的其它地方。賽門鐵克的安全專家James Hoagland描述了這些攻擊，并在近期的一篇文章中做了更詳盡的描述。

　　如果Teredo默認(rèn)是關(guān)閉的，那么它也不會(huì)帶來什么問題。然而，Windows Vista綁定的IPv6和Teredo都是自動(dòng)開啟的，就我看來這明顯是個(gè)無賴的行為。而Windows Server 2008支持IPv6, 但它的Teredo是關(guān)閉的。

　　為了避免遭受基于Teredo隧道或者其他相關(guān)的攻擊，你首先需要在網(wǎng)絡(luò)防火墻上阻止隨機(jī)的UDP數(shù)據(jù)包，尤其是Teredo默認(rèn)端口UDP 3544上的輸入輸出通信數(shù)據(jù)。請(qǐng)注意，只有Teredo服務(wù)會(huì)監(jiān)聽該端口?？蛻舳税l(fā)送通信數(shù)據(jù)到目的地使用的都是任意高編號(hào)的UDP端口， 所以你真正要考慮的是去封鎖所有到達(dá)或來自UDP3544的通信，并阻止Teredo客戶端和服務(wù)器使用它。當(dāng)然，各種黑客也可以使通信流量從其他端口進(jìn)來。接下來，你應(yīng)該做的是確保Windows主機(jī)上的個(gè)人防火墻支持IPv6過濾并且已被開啟。雖然自帶的Windows個(gè)人防火墻提供了這種支持，但是其它許多產(chǎn)品則沒有。最后，你可以在端系統(tǒng)中運(yùn)行帶有恰當(dāng)選項(xiàng)的’netsh’命令來關(guān)閉Teredo，或者在Windows注冊(cè)表進(jìn)行設(shè)置，這兩種方法在一篇微軟的文章中都有介紹。不過，我建議你在不使用Teredo時(shí)還是關(guān)閉它為好。

【編輯推薦】

1. RSA 2010:白宮網(wǎng)絡(luò)安全計(jì)劃引發(fā)隱私權(quán)爭(zhēng)議
2. 2010 RSA主題演講會(huì)：IdM技術(shù)和僵尸網(wǎng)絡(luò)保護(hù)策略
3. RSA三大主題：網(wǎng)絡(luò)犯罪 云計(jì)算 IT消費(fèi)
4. RSA 2010年信息安全大會(huì)六大熱點(diǎn)預(yù)測(cè)
5. 全球安全盛典：RSA 2010在美國(guó)舊金山開幕
6. 天融信參展RSA2010美國(guó)信息安全大會(huì)
7. 2010年全球最酷的20家云安全廠商你知道幾家
8. RSA展望2010：從企業(yè)內(nèi)控到法規(guī)遵從的雙贏
9. 用心做安全 聯(lián)想網(wǎng)御第五次參加RSA大會(huì)
10. 網(wǎng)神小包王閃耀舊金山 安全國(guó)際化開創(chuàng)新時(shí)代