嘉賓：Ed Skoudis,Interguardians公司的創(chuàng)始人和高級安全咨詢師。該公司位于美國華盛頓特區(qū)，主要提供信息安全咨詢服務(wù)。ED擅長于黑客攻擊與防御、信息安全以及計算機隱私問題。他已經(jīng)為財富500強諸多公司進行過無數(shù)的安全評估，設(shè)計信息安全治理和運行團隊。同時，還為金融業(yè)、高科技企業(yè)、醫(yī)療行業(yè)以及其他行業(yè)的客戶。

問：Teredo的漏洞是否會導(dǎo)致其在使用中出現(xiàn)安全隱患？

答：當(dāng)Teredo應(yīng)用在企業(yè)環(huán)境時，這使我感到害怕——僅僅是因為它所具備的功能。對不熟悉技術(shù)的人來說，由微軟倡導(dǎo)的Teredo是在IPv4的端口上使用UDP數(shù)據(jù)報建立IPv6通信隧道的技術(shù)，正如RFC4380中所定義的那樣。

　　Teredo允許內(nèi)部網(wǎng)絡(luò)過渡到IPv6, 通過它們的NAT設(shè)備互相連接并跨越IPv4的因特網(wǎng)。聽起來很簡單，不是嗎？那么，在這里我將討論一些企業(yè)需要重點關(guān)注的安全問題。

　　在Teredo之前，許多組織在因特網(wǎng)上實驗過網(wǎng)絡(luò)到網(wǎng)絡(luò)的IPv6連接，而且是使用IPv6-to-IPv4網(wǎng)關(guān)來實現(xiàn)的。下面是常見的情景：

　　比方說，兩個組織在他們的內(nèi)部網(wǎng)絡(luò)上部署了IPv6。 毫無疑問，在同一內(nèi)網(wǎng)中，某一子網(wǎng)上的IPv6設(shè)備能夠與其它IPv6設(shè)備通信。然而，在Teredo出現(xiàn)之前，通信會穿越龐大、通信狀況糟糕的IPv4因特網(wǎng)，需要每個組織部署一個IPv6-to-IPv4網(wǎng)關(guān)，該網(wǎng)關(guān)將會對協(xié)議進行轉(zhuǎn)換。在一個內(nèi)部網(wǎng)絡(luò)中，一臺機器將會構(gòu)造發(fā)往內(nèi)網(wǎng)中另一系統(tǒng)的IPv6數(shù)據(jù)包，而網(wǎng)關(guān)會為IPv4數(shù)據(jù)包中的IPv6數(shù)據(jù)包建立隧道，并把它們發(fā)送到因特網(wǎng)上。 一旦被其它子網(wǎng)接收到，這些數(shù)據(jù)包將會被另一個網(wǎng)關(guān)解封，該網(wǎng)關(guān)從IPv4中提取IPv6數(shù)據(jù)包，并將其發(fā)送到IPv6的目的地。

　　在一個端主機（end-host）系統(tǒng)中，Teredo不需要IPv4-to-IPv6網(wǎng)關(guān)就能實現(xiàn)封裝，IPv6數(shù)據(jù)包會被放入UDP數(shù)據(jù)包中，再通過IPv4發(fā)送到目的系統(tǒng)。Teredo被用于NAT間的通信，只要IPv4上的UDP數(shù)據(jù)包能夠在兩個需要進行IPv6通信的系統(tǒng)間發(fā)送就行。

　　這對企業(yè)來說意味著什么？如果沒有Teredo，網(wǎng)絡(luò)管理者將不得不安裝和配置IPv6-to-IPv4 網(wǎng)關(guān)，這或許會增強他們對攻擊的抵抗能力，但所有的隧道功能這時都交給了端系統(tǒng)，使得對于網(wǎng)絡(luò)安全的保護變得更加困難。在內(nèi)部網(wǎng)絡(luò)中，任何具有Teredo功能的系統(tǒng)只要能夠接收UDP數(shù)據(jù)包，就能成為IPv6隧道中的一個端點，此時任何綁定到系統(tǒng)IPv6地址上的應(yīng)用程序便會暴露出來。

　　在你的網(wǎng)絡(luò)內(nèi)部，一個裝有Teredo的系統(tǒng)甚至可以成為IPv6中的VPN端點，而這有可能會允許攻擊者發(fā)送隨機的IPv6數(shù)據(jù)包到目標機上，而且可以從該機器為路由到內(nèi)部網(wǎng)絡(luò)中的其它地方。賽門鐵克的安全專家James Hoagland描述了這些攻擊，并在近期的一篇文章中做了更詳盡的描述。

　　如果Teredo默認是關(guān)閉的，那么它也不會帶來什么問題。然而，Windows Vista綁定的IPv6和Teredo都是自動開啟的，就我看來這明顯是個無賴的行為。而Windows Server 2008支持IPv6, 但它的Teredo是關(guān)閉的。

　　為了避免遭受基于Teredo隧道或者其他相關(guān)的攻擊，你首先需要在網(wǎng)絡(luò)防火墻上阻止隨機的UDP數(shù)據(jù)包，尤其是Teredo默認端口UDP 3544上的輸入輸出通信數(shù)據(jù)。請注意，只有Teredo服務(wù)會監(jiān)聽該端口?？蛻舳税l(fā)送通信數(shù)據(jù)到目的地使用的都是任意高編號的UDP端口， 所以你真正要考慮的是去封鎖所有到達或來自UDP3544的通信，并阻止Teredo客戶端和服務(wù)器使用它。當(dāng)然，各種黑客也可以使通信流量從其他端口進來。接下來，你應(yīng)該做的是確保Windows主機上的個人防火墻支持IPv6過濾并且已被開啟。雖然自帶的Windows個人防火墻提供了這種支持，但是其它許多產(chǎn)品則沒有。最后，你可以在端系統(tǒng)中運行帶有恰當(dāng)選項的’netsh’命令來關(guān)閉Teredo，或者在Windows注冊表進行設(shè)置，這兩種方法在一篇微軟的文章中都有介紹。不過，我建議你在不使用Teredo時還是關(guān)閉它為好。

【編輯推薦】

1. RSA 2010:白宮網(wǎng)絡(luò)安全計劃引發(fā)隱私權(quán)爭議
2. 2010 RSA主題演講會：IdM技術(shù)和僵尸網(wǎng)絡(luò)保護策略
3. RSA三大主題：網(wǎng)絡(luò)犯罪 云計算 IT消費
4. RSA 2010年信息安全大會六大熱點預(yù)測
5. 全球安全盛典：RSA 2010在美國舊金山開幕
6. 天融信參展RSA2010美國信息安全大會
7. 2010年全球最酷的20家云安全廠商你知道幾家
8. RSA展望2010：從企業(yè)內(nèi)控到法規(guī)遵從的雙贏
9. 用心做安全 聯(lián)想網(wǎng)御第五次參加RSA大會
10. 網(wǎng)神小包王閃耀舊金山 安全國際化開創(chuàng)新時代