日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Teredo是否會為企業(yè)帶來安全風險

嘉賓:Ed Skoudis,Interguardians公司的創(chuàng)始人和高級安全咨詢師。該公司位于美國華盛頓特區(qū),主要提供信息安全咨詢服務。ED擅長于黑客攻擊與防御、信息安全以及計算機隱私問題。他已經(jīng)為財富500強諸多公司進行過無數(shù)的安全評估,設計信息安全治理和運行團隊。同時,還為金融業(yè)、高科技企業(yè)、醫(yī)療行業(yè)以及其他行業(yè)的客戶。

創(chuàng)新互聯(lián)公司堅持“要么做到,要么別承諾”的工作理念,服務領域包括:做網(wǎng)站、成都做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務,滿足客戶于互聯(lián)網(wǎng)時代的開江網(wǎng)站設計、移動媒體設計的需求,幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡建設合作伙伴!

問:Teredo的漏洞是否會導致其在使用中出現(xiàn)安全隱患?

答:當Teredo應用在企業(yè)環(huán)境時,這使我感到害怕——僅僅是因為它所具備的功能。對不熟悉技術的人來說,由微軟倡導的Teredo是在IPv4的端口上使用UDP數(shù)據(jù)報建立IPv6通信隧道的技術,正如RFC4380中所定義的那樣。

  Teredo允許內(nèi)部網(wǎng)絡過渡到IPv6, 通過它們的NAT設備互相連接并跨越IPv4的因特網(wǎng)。聽起來很簡單,不是嗎?那么,在這里我將討論一些企業(yè)需要重點關注的安全問題。

  在Teredo之前,許多組織在因特網(wǎng)上實驗過網(wǎng)絡到網(wǎng)絡的IPv6連接,而且是使用IPv6-to-IPv4網(wǎng)關來實現(xiàn)的。下面是常見的情景:

  比方說,兩個組織在他們的內(nèi)部網(wǎng)絡上部署了IPv6。 毫無疑問,在同一內(nèi)網(wǎng)中,某一子網(wǎng)上的IPv6設備能夠與其它IPv6設備通信。然而,在Teredo出現(xiàn)之前,通信會穿越龐大、通信狀況糟糕的IPv4因特網(wǎng),需要每個組織部署一個IPv6-to-IPv4網(wǎng)關,該網(wǎng)關將會對協(xié)議進行轉(zhuǎn)換。在一個內(nèi)部網(wǎng)絡中,一臺機器將會構(gòu)造發(fā)往內(nèi)網(wǎng)中另一系統(tǒng)的IPv6數(shù)據(jù)包,而網(wǎng)關會為IPv4數(shù)據(jù)包中的IPv6數(shù)據(jù)包建立隧道,并把它們發(fā)送到因特網(wǎng)上。 一旦被其它子網(wǎng)接收到,這些數(shù)據(jù)包將會被另一個網(wǎng)關解封,該網(wǎng)關從IPv4中提取IPv6數(shù)據(jù)包,并將其發(fā)送到IPv6的目的地。

  在一個端主機(end-host)系統(tǒng)中,Teredo不需要IPv4-to-IPv6網(wǎng)關就能實現(xiàn)封裝,IPv6數(shù)據(jù)包會被放入UDP數(shù)據(jù)包中,再通過IPv4發(fā)送到目的系統(tǒng)。Teredo被用于NAT間的通信,只要IPv4上的UDP數(shù)據(jù)包能夠在兩個需要進行IPv6通信的系統(tǒng)間發(fā)送就行。

這對企業(yè)來說意味著什么?如果沒有Teredo,網(wǎng)絡管理者將不得不安裝和配置IPv6-to-IPv4 網(wǎng)關,這或許會增強他們對攻擊的抵抗能力,但所有的隧道功能這時都交給了端系統(tǒng),使得對于網(wǎng)絡安全的保護變得更加困難。在內(nèi)部網(wǎng)絡中,任何具有Teredo功能的系統(tǒng)只要能夠接收UDP數(shù)據(jù)包,就能成為IPv6隧道中的一個端點,此時任何綁定到系統(tǒng)IPv6地址上的應用程序便會暴露出來。

  在你的網(wǎng)絡內(nèi)部,一個裝有Teredo的系統(tǒng)甚至可以成為IPv6中的VPN端點,而這有可能會允許攻擊者發(fā)送隨機的IPv6數(shù)據(jù)包到目標機上,而且可以從該機器為路由到內(nèi)部網(wǎng)絡中的其它地方。賽門鐵克的安全專家James Hoagland描述了這些攻擊,并在近期的一篇文章中做了更詳盡的描述。

  如果Teredo默認是關閉的,那么它也不會帶來什么問題。然而,Windows Vista綁定的IPv6和Teredo都是自動開啟的,就我看來這明顯是個無賴的行為。而Windows Server 2008支持IPv6, 但它的Teredo是關閉的。

  為了避免遭受基于Teredo隧道或者其他相關的攻擊,你首先需要在網(wǎng)絡防火墻上阻止隨機的UDP數(shù)據(jù)包,尤其是Teredo默認端口UDP 3544上的輸入輸出通信數(shù)據(jù)。請注意,只有Teredo服務會監(jiān)聽該端口。客戶端發(fā)送通信數(shù)據(jù)到目的地使用的都是任意高編號的UDP端口, 所以你真正要考慮的是去封鎖所有到達或來自UDP3544的通信,并阻止Teredo客戶端和服務器使用它。當然,各種黑客也可以使通信流量從其他端口進來。接下來,你應該做的是確保Windows主機上的個人防火墻支持IPv6過濾并且已被開啟。雖然自帶的Windows個人防火墻提供了這種支持,但是其它許多產(chǎn)品則沒有。最后,你可以在端系統(tǒng)中運行帶有恰當選項的’netsh’命令來關閉Teredo,或者在Windows注冊表進行設置,這兩種方法在一篇微軟的文章中都有介紹。不過,我建議你在不使用Teredo時還是關閉它為好。


本文題目:Teredo是否會為企業(yè)帶來安全風險
鏈接分享:http://m.5511xx.com/article/codoejh.html