Pazite se tunelov

Privzete nastavitve sistemov Windows omogočajo povezljivost z IPv6-internetom skozi tunele 6to4 in Teredo. Nadležna zadeva, saj je manj pozornemu sistemskemu administratorju brez izkušenj z IPv6 dobro skrita. Na hitro poglejmo, kako deluje, in kako se je znebiti.

6to4 je mehanizem samodejnega tuneliranje, ki za prenos IPv6-paketov skozi IPv4-omrežje uporablja protokol 41 in omogoča vzpostavitev IPv6-povezljivosti, ne da bi bilo potrebno tunel nastaviti ročno. Vsakemu globalnemu IPv4-naslovu se v 6to4 priredi naslovni blok IPv6, tako da se predponi 2002:: doda IPv4-naslov v šestnajstiškem zapisu. Poglejmo primer na sistemu Windows 7, ki ima IPv4-naslov 153.5.240.131 – temu naslovu pripada 6to4 predpona 2002:9905:f083::/48 (0x99 = 153, 0x05 = 5, 0xf0 = 240, 0x83 = 131):

ipconfig-win7-no-ipv6

Iz IPv6-naslova privzetega prehoda boste hitro izračunali, na kateri IPv4-naslov bo tak sistem pošiljal tunelirane pakete (192.88.99.1). Skratka, imamo sistem, ki se nahaja v omrežju brez IPv6, vendar ima možnosti za IPv6-povezljivost.

Drug, še bolj “nadležen” protokol je Microsoftov Teredo. Tudi tega opazimo na zgornji sliki. Aktiven je tudi na novejših sistemih, na primer v Windows 8.1:

ipconfig-win8-1

Za transport uporablja UDP/IPv4, kar mu omogoča več možnosti za uspešno povezavo skozi NAT-naprave in požarne pregrade. Prepoznali ga boste po IPv6-naslovih iz bloka 2001:0::/32. Kljub temu, da sta uspešno delovanje Tereda in njegova zmogljivost zelo vprašljiva, to ne spremeni dejstva, da imamo na sistemu, ki se nahaja v zgolj-IPv4 omrežju delujoč IPv6-naslov in IPv6-povezavo.

Sistemi z aktivnimi tuneli nedvomno ogrožajo varnost lokalnega omrežja in nalagajo več odgovornosti skrbniku. Le-ta lahko poskrbi za ustrezne filtre na požarni pregradi ali usmerjevalniku, še bolje pa bo, da tunele izklopi na vseh lokalnih sistemih. Na Windows 7 se to naredi takole:


netsh interface ipv6 6to4 set state state=disabled undoonstop=disabled
netsh interface ipv6 isatap set state state=disabled
netsh interface ipv6 set teredo disable


Reference:

Vaš IP naslov (ali ste na IPv6 ?):
35.170.81.62

Comments

  1. February 12th, 2014 | 07:33

    Dodajam še bralčev komentar:

    – ukazna lupina CMD mora biti za zgoraj naštete ukaze zagnana v priviligiranem ukaznem pozivu (command prompt; zaženi kot skrbnik/run as administrator);
    – lahko se uporabi tudi skrajšane ukazne nize, na primer:

    netsh int ipv6 isatap set state disabled
    netsh int ipv6 6to4 set state disabled
    netsh interface teredo set state disable

    Upoštevajte tudi tole: http://support.microsoft.com/kb/961433.

Leave a reply

website