Pazite se tunelov
Privzete nastavitve sistemov Windows omogočajo povezljivost z IPv6-internetom skozi tunele 6to4 in Teredo. Nadležna zadeva, saj je manj pozornemu sistemskemu administratorju brez izkušenj z IPv6 dobro skrita. Na hitro poglejmo, kako deluje, in kako se je znebiti.
6to4 je mehanizem samodejnega tuneliranje, ki za prenos IPv6-paketov skozi IPv4-omrežje uporablja protokol 41 in omogoča vzpostavitev IPv6-povezljivosti, ne da bi bilo potrebno tunel nastaviti ročno. Vsakemu globalnemu IPv4-naslovu se v 6to4 priredi naslovni blok IPv6, tako da se predponi 2002:: doda IPv4-naslov v šestnajstiškem zapisu. Poglejmo primer na sistemu Windows 7, ki ima IPv4-naslov 153.5.240.131 – temu naslovu pripada 6to4 predpona 2002:9905:f083::/48 (0x99 = 153, 0x05 = 5, 0xf0 = 240, 0x83 = 131):
Iz IPv6-naslova privzetega prehoda boste hitro izračunali, na kateri IPv4-naslov bo tak sistem pošiljal tunelirane pakete (192.88.99.1). Skratka, imamo sistem, ki se nahaja v omrežju brez IPv6, vendar ima možnosti za IPv6-povezljivost.
Drug, še bolj “nadležen” protokol je Microsoftov Teredo. Tudi tega opazimo na zgornji sliki. Aktiven je tudi na novejših sistemih, na primer v Windows 8.1:
Za transport uporablja UDP/IPv4, kar mu omogoča več možnosti za uspešno povezavo skozi NAT-naprave in požarne pregrade. Prepoznali ga boste po IPv6-naslovih iz bloka 2001:0::/32. Kljub temu, da sta uspešno delovanje Tereda in njegova zmogljivost zelo vprašljiva, to ne spremeni dejstva, da imamo na sistemu, ki se nahaja v zgolj-IPv4 omrežju delujoč IPv6-naslov in IPv6-povezavo.
Sistemi z aktivnimi tuneli nedvomno ogrožajo varnost lokalnega omrežja in nalagajo več odgovornosti skrbniku. Le-ta lahko poskrbi za ustrezne filtre na požarni pregradi ali usmerjevalniku, še bolje pa bo, da tunele izklopi na vseh lokalnih sistemih. Na Windows 7 se to naredi takole:
netsh interface ipv6 6to4 set state state=disabled undoonstop=disabled
netsh interface ipv6 isatap set state state=disabled
netsh interface ipv6 set teredo disable
Reference:
- Testing Teredo, by Geoff Huston
- Microsoft Teredo Is a No-Go Area for IPv6
- Can we block all IPv6 tunnels in our enterprise network?
Vaš IP naslov (ali ste na IPv6 ?):
3.22.68.96
Dodajam še bralčev komentar:
– ukazna lupina CMD mora biti za zgoraj naštete ukaze zagnana v priviligiranem ukaznem pozivu (command prompt; zaženi kot skrbnik/run as administrator);
– lahko se uporabi tudi skrajšane ukazne nize, na primer:
netsh int ipv6 isatap set state disabled
netsh int ipv6 6to4 set state disabled
netsh interface teredo set state disable
Upoštevajte tudi tole: http://support.microsoft.com/kb/961433.