Implementacja IPv6 w Windows Vista a problem bezpieczeństwa

Eksperci Symantec i Ericssona zwracają uwagę na problemy z Teredo, mechanizmem do przesyłania ruchu IPv6 w sieciach IPv4, związane z domyślnymi ustawieniami Windows Vista. Specjaliści ci uważają, że Teredo może omijać zabezpieczenia sieciowe w zaporach ogniowych.

IPv6 jest uaktualnieniem IPv4, które usuwa problemy zbyt małego zbioru możliwych adresów IP jaki zapewnia IPv4. IPv6 zapewnia praktycznie niewyczerpaną przestrzeń adresową, podczas gdy IPv4 może zapewnić tylko 4,3 miliarda różnych adresów IP.

Teredo jest techniką tunelowania używaną do przesyłania ruchu IPv6 przez translatory adresów sieciowych (NAT) IPv4. Z powodu ograniczonej liczby adresów IPv4, NAT jest metodą powszechnie używaną w sieciach przedsiębiorstw do maskowania prywatnej przestrzeni adresowej kryjącej się za pojedynczym publicznym adresem IPv4. Do przemieszczania pakietów IPv6 przez IPv4 NAT Teredo wykorzystuje User Datagram Protocol IPv4. Sieć wykorzystująca Teredo wymaga klientów Teredo, przekaźników Teredo i serwerów Teredo. Teredo jest włączany domyślnie w Windows Vista, ale już w Windows Server 2008 - nie.

Zobacz również:

Analitycy Symantec i Ericssona twierdzą, że ruch tunelowany przez Teredo nie będzie należycie kontrolowany przez sieciowe urządzenia ochronne jeżeli nie będą one uwzględniać tego typu ruchu. Rozwiązania przystosowane do ruchu IPv4 będą kontrolować warstwę IPv4, ale nie rozpoznają pakietu IPv6 w nim zanurzonego. Opracowany przez analityków raport stwierdza, że Teredo omija filtrowanie docelowych adresów wewnętrznych i zewnętrznych adresów źródłowych o ile nie zostaną opracowane specjalne uzupełnienia tych filtrów. Ponadto nie ma jeszcze środków do efektywnego filtrowania wszystkich pakietów Teredo i autorzy raportu zalecają blokowanie tego mechanizmu. Napastnicy mogą też wykorzystywać pewne informacje zawarte w adresach Teredo, ponieważ ujawniają one niektóre dane o klientach. Raport zaleca tu randomizację ustawień portów serwera lub klienta Teredo, w celu uniknięcia tych słabych punktów.


TOP 200