思科认证:可以关闭企业所有IPv6通道?从IPv4转换到IPv6的技术其实主要是隧道技术的应用;这是一项将IPv6数据包装入IPv4数据包的技术,因此这样的数据包可以在仅限IPv4的网络中进行传输。这些隧道也可以用于企业网络中(如穿越一些不支持IPv6的传统网络设备)。
当然,网络运营商和安全团队对并不赞成这样的提议。主要的原因是隧道技术可以将真正的IPv6数据包以及网络流分析器给出的与之相关的4层及以上的信息,还有安全ACL,QoS设置等统统隐藏起来。有传言称,使用IPv6 in IPv4的隧道技术作为一种控制方法会导致僵尸网络。简而言之,企业网络中,如果这样的通道不是刻意为之,那么就应该将其关闭。(注意:上面的表述仅限于企业网络,因为个人用户可能非常乐意将其操作系统连接至IPv6网络。)
所以,对于网管而言,最根本的问题在于是否能阻止所有通道。
就一些6to4或ISATAP通道来说,要回答这个问题并不难:只需用访问控制列表(ACL)阻止所有41协议即可,如:
access-list deny 41 any any
另一种通道是Teredo,它需要依赖UDP封装技术。Teredo使用的默认端口是3544.或许有人想使用如下的访问控制列表来解决:
access-list deny udp any any eq 3544
access-list deny udp any eq 3544 any
但是,上面的访问控制列表会被恰好需要使用3544端口的普通数据包错误拦截。此外,不法用户也可以改变UDP.这种情况下,思科Flexible Pattern Matching的功能和灵活性就有了用武之地:FPM可以根据指定的偏移量来检查任意数据包,且要在最大平台的软件中完成;也就是说,FPM只在合适的位置使用。找出Teredo数据包的技巧就是要搜索所有UDP数据包,目的是获取所有以2001::/32开头的Teredo IPv6地址;请注意,此处我们使用的是/32,而不是/16,实际上,应该是2001:0::/32.还要对IP数据做进一步的检查。
完整的FPM配置如下:
class-map type stack match-all cm-ip-udp
match field IP protocol eq 17 next UDP
class-map type access-control match-all cm-teredo1
match start udp payload-start offset 0 size 1 eq 0x60 mask 15
match start udp payload-start offset 8 size 4 eq 0x20010000
class-map type access-control match-all cm-teredo2
match start udp payload-start offset 0 size 1 eq 0x60 mask 15
match start udp payload-start offset 24 size 4 eq 0x20010000
policy-map type access-control pm-teredo
class cm-teredo1
drop
class cm-teredo2
drop
policy-map type access-control pm-udp-teredo
class cm-ip-udp
service-policy pm-teredo
最后一个步骤是将这一服务策略应用到界面:
interface GigabitEthernet1/36
service-policy type access-control in pm-udp-teredo
最后,要请大家注意,另一种阻止所有通道的方法是指定所有网络主机上的配置以禁用通道。当然,这仅适用于企业网络。例如,在使用Vista系统的电脑中可以使用如下命令:
netsh interface 6to4 set state state=disabled undoonstop=disabled
netsh interface isatap set state state=disabled
netsh interface teredo set state type=disabled
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
IP地址0.0.0.0能做什么?
IP地址0.0.0.0是一个不可路由的IPv4地址,具有多种用途,主要作为默认或占位符地址。尽管0.0.0.0在计算机网络上有多种用途,但它不是通用的设备地址……
-
无视IPv6连接?后果自负!
如果你无视IPv6在你网络的影响,你可能给你自己带来更大的伤害。此外,你还需要考虑的是,IPv6连接不只是“网络的事”。
-
IPv6扩展报头:是好是坏?
IETF最近的一项研究表明,当部署扩展报头时,发送到公网服务器的IPv6数据包丢包率在10%至50%。
-
如何避免IPv6“友邻发现”威胁?
IPv6友邻发现是IPv6协议套件的一个核心部件。如果企业正着手准备部署IPv6,那么一定要了解“友邻发现(ND)”及其漏洞。