如何禁用tcp/ipv6在Teredo通道

過去Vista地帶在FreeBSD上部署過IPv6,測試後性能穩定。如今在Windows Vista操作系統上竟然爆出存在Teredo安全隱患,雖然不是真正的IPv6存在問題,而是Teredo NAT轉換IPv4或IPv6。當然Windows XP、Windows Server 2003的IPv6支持也是使用Teredo。

  在開始有關 Teredo 詳細討論前,我們有必要首先瞭解一下什麼是 Teredo 以及我們為什麼需要它。 Teredo 是一項地址分配和自動隧道技術,能夠跨越 IPv4 Internet 實現 IPv6 單播連接。在它之前已經有了一種能夠通過 IPv4 Internet 實現 IPv6 單播連接的自動隧道技術 —— 6to4 。 6to4 路由器使用一個公用的 IPv4 地址來構建 6to4 前綴,起到 IPv6 通告和促進路由器的作用。 6to4 路由器壓縮和解壓經過站點節點的 IPv6 數據流。

6to4 技術依靠公用 IPv4 地址的配置以及邊界設備中採用的 6to4 路由功能。在許多小型辦公室/家庭辦公室(SOHO)配置中, IPv4 Internet 絡地址轉換 (NAT) 被廣泛使用。如要瞭解更多關於網絡地址轉換工作的情況,請參閱文中的「網絡地址轉換(NAT)概述」。在大多數 NAT 配置中,提供 NAT 功能的設備並不具備成為 6to4 路由器的功能。即使 NAT 設備普遍支持 6to4 ,還是有一些配置包含多層NAT。在這些多層配置中,支持 6to4 的NAT無法成為路由器,因為它不具備一個公共的 IPv4 地址。

Teredo 通過在站點內的主機之間實現 IPv6 數據包隧道來解決現今 NAT 設備缺乏 6to4 功能以及多層 NAT 配置問題。相反, 6to4 使用邊緣設備之間的隧道。主機之間隧道給 NAT 帶來了另外一個問題:IPv4 壓縮的 IPv6 數據包發送時協議域的 IPv4 標頭設定為41。大多數的 NAT只解析 TCP 或者 UDP 數據流,而且需要通過手動設置來實現對其它協議的解析或者安裝負責處理解析的 NAT 編輯器。因為協議41的解析並不是 NAT 的通用功能,所以 IPv4 壓縮的 IPv6 通信傳輸不能通過一般的 NAT。為了使 IPv6 數據傳輸能夠通過單個或多層 NAT, IPv6 數據包必須壓縮成 IPv4 UDP 格式的數據,包含 IPv4 和 UDP 標頭各一個。UDP 數據普遍能夠被 NAT 解析而且能夠通過多層 NAT。

總之, Teredo 是一項 IPv6/IPv4 轉換技術,能夠實現在處於單個或者多個 IPv4 NAT 後的主機之間的 IPv6 自動隧道。來自 Teredo 主機的 IPv6 數據流能夠通過 NAT,因為它是以 IPv4 UDP 數據格式發送的。如果 NAT 支持 UDP 端口解析,那麼它就支持 Teredo 。但是對稱 NAT是一個例外,詳細情況在本文的 "NAT 的種類" 中講解。

Teredo 是作為實現 IPv6 連接最後一種轉換技術而設計的,認識到這一點很重要。如果原來的 IPv6 、 6to4 或者ISATAP連接可用,那麼主機就不必作為 Teredo 的客戶端。現在,越來越多的 IPv4 NAT 經過了升級以便能夠支持 6to4 ,而且 IPv6 連接變得越來越普遍, Teredo 將會使用得越來越少,直到最後完全被放棄。

以上內容來自 <http://www.oovista.com/vista/Vistaxinwen/20071207/652.html>

Teredo是一個過渡技術,該技術允許的計算機或節點,位於後面的IPv6的不知道網絡地址轉換( NAT )設備使用IPv6的連接溝通,與其他的計算機上使用的IPv6 。 在Teredo隧道技術界定的一種方式封裝IPv6的數據包內的IPv4的UDP數據可以經由NAT設備和對IPv4的互聯網。 IPv6和Teredo是安裝並啟用默認情況下,在Windows Vista中,用戶無法卸載。

用戶可以關閉的IPv6支持在Vista 。 Teredo客戶端在Windows Vista中啟用,但已停播默認情況下,但它會啟動自動在需要時或防火牆設置允許一個應用程序以使用toredo 。 一旦啟動, Teredo客戶端一開始必須獲取信息,如類型的NAT該客戶端的背後,是由連接到一個或多個在Teredo服務器。確定IPv4地址的Teredo的服務器,客戶端可能會發送DNS查詢,以解決名稱teredo.ipv6.microsoft.com 。以防止Teredo的相關DNS查詢,或為那些誰不使用Teredo或IPv6 ,用戶可以禁用或控制Teredo的在Windows Vista中使用下列方法。微軟 確認它通常是可行的禁用Teredo的,因為其他的技術可以用來相反,例如,內部網站自動隧道處理協議( isatap ) 。

關閉Teredo的使用netsh命令

  1. 開放提升的命令提示符 按一下開始,單擊所有程序,單擊附件,右鍵單擊命令提示符,單擊以管理員身份運行。
    如果用戶帳戶控制出現對話框,確認該行動顯示是您想要的,然後單擊繼續。
  2. 在命令提示符下,鍵入以下命令行(每一行之後按下ENTER ) :
    在netsh
    接口
    在Teredo
  3. 在netsh界面teredo命令提示符下,鍵入:
    設置國家殘疾人士

注:去年2命令都可以合併成下列單一命令停用Teredo的:

在netsh界面Teredo的一套國家殘疾人士

關閉Teredo的,由指定的註冊表設置

  1. 運行註冊表編輯器鍵入以下文本在開始搜索,然後按下ENTER :
    regedit
    如果用戶帳戶控制出現對話框,確認該行動顯示是您想要的,然後單擊繼續。
  2. 瀏覽到以下註冊表項:
    hkey_local_machine 系統 currentcontrolset 服務 tcpip6 參數
  3. 右鍵單擊“參數” ,選擇“新” ,在上下文菜單,然後選擇“ DWORD值” ,然後鍵入下面的名稱為新值(鍵入名稱,正是顯示,包括資本) :
    disabledcomponents
  4. 雙擊“ disabledcomponents ”中,選擇十六進制,然後在數值數據,鍵入:
    8

clip_image001

  1. 單擊確定。
  2. 重新啟動計算機。

關閉Teredo的使用圖形用戶界面

  1. 單擊開始,然後控制面板。
  2. 點擊“系統和維護”鏈接。
  3. 點擊“設備管理器” 。
    點擊繼續就的UAC提示。
  4. 在設備管理器,點擊“查看”菜單並選擇(剔) “顯示隱藏的設備” 。
  5. 擴大“網絡適配器”樹。

clip_image002

  1. 右鍵點擊“在Teredo隧道偽接口” ,選擇“禁用” 。
  2. 右鍵點擊“ 6to4適配器”中選擇“禁用” 。

以上內容來自 <http://www.mydigitallife.info/2007/09/09/how-to-disable-tcpipv6-teredo-tunneling-in-vista/zh_TW/>

Microsoft 安全性公告 MS06-064

TCP-IP IPv6 中的弱點可能會允許拒絕服務 (922819)

Published: 2006 年 10 月 11 日

版本: 1.0

摘要

應該閱讀此文件的對象: 使用 Microsoft Windows 的客戶。

弱點的影響: 拒絕服務

最高的嚴重性等級: 輕微

建議: 客戶應該評估是否將安全性更新套用到受影響的系統。

安全性更新取代資訊: 無

已測試軟體及安全性更新下載位置:

受影響的軟體

Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2 — 英文下載更新程式 │ 中文下載更新程式

Microsoft Windows XP Professional x64 Edition — 英文下載更新程式

Microsoft Windows Server 2003 和 Microsoft Windows Server 2003 Service Pack 1 — 英文下載更新程式 │ 中文下載更新程式

Microsoft Windows Server 2003 for Itanium-based Systems 及 Microsoft Windows Server 2003 SP1 for Itanium-based Systems — 英文下載更新程式

Microsoft Windows Server 2003 x64 Edition — 英文下載更新程式

不受影響的軟體:

Microsoft Windows 2000 Service Pack 4

本清單所列出之軟體版本已經過測試以判斷是否受到影響。其他版本已不再提供安全性更新支援,或是並不會受到影響。 請造訪 Microsoft 產品技術支援週期網站,以瞭解您的產品及版本的支援生命週期。

注意:Microsoft Windows Server 2003、Windows Server 2003 Service Pack 1 和 Windows Server 2003 x64 Edition 之安全性更新亦適用於 Windows Server 2003 R2。

取得其他安全性更新:

其他安全性問題的更新可由下列位置取得:

安全性更新可以從 Microsoft 下載中心取得。 您也可以利用 "security_patch" 關鍵字搜尋輕易地找到安全性更新。

客戶平台的更新程式可以從 Microsoft Update 網站取得。

支援:

美國及加拿大地區客戶可電洽 1-866-PCSAFETY Microsoft 產品支援服務以取得技術支援。與安全性更新有關的支援電話不另外收費。

不同國家的客戶,可以從當地的 Microsoft 分公司取得支援。 與安全性更新有關的支援電話不另外收費。 如需更多關於連絡 Microsoft 技術支援的資訊,請造訪世界各地技術支援網站。

安全性資源:

Microsoft TechNet 資訊安全網站提供了有關 Microsoft 產品安全性的其他資訊。

TechNet 更新管理中心

Microsoft Software Update Services

Microsoft Windows Server Update Services

Microsoft Baseline Security Analyzer (MBSA)

Windows Update

Microsoft Update

Windows Update 目錄: 如需有關 Windows Update 目錄的詳細資訊,請參閱 Microsoft 知識庫文件編號 323166。

Office Update

Software Update Services:

Microsoft Software Update Services (SUS) 能讓系統管理員以迅速可靠的方式,針對 Windows 2000 和 Windows Server 2003 伺服器以及執行 Windows 2000 Professional 或 Windows XP Professional 的桌面系統,部署最新的重要更新程式及安全性更新程式。

若想瞭解如何透過 Software Update Services 部署安全性更新,請造訪 Software Update Services 網站。

Windows Server Update Services:

透過 Windows Server Update Services (WSUS),系統管理員可迅速可靠地將 Windows 2000 作業系統及後續系統、Office XP 及後續版本、Exchange Server 2003 及 SQL Server 2000 等最新的重大更新與安全性更新部署到 Windows 2000 及後續作業系統中。

如需更多關於利用 Windows Server Update Services 部署安全性更新的資訊,請造訪 Windows Server Update Services 網站。

Systems Management Server:

Microsoft Systems Management Server (SMS) 提供了深具彈性的企業解決方案,能夠對更新程式進行方便的管理。 利用 SMS,系統管理員能判斷有哪些 Windows 系統需要安全性更新,並控制更新程式在企業中的部署,同時將對使用者造成的干擾降到最低。如需更多關於系統管理員如何使用 SMS 2003 部署安全性更新的資訊,請造訪 SMS 2003 的安全性補充程式管理網站。 SMS 2.0 使用者也可以利用 SMS 軟體更新服務功能套件來協助部署安全性更新。 如需關於 SMS 的詳細資訊,請造訪 SMS 網站。

注意:SMS 使用 Microsoft Baseline Security Analyzer、Microsoft Office Detection Tool 以及企業更新掃描工具,為安全性公告的更新偵測及部署作業提供相當廣泛的支援。不過這些工具可能無法偵測部分的軟體更新。 在這些情況中,系統管理員可以利用 SMS 的清查功能,判斷特定系統所需要的更新程式。如需這個程序的詳細資訊,請造訪這個網站。某些安全性更新程式在電腦重新啟動之後,會需要系統管理員的權限。 系統管理員可以用 Elevated Rights Deployment Tool (隨 SMS 2003 Administration Feature Pack 和 SMS 管理功能套件 提供) 來安裝這些更新。

免責聲明:

Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供,並不提供任何形式之擔保。 Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。 無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。 某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

以上內容來自 <http://www.microsoft.com/taiwan/technet/security/bulletin/MS06-064.mspx>

This entry was posted in 未分類. Bookmark the permalink.

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 變更 )

Twitter picture

You are commenting using your Twitter account. Log Out / 變更 )

Facebook照片

You are commenting using your Facebook account. Log Out / 變更 )

Google+ photo

You are commenting using your Google+ account. Log Out / 變更 )

連結到 %s