Categorie archieven: Beveiliging

Ik zie 2 IPv6 adressen en maar 1 geconfigureerd?

Ja, het kan. Ze zal vast eens zien, dat wanneer je op een Windows machine (in dit geval Windows 2008 R2) een vast IPv6 adres configureert toch nog een 2e adres ziet via een ‘ipconfig’. Nee, dit is niet het adres beginnend met “fe80:: ”

Dit is mede door de configuratie op het netwerk waar de machine op aangesloten zit. Het adres komt van de ‘Router Discovery’ af, welke in een soort DHCP manier van werken prima adressen uit deelt aan clients.

Echter, in een strakke omgeving waar hosting sprake is, is 1 vast adres voor zowel inkomend maar meer ook uitgaand erg praktisch. Dit is uit te zetten:

netsh int ipv6 set int "Local Area Connection" routerdiscovery=disabled

Waarbij ‘Local Area Connection’ uiteraard de juiste naam moet zijn.

Na in het invoeren is het 2e adres ook direct weg.

ISATAP, 6to4- and Terodo Tunneling

Een kleinigheidje wat je zo over het hoofd kan zien of vergeten verbonden bent met internet, of als je een IPv6 inschakeld op je fysieke interface: isatap, 6to4- en terodo tunneling interfaces.

Informatie over het specifieke protocol:
https://en.wikipedia.org/wiki/Teredo_tunneling
https://en.wikipedia.org/wiki/6to4

Het geval is bij deze tunneling methodes dat dit zelfs achter een NAT device (zoals een firewall of router) een routeerbaar IPv6 adres krijgt.  De andere zijde of “endpoint”, de relayhost, heeft een native IPv6 adres en zorgt voor connectivity buiten de tunnel die vanuit de client word opgezet.

Wat hierbij mogelijk word is dat de server of computer dus volledig open kan staan of meerdere aanvalshoeken mogelijk maakt voor ‘ellende’ van buiten af. Firewalling op de lokale machine voor IPv6 is veelal niet adequaat of op orde. De fysieke firewall voor de server of computer heeft dan wel een prachtige ruleset voor IPv6 maar de tunneling interfaces zijn nog “up&running” en daarmee potentieel een beveiligingslek.

Op Windows-based machines staat dit vaak als standaard ingeschakeld. Met de onderstaande commando’s via een command-prompt (wel met Administrator rechten) kunnen deze uitgeschakeld worden.

netsh interface ipv6 6to4 set state disabled
netsh interface teredo set state disabled
netsh interface isatap set state disabled

Voor oudere Windows XP computers is het volgende commando te gebruiken.

netsh interface ipv6 set teredo disabled