Teredo is toch niet meer dan een vertaal-service ipv4<->ipv6?

Zie Teredo als een soort tunnel je netwerk in. Net als bij een VPN tunnel kan je router / firewall niet zien wat er in de tunnel zit. Het kan dus allerlei soorten verkeer over elke willekeurige poort zijn. Doordat een Teredo tunnel ook vanaf de internet kant opgezet kan worden, wordt hiermee de standaard beveiliging die NAT biedt omzeilt. Of je kwetsbaar bent is afhankelijk van de configuratie van de systemen op je lokale netwerk. Het advies van FRITZ is verstandig. Blokkeer Teredo verbindingen tenzij je ze absoluut nodig hebt. In dat geval zou je eigenlijk een teredo gateway in je interne netwerk moeten plaatsen om daarna het verkeer te kunnen filteren.

Teredo zal niet actief gebruikt worden zolang er niet iemand het ingesteld heeft op de host zelf, en dan moet ook nog een keer dat filter op je fritz!box uitstaan. Het is dus niet een openstaand achterdeurtje.

Overigens kun je door het toevoegen van een restrict default noquery lijn in je ntpd.conf de referentie-ntpd zodanig dichttimmeren dat het ook ongepatch weer meekan. Verder is het netter om een (of meer, al naar gelang je netwerkgrootte) ntp server op je netwerk neer te zetten die dan de rest van het netwerk bedient, dan hoeven niet alle hosts op het netwerk met ntp servers elders te converseren. Een goede dhcp server staat je toe dit ook aan de hosts op je netwerk te vertellen.

SMB al dan niet via samba is een van de weinige dingen die ik filter "op de grens" tussen mijn netwerk en de rest van de wereld. Het protocol is gewoon niet geschikt voor buitenspelen. Als je zorgt dat jouw fritz!box IPv6 aanbiedt aan de rest van je netwerk* zullen hosts op dat netwerk die IPv6 willen niet naar dingen als teredo hoeven grijpen. Dat heeft dan weer als voordeel dat je dingen als samba ook voor IPv6 op de fritz!box kan blokkeren.


* Als jouw provider geen IPv6 biedt dan laat je de fritz!box een tunnel opzetten naar een tunnelbroker. Het lokale netwerk krijgt dan IPv6 via die tunnel op de fritz!box.

Dit begreep ik ook al uit een draadje op macrumors over ntpd:
http://forums.macrumors.com/showpost.php?p=20519925&postcount=169
Het feit dat Teredo firewalls kan omzeilen alarmeert mij. Vandaar ook de vergelijking in de titel van dit topic met Autorun.inf. Ook zoiets wat heel handig lijkt, maar kwa beveiliging heel verkeerd kan uitpakken.

@U-7, 03:43: IPv6 is bij mij automatisch aangezet door XS4All midden vorig jaar! Volgens mij heeft XS4All daar ook een blogpost over op hun site. Nieuwe klanten kregen IPv6 al standaard bij XS4All een tijdje daarvoor.

Niet dat teredo nou automatisch zo'n goed idee is, maar welbeschouwd is je browser veel meer die nieuwe autorun.inf, aangezien die software niet alleen html en css, maar ook stapels javascript binnenhaalt en die automatisch uitvoert. Voor je het weet zit er een exploit tussen, of zelfs een plugin met "native code" die "even" geinstalleerd wordt zelfs als dat een "weet je het wel zeker?"-popup oplevert, want de meeste mensen klikken popupjes blind weg*, sommigen blijven dat zelfs doen terwijl ze maar niet verder komen. Pas als ze hulp gaan halen en die andere partij zegt "wacht nou even, wat staat daar?" komt het bericht in de popup door. Mischien. Tegen die tijd zijn we veertig browse-by-exploits en twintig "helpful browser toolbars" verder en is de machine ondertussen onderdeel van tien botnets.

* Ook omdat redmondiaanse foutmeldingen uitblinken in nietszeggendheid, ook voor de technisch onderlegde gebruiker--er zijn andere systemen die dat toch echt beter doen. Maar ook omdat bv. de "digital natives" eigenlijk verrekte weinig hebben meegekregen van hun zogenaamde digitale inheemsheid. Kennelijk is expliciete training toch nodig. En de leraren weten ook vooral wat de PABO ze heeft meegegeven.

Daarom twee concrete voorbeelden:
1) Neem een Macbook met OSX Lion bij XS4All (dual stack) en het daar niet gepatchte lek in de NTP Service.
2) Neem een standaard installatie van Ubuntu zonder firewall en met SAMBA.

Op de FRITZ!Box staat alles inkomend uit in zowel IPv6 als IPv4 en ook UPnP is uitgeschakeld.

"ntp server op je netwerk"

De FrizBox kan als NTP server geconfigureerd worden. Alle computers in het netwerk kunnen dan het gateway-adres van de FritzBox als NTP-server instellen.

Teredo is een tunnelprotocol dat via IPv4 op het endpoint van de tunnel een IPv6 adres kan realiseren.

Dit is standaard actief op Windows en de tunnel komt uit bij Microsoft waar deze over gaat in een publiek IPv6 adres voor elke moderne Windows installatie. Het filter voorkomt dus dat Windows computers niet standaard een IPv6 (WAN, zover je daar bij IPv6 van mag spreken) adres krijgen.

Overigens, IPv6 is een serieus beveiligingsprobleem voor individuele clients, maar het TR-069 protocol dat op de FritzBox draait gaat nog veder en geeft toegang tot alle IPv4 apparaten binnen het LAN van de FritzBox. De FritzBox mist ook een configureerbare firewall als het om klassiek IPv4 en IPv6 gaat.

Dit apparaat is een digitale gatenkaas wachtende door de ratten aangevreten te worden. Snel bij het aval gooien is de enige manier om een rattenplaag te voorkomen.

Van dit Teredo verhaal snap ik vooralsnog weinig (heb me er ook nog niet verder in verdiept) maar als wat beweerd wordt waar is dat het standaard uit staat is dat een probleem wat je als gebruiker voor jezelf creëert wanneer je het activeert.

Wat ik wel snap :

a) Een Macbook met Mac OS X Lion is commercieel volstrekt oninteressant voor malware makers om aan te vallen.
Zeker via deze bewerkelijke weg.

Mocht je wel met een aanval te maken hebben dan kan je er 99,99% zeker van zijn dat je met de geweldig stoere terughack boys te maken hebt en wel meer andere redenen om je zorgen te maken.
Hoewel er steeds minder redenen tegen zijn om door de staat lastig gevallen te worden (als het zo doorgaat) heb je als je in deze hoek verkeert allang je maatregelen getroffen, of gebruik je simpelweg deze hardware en software combinatie niet.
Tot op zekere hoogte een non-issue dus.

b) Het NTP lek is handmatig te patchen.
Heb je daar interesse in, dan vind je wel uit hoe dat moet.
;)

c) Mac OS X biedt de mogelijkheid de synchronisatie uit te zetten alsmede een sync server te kiezen.
Geen hogere sophisticated maatregelen maar het kan uitmaken als je je zorgen maakt.
Kies je ervoor om de automatische NTP sync uit te zetten zorg er dan wel voor dat je regelmatig checkt of die klok goed loopt.
Belangrijk.

d) Mac OS X biedt de mogelijkheid om je inkomend verkeer te geminimaliseerd te blokkeren maar zal sommige services altijd doorlaten.
Welke dat allemaal precies zijn is me niet bekend, tijd dat er een Firewall oplossing komt waarbij je exact zowel de inbound als het outbound verkeer kan monitoren.

Die oplossing zal vermoedelijk niet van Apple zelf komen want die ziet graag dat bepaalde verbindingen open blijven...

e) Ipv6 verkeer zet je lekker uit. Hopelijk pikt je routermodempje dat ook.

f) Een meer geavanceerde outbound Firewall lijkt me binnen deze context ook van belang.
Want vervelende verkeer naar binnen is 1 ding, meestal moet er ook weer informatie naar buiten, als dat niet lukt heb je (zij het wat laat) alsnog een stok in de wielen van de aanvaller gestoken.

Dat zou geen oplossing zijn in het geval van cryptoware, die is er nog niet voor de Mac. En als die er komt gaan ze hem zeker niet voor een Mac OS X zitten schrijven dat al 4 versies achterloopt en nog maar een klein marktaandeel heeft in vergelijking met andere s X versies.

g) Om malware werkende te krijgen op je Mac zal men dan nog steeds alle beveiligingsmaatregelen van die Mac moeten omzeilen (waarvan je natuurlijk optimaal gebruik maakt omdat Apple je vrijwel niet meer helpt).
Meestal maakt men gebruik van lekken in 3rd party software, houd die up to date waar het kan en als dat niet kan is het verboden toegang internet-connectie (!).
Java staat niet op Lion en als je het erop hebt gezet houdt je het up to date of beter gooi je het eraf.

h) Hoewel ik nog wel door kan gaan laat ik het hier even bij...


'Conclusie' wat mij betreft en als dit de situatie is :

Ik ga ervan uit dat de topic starter nog een Mac heeft (had) die Lion draait (draaide).
De genoemde weg door " Gisteren, 22:19 door Anoniem " is dan wel mogelijk maar komt in de buurt van de theoretische aanval omdat de kans buitengewoon klein zal zijn dat iemand de moeite gaat nemen een MitM op te zetten op de time server van Apple om een of ander iemand met een Lion Macje te gaan lopen lastigvallen.
Dan ben je heel specifiek gemotiveerd en ben je uit op een heel ander soort 'winst'.

Dus, als het gebeurt ga er dan maar van uit dat je iemand of een dienst onwelgevallig bent (niet te kritisch zijn in het openbaar daarom en met iedereen vriendjes blijven ;) en men jou via een geavanceerde personal hack-attack het leven probeert zuur te maken.

Risico (voor normale nette meegaande burgers ;) : nagenoeg gelijk aan 0% !