IPV6_PROTECTION_LEVEL
A IPV6_PROTECTION_LEVEL szoftvercsatorna-beállítás lehetővé teszi a fejlesztők számára, hogy hozzáférési korlátozásokat helyezzenek el az IPv6-szoftvercsatornákon. Az ilyen korlátozások lehetővé teszik, hogy egy magánhálózati hálózaton futó alkalmazás egyszerűen és erőteljesen megerősítse magát a külső támadásokkal szemben. A IPV6_PROTECTION_LEVEL szoftvercsatorna-beállítás kibővíti vagy szűkíti a figyelési szoftvercsatornák hatókörét, lehetővé téve a nyilvános és a magánfelhasználók számára a korlátlan hozzáférést, ha szükséges, vagy csak ugyanahhoz a webhelyhez való hozzáférést korlátozza.
IPV6_PROTECTION_LEVEL jelenleg három meghatározott védelmi szinttel rendelkezik.
| Védelmi szint | Leírás |
|---|---|
|
PROTECTION_LEVEL_UNRESTRICTED |
Az interneten keresztüli működésre tervezett alkalmazások használják, beleértve a Windowsba beépített IPv6 NAT-bejárási képességeket használó alkalmazásokat is (például Teredo). Ezek az alkalmazások megkerülhetik az IPv4-tűzfalakat, ezért az alkalmazásokat meg kell edzeni a megnyitott portra irányuló internetes támadásokkal szemben. |
|
PROTECTION_LEVEL_EDGERESTRICTED |
Az interneten keresztüli üzemeltetésre tervezett alkalmazások használják. Ez a beállítás nem engedélyezi a NAT-bejárást a Windows Teredo implementációval. Ezek az alkalmazások megkerülhetik az IPv4-tűzfalakat, ezért az alkalmazásokat meg kell edzeni a megnyitott portra irányuló internetes támadásokkal szemben. |
|
PROTECTION_LEVEL_RESTRICTED |
Olyan intranetes alkalmazások használják, amelyek nem implementálnak internetes forgatókönyveket. Ezeket az alkalmazásokat általában nem tesztelik, és nem edzettek az internetes támadások ellen. Ezzel a beállítással a fogadott forgalom csak hivatkozási helyire lesz korlátozva. |
Az alábbi példakód az egyes értékek definiált értékeit tartalmazza:
#define PROTECTION_LEVEL_UNRESTRICTED 10 /* for peer-to-peer apps */
#define PROTECTION_LEVEL_EDGERESTRICTED 20 /* Same as unrestricted, except for Teredo */
#define PROTECTION_LEVEL_RESTRICTED 30 /* for Intranet apps */
Ezek az értékek kölcsönösen kizárják egymást, és nem kombinálhatók egyetlen setsockopt függvényhívásban. A szoftvercsatorna-beállítás egyéb értékei fenntartottak. Ezek a védelmi szintek csak a bejövő kapcsolatokra vonatkoznak. Ennek a szoftvercsatorna-beállításnak a beállítása nincs hatással a kimenő csomagokra vagy kapcsolatokra.
Windows 7 és Windows Server 2008 R2 rendszeren a IPV6_PROTECTION_LEVEL alapértelmezett értéke nincs meghatározva, és PROTECTION_LEVEL_DEFAULT -1 értékre van definiálva, amely a IPV6_PROTECTION_LEVEL érvénytelen értéke.
Windows Vista és Windows Server 2008 rendszeren a IPV6_PROTECTION_LEVEL alapértelmezett értéke PROTECTION_LEVEL_UNRESTRICTED, a PROTECTION_LEVEL_DEFAULT pedig -1 értékre van definiálva, amely a IPV6_PROTECTION_LEVEL érvénytelen értéke.
Windows Server 2003 és Windows XP rendszeren a IPV6_PROTECTION_LEVEL alapértelmezett értéke PROTECTION_LEVEL_EDGERESTRICTED, PROTECTION_LEVEL_DEFAULT pedig PROTECTION_LEVEL_EDGERESTRICTED.
Jegyzet
A IPV6_PROTECTION_LEVEL szoftvercsatorna beállítását be kell állítani a foglalat kötése előtt. Ellenkező esetben a kötési és setsockopt hívások között fogadott csomagok megfelelnek a PROTECTION_LEVEL_EDGERESTRICTED, és az alkalmazáshoz is kézbesíthetők.
Az alábbi táblázat az egyes védelmi szintek figyelési szoftvercsatornákra való alkalmazásának hatását ismerteti.
Védelmi szint
Bejövő forgalom engedélyezett
Ugyanaz a webhely
Külső
NAT-bejárás (Teredo)
PROTECTION_LEVEL_RESTRICTED
Igen
Nem
Nem
PROTECTION_LEVEL_EDGERESTRICTED
Igen
Igen
Nem
PROTECTION_LEVEL_UNRESTRICTED
Igen
Igen
Igen
A fenti táblázatban a Ugyanaz a hely oszlop a következők kombinációja:
- Helyi címek csatolása
- Hely helyi címei
- Olyan globális címek, amelyekről ismert, hogy ugyanahhoz a helyhez tartoznak (a hely előtagtáblájának megfelelő)
Windows 7 és Windows Server 2008 R2 rendszeren a IPV6_PROTECTION_LEVEL alapértelmezett értéke nincs meghatározva. Ha nincs edge-traversal aware tűzfalszoftver telepítve a helyi számítógépen (Windows tűzfal le van tiltva, vagy más tűzfal van telepítve, amely figyelmen kívül hagyja a Teredo forgalmat), akkor csak akkor kapja meg a Teredo forgalmat, ha a IPV6_PROTECTION_LEVEL szoftvercsatornát PROTECTION_LEVEL_UNRESTRICTEDértékre állítja. A Windows tűzfal vagy bármely peremhálózati tűzfalszabályzat azonban figyelmen kívül hagyhatja ezt a beállítást a tűzfal házirendbeállításai alapján. Ha ezt a szoftvercsatorna-beállítást PROTECTION_LEVEL_UNRESTRICTEDértékre állítja, az alkalmazás explicit szándékát közli, hogy a helyi gépen telepített gazdagép tűzfala fogadja a peremhálózaton áthaladó forgalmat. Ha tehát egy peremhálózati bejárást jelző gazdagép tűzfal van telepítve, akkor a csomag elfogadásáról végső döntés lesz. Alapértelmezés szerint szoftvercsatorna-beállításkészlet nélkül:
- o Ha a Windows tűzfal engedélyezve van (vagy egy másik peremhálózati gazda tűzfal van telepítve) a helyi számítógépen, a rendszer minden szükségest betart. A tipikus peremhálózati bejárási gazda tűzfal alapértelmezés szerint blokkolja a Teredo-forgalmat. Ezért az alkalmazások úgy fogják megfigyelni az alapértelmezett értéket, mintha PROTECTION_LEVEL_EDGERESTRICTEDvolna.
- o Ha a Windows tűzfal nincs engedélyezve, és nincs más peremhálózati gazda tűzfal telepítve a helyi rendszeren, az alapértelmezett PROTECTION_LEVEL_EDGERESTRICTEDlesz.
Windows Vista és Windows Server 2008 rendszeren a IPV6_PROTECTION_LEVEL alapértelmezett értéke PROTECTION_LEVEL_UNRESTRICTED. A tényleges érték azonban attól függ, hogy a Windows tűzfal engedélyezve van-e. A Windows tűzfal peremhálózati bejárási (Teredo aware) tulajdonságú, függetlenül attól, hogy milyen érték van beállítva a IPV6_PROTECTION_LEVEL, és figyelmen kívül hagyja, ha IPV6_PROTECTION_LEVEL PROTECTION_LEVEL_UNRESTRICTED. A tényleges érték tehát a tűzfalszabályzattól függ. Ha a Windows tűzfal le van tiltva, és nincs más peremhálózati bejárást észlelő tűzfal a helyi számítógépen, a IPV6_PROTECTION_LEVEL alapértelmezett értéke PROTECTION_LEVEL_UNRESTRICTED.
Windows Server 2003 és Windows XP rendszeren a IPV6_PROTECTION_LEVEL alapértelmezett értéke PROTECTION_LEVEL_EDGERESTRICTED. Ha nem állította be a IPV6_PROTECTION_LEVEL szoftvercsatornát PROTECTION_LEVEL_UNRESTRICTEDértékre, akkor nem fog Teredo-forgalmat kapni.
A IPV6_PROTECTION_LEVEL függően előfordulhat, hogy az internetről kéretlen forgalmat igénylő alkalmazások nem képesek kéretlen forgalmat fogadni. Ezek a követelmények azonban nem szükségesek a windowsos Teredo-felületen keresztüli forgalom fogadásához. A Teredo-val való interakcióval kapcsolatos további részletekért lásd: Megszólított forgalom fogadása Teredo.
Ha a bejövő csomagokat vagy kapcsolatokat a beállított védelmi szint miatt elutasítják, a rendszer úgy kezeli az elutasítást, mintha egyetlen alkalmazás sem figyelt volna az adott szoftvercsatornára.
Jegyzet
A IPV6_PROTECTION_LEVEL szoftvercsatorna-beállítás nem feltétlenül vezet be hozzáférési korlátozásokat az IPv6-szoftvercsatornákra, és nem korlátozza a NAT-bejárást a Windows Teredo-n kívül más módszerrel, vagy akár a Teredo egy másik, másik gyártó általi implementálásával.
Kapcsolódó témakörök