Zum Inhalt springen

Teredo

Aus Foxwiki
Die 5 zuletzt angesehenen Seiten:  hash » Penetrationstest/Recht » Notfallvorsorge » Linux/RAID/Aufgaben » Teredo

Teredo - IPv6/Tunnel-Technik von Microsoft

Beschreibung

So genial wie komplex
  • Kann NAT/PAT überwinden
  • Software in Windows enthalten
  • IPv4-Datagramme werden als Payload in IPv6-Paketen platziert
  • Stellt ein Interface mit einer IPv6-Adresse zur Verfügung
Öffentliche Server/Relays

Konfiguration des Tunnels und Datenverkehr abwickeln

  • Versenden regelmäßig sogenannte Bubbles
    • damit die Verbindung durch die zwischengelagerten NAT/PAT-Router nicht abläuft

Funktion

Komplexität von Teredo

Aus Sicht der IPv4-Endpunkte des Tunnels bildet IPv6 den Link-layer

  • Die Konfiguration der Endpunkte geschieht statisch
Teredo-Relay

Hat Teredo-Relay Daten für einen Teredo-Node

  • Informiert es den zuständigen Teredo-Server
  • Dessen IPv4-Adresse kann es der Teredo-Adresse des Nodes entnehmen
Teredo-Server

Teredo-Server informiert den Teredo Node über die bestehende Verbindung über anstehende Daten

  • Verbindung wird mit "Bubbles" aktiv gehalten
  • Teredo-Node baut von innen heraus eine Verbindung zum Teredo-Relay auf
Teredo-Relay

Teredo-Relay liefert darauhin die Daten aus Ein einfaches IPv6-Paket, adressiert an einen Teredo-Node, führt dazu, dass dieser die NAT/PAT-Router auf dem Weg zum Teredo-Relay von innen heraus aufbohrt

Teredo-Adresse

Bildung einer Teredo-Interfaces Adresse

Gefahren

Sicherheit von NAT

Es besteht die Gefahr, dass die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können

  • Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen IPv4-Paketfilter wirkungslos bleiben, da dieser die IPv6-Pakete im Teredo-Paket ignoriert
  • Es liegt seit 2007 eine Analyse durch Symantec vor, die diesen Sachverhalt bestätigt

Leistungsfähige Firewalls können allerdings auch den Datenverkehr in Tunnelprotokollen filtern

Die vermeintliche Sicherheit, die eine NAT/PAT-Installation unter IPv4 noch zu bieten schien, wird nicht zuletzt von Teredo ausgehebelt

  • Wenn sich Nodes mit Teredo in einem IPv4-Netz befinden, muss davon ausgegangen werden, dass IPv6-Pakete bis zum Node vordringen können
  • Auf natives IPv6 zu verzichten, kann also schlimmstenfalls zu weniger Sicherheit führen
Komplexität


Anhang

Dokumentation

RFC
RFC Titel Jahr Status
4380 Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs) 2006 Proposed Standard, Updated by: RFC 5991, RFC 6081, RFC 9601
5991 Teredo Security Updates 2010 Proposed Standard
6081 Teredo Extensions 2011 Proposed Standard
9601 Propagating Explicit Congestion Notification across IP Tunnel Headers Separated by a Shim 2024 Proposed Standard
Abgerufen von „https://wiki.foxtom.de/index.php?title=Teredo&oldid=145915