Zum Inhalt springen

Teredo: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
 
(77 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''{{BASEPAGENAME}}''' - [[IPv6/Tunnel]]-Technik von [[Microsoft]]


== Beschreibung ==
; So genial wie komplex
* Kann [[NAT]]/[[PAT]] überwinden
* Software in Windows enthalten
* IPv4-Datagramme als Payload in IPv6-Paketen
* Stellt Interface mit IPv6-Adresse zur Verfügung


= TMP =
; Öffentliche Server/Relays
{{Begriffsklärungshinweis|Zum britischen U-Boot siehe [[Teredo (U-Boot)]].}}
Konfiguration des Tunnels und Datenverkehr abwickeln
{{IPv6-Übergangsmechanismen}}
* Versenden regelmäßig sogenannte [[Bubbles]]
'''Teredo''' ist ein sogenannter IPv6-Übergangsmechanismus. Dieses [[Kommunikationsprotokoll]] für den [[Datenverkehr]] mit dem [[Internet]] ist gemäß <nowiki>RFC&nbsp;4380</nowiki> ''Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs)'' spezifiziert.<ref name="RFC4380" /> Implementierungen existieren insbesondere als Bestandteil von Microsoft Windows (Teredo) und für Unix-Systeme (Miredo).
* damit die Verbindung durch die zwischengelagerten NAT/PAT-Router nicht abläuft


Das Protokoll definiert eine Methode für den Zugriff auf das [[IPv6]]-[[Netzwerk]] hinter einem [[Network Address Translation|NAT]]-Gerät. Dabei werden IPv6-Pakete mit dem [[User Datagram Protocol|UDP]] über [[IPv4]] gekapselt. Dies geschieht mittels ''Teredo-Servern''.
== Funktion ==
[[File:TeredoSzenario.png|mini|500px|Komplexität von Teredo]]
Aus Sicht der IPv4-Endpunkte des Tunnels bildet IPv6 den Link-layer
* Die Konfiguration der Endpunkte geschieht statisch


== Zweck ==
; Teredo-Relay
Die Knappheit an IPv4-Adressen hat dazu geführt, dass viele Firmen sowie Privatnutzer mittels NAT mit mehreren Endgeräten unter Nutzung von nur einer öffentlichen [[IP-Adresse]] auf das Internet zugreifen. Das meistgenutzte Protokoll, um IPv6 direkt über IPv4 zu tunneln (Protokoll 41; siehe auch [[Tunnelbroker]]), erfordert, dass der Client eine öffentliche IP-Adresse hat (was aber nicht unbedingt nötig ist; gute Router kommen auch mit Protokoll 41 zurecht). Teredo macht es IPv4-Rechnern, die 6to4 nicht nutzen können, möglich, IPv6 über Tunnel zu nutzen.
Hat '''Teredo-Relay''' Daten für einen Teredo-Node
* Informiert es den zuständigen Teredo-Server
* Dessen IPv4-Adresse kann es der Teredo-Adresse des Nodes entnehmen


== Gefahren ==
; Teredo-Server
Durch die Tunnelung des IPv6 besteht die Gefahr, dass insbesondere die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können. Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen IPv4-Paketfilter wirkungslos bleiben, da dieser die IPv6-Pakete im Teredo-Paket ignoriert. Es liegt seit 2007 eine Analyse durch [[NortonLifeLock|Symantec]] vor, die diesen Sachverhalt bestätigt.<ref>{{Internetquelle |autor=James Hoagland, Matt Conover, Tim Newsham, Ollie Whitehouse |url=http://www.symantec.com/avcenter/reference/Vista_Network_Attack_Surface_RTM.pdf |titel=Windows Vista Network Attack Surface Analysis |seiten=116 |datum=2007-03-20 |format=PDF; 2,3&nbsp;MB |sprache=en |abruf=2010-11-09}}</ref><ref>{{Internetquelle |autor=Daniel Bachfeld |url=https://www.heise.de/security/meldung/Vistas-Netzwerkfunktionen-unter-die-Lupe-genommen-156421.html |titel=Vistas Netzwerkfunktionen unter die Lupe genommen |werk=[[heise online]] |datum=2007-03-14 |abruf=2010-11-09}}</ref>
'''Teredo-Server''' informiert den Teredo Node über die bestehende Verbindung über anstehende Daten
* Verbindung wird mit "[[Bubbles]]" aktiv gehalten
* '''Teredo-Node''' baut von innen heraus eine Verbindung zum Teredo-Relay auf


Heutige Firewalls bieten jedoch auch die Option, IPv6-Datenverkehr in Tunnelprotokollen zu filtern.
; Teredo-Relay
'''Teredo-Relay''' liefert darauhin die Daten aus
Ein einfaches IPv6-Paket, adressiert an einen Teredo-Node, führt dazu, dass dieser die NAT/PAT-Router auf dem Weg zum Teredo-Relay von innen heraus aufbohrt


== Spezifikation ==
== Teredo-Adresse ==
Teredo ist in <nowiki>RFC&nbsp;4380</nowiki> (Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs)) spezifiziert.<ref name="RFC4380" />  Es ist hauptsächlich die Arbeit von [[Christian Huitema]], einem Mitarbeiter von [[Microsoft]], der an IPv6 arbeitet.
[[File:TeredoAdresse.png|700px|Bildung einer Teredo-Interfaces Adresse]]
Im September 2010 erschien die Aktualisierung <nowiki>RFC&nbsp;5991</nowiki> (Teredo Security Updates)<ref>{{RFC-Internet |RFC=5991 |Titel=Teredo Security Updates |Datum=2010-09}}</ref> und im Januar 2011 <nowiki>RFC&nbsp;6081</nowiki> (Teredo Extensions).<ref>{{RFC-Internet |RFC=6081 |Titel=Teredo Extensions |Datum=2011-01}}</ref>


== Implementierungen ==
== Gefahren ==
=== Microsoft Windows ===
; Sicherheit von NAT
* ein Teredo-Client ist bei [[Microsoft Windows XP]] und neuer eingeschlossen (erschien zuerst im Advanced Networking Pack im Service Pack 1) und standardmäßig aktiviert.<ref name="heise">{{Internetquelle |autor=Johannes Endres, Reiko Kaps
Es besteht die Gefahr, dass die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können
|url=https://www.heise.de/ratgeber/Teredo-bohrt-IPv6-Tunnel-durch-Firewalls-221537.html |titel=Teredo bohrt IPv6-Tunnel durch Firewalls |werk=[[c't Magazin]] |datum=2009-03-30 |sprache=de |abruf=2024-07-30}}</ref>
* Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen IPv4-Paketfilter wirkungslos bleiben, da dieser die IPv6-Pakete im Teredo-Paket ignoriert
* Microsoft bietet für [[Microsoft Windows Server 2003]] einen Teredo-Server und -Relay im [[Betastadium]].
* Es liegt seit 2007 eine Analyse durch [[NortonLifeLock|Symantec]] vor, die diesen Sachverhalt bestätigt
 
=== Xbox ===
* Die [[Xbox One]] nutzt Teredo selbst in Netzen, in denen IPv6 zur Verfügung steht, um [[Portweiterleitung]]en zu vermeiden.<ref>{{Internetquelle |url=https://www.golem.de/news/teredo-protokoll-xbox-one-braucht-riskante-routerfunktion-fuer-onlinespiele-1312-103211.html |autor=Nico Ernst |titel=Xbox One braucht riskante Routerfunktion für Onlinespiele |werk=[[golem.de]] |datum=2013-12-06 |abruf=2024-07-30}}</ref>
 
=== Linux ===
* Miredo ist eine quelloffene Implementierung für [[Linux]] und BSDs.<ref name="heise"/>
* NICI-Teredo<ref>{{SourceForge|nici-teredo}}</ref> besteht aus einem Teredo-Relay für den [[Linux (Kernel)|Linux-Kernel]] und einem Server für den [[Userspace]].
 
== Alternativen ==
Andere Mechanismen, mit denen sich IPv6-Pakete in IPv4 tunneln lassen, sind unter anderem
* [[6to4]],
* [[ISATAP]] und
* [[Tunnelbroker|Tunnel Broker]].
 
Ein Vergleich der Tunnelmechanismen findet sich unter [[IPv6#Tunnelmechanismen]].


== Literatur ==
Leistungsfähige Firewalls können allerdings auch den Datenverkehr in Tunnelprotokollen filtern
* ''Teredo''. In: Joseph Davies: ''Understanding IPv6''. 2. Auflage. Microsoft Press, Redmond 2008, S. 317–354 (englisch).


== Weblinks ==
Die vermeintliche Sicherheit, die eine NAT/PAT-Installation unter IPv4 noch zu bieten schien, wird nicht zuletzt von Teredo ausgehebelt
* [http://www.microsoft.com/germany/technet/datenbank/articles/600330.mspx Überblick zu Teredo.] [[Microsoft]] (deutsch).
* Wenn sich Nodes mit Teredo in einem IPv4-Netz befinden, muss davon ausgegangen werden, dass IPv6-Pakete bis zum Node vordringen können
* Auf natives IPv6 zu verzichten, kann also schlimmstenfalls zu weniger Sicherheit führen


; Komplexität


<noinclude>


# https://de.wikipedia.org/wiki/Teredo
== Anhang ==
* [[Windows/IPv6/Teredo]]


=== Dokumentation ===
===== RFC =====
{| class="wikitable big options col1center col3center"
|-
! RFC !! Titel !! Jahr !! Status
|-
| [https://www.rfc-editor.org/info/rfc4380 4380] || Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs) || 2006 || Proposed Standard, Updated by: RFC 5991, RFC 6081, RFC 9601
|-
| [https://www.rfc-editor.org/info/rfc5991 5991] || Teredo Security Updates || 2010 || Proposed Standard
|-
| [https://www.rfc-editor.org/info/rfc6081 6081] || Teredo Extensions || 2011 || Proposed Standard
|-
| [https://www.rfc-editor.org/info/rfc9601 9601] || Propagating Explicit Congestion Notification across IP Tunnel Headers Separated by a Shim || 2024 ||  Proposed Standard
|}


[[Kategorie:IPv6/Tunnel]]
[[Kategorie:IPv6/Tunnel]]

Aktuelle Version vom 23. Juli 2025, 11:53 Uhr

Teredo - IPv6/Tunnel-Technik von Microsoft

Beschreibung

So genial wie komplex
  • Kann NAT/PAT überwinden
  • Software in Windows enthalten
  • IPv4-Datagramme als Payload in IPv6-Paketen
  • Stellt Interface mit IPv6-Adresse zur Verfügung
Öffentliche Server/Relays

Konfiguration des Tunnels und Datenverkehr abwickeln

  • Versenden regelmäßig sogenannte Bubbles
  • damit die Verbindung durch die zwischengelagerten NAT/PAT-Router nicht abläuft

Funktion

Komplexität von Teredo

Aus Sicht der IPv4-Endpunkte des Tunnels bildet IPv6 den Link-layer

  • Die Konfiguration der Endpunkte geschieht statisch
Teredo-Relay

Hat Teredo-Relay Daten für einen Teredo-Node

  • Informiert es den zuständigen Teredo-Server
  • Dessen IPv4-Adresse kann es der Teredo-Adresse des Nodes entnehmen
Teredo-Server

Teredo-Server informiert den Teredo Node über die bestehende Verbindung über anstehende Daten

  • Verbindung wird mit "Bubbles" aktiv gehalten
  • Teredo-Node baut von innen heraus eine Verbindung zum Teredo-Relay auf
Teredo-Relay

Teredo-Relay liefert darauhin die Daten aus Ein einfaches IPv6-Paket, adressiert an einen Teredo-Node, führt dazu, dass dieser die NAT/PAT-Router auf dem Weg zum Teredo-Relay von innen heraus aufbohrt

Teredo-Adresse

Bildung einer Teredo-Interfaces Adresse

Gefahren

Sicherheit von NAT

Es besteht die Gefahr, dass die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können

  • Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen IPv4-Paketfilter wirkungslos bleiben, da dieser die IPv6-Pakete im Teredo-Paket ignoriert
  • Es liegt seit 2007 eine Analyse durch Symantec vor, die diesen Sachverhalt bestätigt

Leistungsfähige Firewalls können allerdings auch den Datenverkehr in Tunnelprotokollen filtern

Die vermeintliche Sicherheit, die eine NAT/PAT-Installation unter IPv4 noch zu bieten schien, wird nicht zuletzt von Teredo ausgehebelt

  • Wenn sich Nodes mit Teredo in einem IPv4-Netz befinden, muss davon ausgegangen werden, dass IPv6-Pakete bis zum Node vordringen können
  • Auf natives IPv6 zu verzichten, kann also schlimmstenfalls zu weniger Sicherheit führen
Komplexität


Anhang

Dokumentation

RFC
RFC Titel Jahr Status
4380 Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs) 2006 Proposed Standard, Updated by: RFC 5991, RFC 6081, RFC 9601
5991 Teredo Security Updates 2010 Proposed Standard
6081 Teredo Extensions 2011 Proposed Standard
9601 Propagating Explicit Congestion Notification across IP Tunnel Headers Separated by a Shim 2024 Proposed Standard
Abgerufen von „https://wiki.foxtom.de/index.php?title=Teredo&oldid=150259