* Dessen IPv4-Adresse kann es der Teredo-Adresse des Nodes entnehmen
----
{{Special:PrefixIndex/{{BASEPAGENAME}}/}}
=== Links ===
; Teredo-Server
==== Weblinks ====
'''Teredo-Server''' informiert den Teredo Node über die bestehende Verbindung über anstehende Daten
* Verbindung wird mit "[[Bubbles]]" aktiv gehalten
* '''Teredo-Node''' baut von innen heraus eine Verbindung zum Teredo-Relay auf
[[Kategorie:IPv6/Tunnel]]
; Teredo-Relay
'''Teredo-Relay''' liefert darauhin die Daten aus
Ein einfaches IPv6-Paket, adressiert an einen Teredo-Node, führt dazu, dass dieser die NAT/PAT-Router auf dem Weg zum Teredo-Relay von innen heraus aufbohrt
</noinclude>
== Teredo-Adresse ==
[[File:TeredoAdresse.png|700px|Bildung einer Teredo-Interfaces Adresse]]
= TMP =
Teredo ist eine Entwicklung aus dem Hause Microsoft und ist
Teredo so genial wie kompliziert.
* Es ist in der Lage, die verschiedensten Arten von NAT/PAT zu überwinden.
* Die Teredo-Software, in aktuellen Versionen von Windows bereits eingebaut, stellt ein Interface mit einer IPv6-Adresse zur Verfügung.
* Die Adresse eines Teredo-Interfaces wird nach dem in Abbildung 6.7
gezeigten Schema gebildet.
* Der Standard sieht vor, dass Teile der Adresse verschleiert werden, indem die Bits der entsprechenden Teile invertiert werden. Öffentliche Teredo-Server und Teredo-Relays im Internet erledigen die Konfiguration des Tunnels und wickeln den Datenverkehr ab.
* Gleichzeitig sorgen sie auch dafür, dass die Verbindung in zwischengelagerten NAT/PAT-Routern nicht abläuft, indem sie regelmäßig sogenannte Bubbles versenden.
* Die Komplexität von Teredo lässt sich bei Betrachtung des Szenarios in Abbildung 6.8 erahnen.
* Wenn ein Teredo-Relay Daten für einen Teredo-Node hat, informiert es den zuständigen Teredo-Server darüber, dessen IPv4-Adresse es der Teredo-Adresse des Nodes entnehmen kann.
* Der Teredo-Server informiert dann den Teredo Node über die bestehende, mit Bubbles aktiv gehaltene, Verbindung über anstehende Daten.
* Der Teredo-Node baut daraufhin von innen heraus eine Verbindung zum Teredo-Relay auf, welches auf dieser Verbindung dann die Daten ausliefert.
* Ein einfaches IPv6-Paket, adressiert an einen TeredoNode, führt dazu, dass dieser die NAT/PAT-Router auf dem Weg zum Teredo-Relay von innen heraus aufbohrt.1 Die vermeintliche Sicherheit, die eine NAT/PAT-Installation unter IPv4
noch zu bieten schien, wird nicht zuletzt von Teredo ausgehebelt.
* Wenn sich Nodes mit Teredo in einem IPv4-Netz befinden, muss davon ausgegangen werden, dass IPv6-Pakete bis zum Node vordringen können.
* Auf natives IPv6 zu verzichten, kann also schlimmstenfalls zu weniger Sicherheit führen.
Das Studium des Teredo-Standards, hinterlegt in RFC 4380
[Hui06], sei dem geneigten Leser empfohlen.
= TMP =
{{Begriffsklärungshinweis|Zum britischen U-Boot siehe [[Teredo (U-Boot)]].}}
{{IPv6-Übergangsmechanismen}}
'''Teredo''' ist ein sogenannter IPv6-Übergangsmechanismus. Dieses [[Kommunikationsprotokoll]] für den [[Datenverkehr]] mit dem [[Internet]] ist gemäß <nowiki>RFC 4380</nowiki> ''Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs)'' spezifiziert.<ref name="RFC4380" /> Implementierungen existieren insbesondere als Bestandteil von Microsoft Windows (Teredo) und für Unix-Systeme (Miredo).
Das Protokoll definiert eine Methode für den Zugriff auf das [[IPv6]]-[[Netzwerk]] hinter einem [[Network Address Translation|NAT]]-Gerät. Dabei werden IPv6-Pakete mit dem [[User Datagram Protocol|UDP]] über [[IPv4]] gekapselt. Dies geschieht mittels ''Teredo-Servern''.
== Zweck ==
Die Knappheit an IPv4-Adressen hat dazu geführt, dass viele Firmen sowie Privatnutzer mittels NAT mit mehreren Endgeräten unter Nutzung von nur einer öffentlichen [[IP-Adresse]] auf das Internet zugreifen. Das meistgenutzte Protokoll, um IPv6 direkt über IPv4 zu tunneln (Protokoll 41; siehe auch [[Tunnelbroker]]), erfordert, dass der Client eine öffentliche IP-Adresse hat (was aber nicht unbedingt nötig ist; gute Router kommen auch mit Protokoll 41 zurecht). Teredo macht es IPv4-Rechnern, die 6to4 nicht nutzen können, möglich, IPv6 über Tunnel zu nutzen.
== Gefahren ==
== Gefahren ==
Durch die Tunnelung des IPv6 besteht die Gefahr, dass insbesondere die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können. Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen IPv4-Paketfilter wirkungslos bleiben, da dieser die IPv6-Pakete im Teredo-Paket ignoriert. Es liegt seit 2007 eine Analyse durch [[NortonLifeLock|Symantec]] vor, die diesen Sachverhalt bestätigt.<ref>{{Internetquelle |autor=James Hoagland, Matt Conover, Tim Newsham, Ollie Whitehouse |url=http://www.symantec.com/avcenter/reference/Vista_Network_Attack_Surface_RTM.pdf |titel=Windows Vista Network Attack Surface Analysis |seiten=116 |datum=2007-03-20 |format=PDF; 2,3 MB |sprache=en |abruf=2010-11-09}}</ref><ref>{{Internetquelle |autor=Daniel Bachfeld |url=https://www.heise.de/security/meldung/Vistas-Netzwerkfunktionen-unter-die-Lupe-genommen-156421.html |titel=Vistas Netzwerkfunktionen unter die Lupe genommen |werk=[[heise online]] |datum=2007-03-14 |abruf=2010-11-09}}</ref>
; Sicherheit von NAT
Es besteht die Gefahr, dass die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können
* Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen IPv4-Paketfilter wirkungslos bleiben, da dieser die IPv6-Pakete im Teredo-Paket ignoriert
* Es liegt seit 2007 eine Analyse durch [[NortonLifeLock|Symantec]] vor, die diesen Sachverhalt bestätigt
Heutige Firewalls bieten jedoch auch die Option, IPv6-Datenverkehr in Tunnelprotokollen zu filtern.
Leistungsfähige Firewalls können allerdings auch den Datenverkehr in Tunnelprotokollen filtern
== Spezifikation ==
Die vermeintliche Sicherheit, die eine NAT/PAT-Installation unter IPv4 noch zu bieten schien, wird nicht zuletzt von Teredo ausgehebelt
Teredo ist in <nowiki>RFC 4380</nowiki> (Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs)) spezifiziert.<ref name="RFC4380" /> Es ist hauptsächlich die Arbeit von [[Christian Huitema]], einem Mitarbeiter von [[Microsoft]], der an IPv6 arbeitet.
* Wenn sich Nodes mit Teredo in einem IPv4-Netz befinden, muss davon ausgegangen werden, dass IPv6-Pakete bis zum Node vordringen können
Im September 2010 erschien die Aktualisierung <nowiki>RFC 5991</nowiki> (Teredo Security Updates)<ref>{{RFC-Internet |RFC=5991 |Titel=Teredo Security Updates |Datum=2010-09}}</ref> und im Januar 2011 <nowiki>RFC 6081</nowiki> (Teredo Extensions).<ref>{{RFC-Internet |RFC=6081 |Titel=Teredo Extensions |Datum=2011-01}}</ref>
* Auf natives IPv6 zu verzichten, kann also schlimmstenfalls zu weniger Sicherheit führen
== Implementierungen ==
; Komplexität
=== Microsoft Windows ===
* ein Teredo-Client ist bei [[Microsoft Windows XP]] und neuer eingeschlossen (erschien zuerst im Advanced Networking Pack im Service Pack 1) und standardmäßig aktiviert.<ref name="heise">{{Internetquelle |autor=Johannes Endres, Reiko Kaps
* Microsoft bietet für [[Microsoft Windows Server 2003]] einen Teredo-Server und -Relay im [[Betastadium]].
=== Xbox ===
<noinclude>
* Die [[Xbox One]] nutzt Teredo selbst in Netzen, in denen IPv6 zur Verfügung steht, um [[Portweiterleitung]]en zu vermeiden.<ref>{{Internetquelle |url=https://www.golem.de/news/teredo-protokoll-xbox-one-braucht-riskante-routerfunktion-fuer-onlinespiele-1312-103211.html |autor=Nico Ernst |titel=Xbox One braucht riskante Routerfunktion für Onlinespiele |werk=[[golem.de]] |datum=2013-12-06 |abruf=2024-07-30}}</ref>
=== Linux ===
== Anhang ==
* Miredo ist eine quelloffene Implementierung für [[Linux]] und BSDs.<ref name="heise"/>
* [[Windows/IPv6/Teredo]]
* NICI-Teredo<ref>{{SourceForge|nici-teredo}}</ref> besteht aus einem Teredo-Relay für den [[Linux (Kernel)|Linux-Kernel]] und einem Server für den [[Userspace]].
== Alternativen ==
Andere Mechanismen, mit denen sich IPv6-Pakete in IPv4 tunneln lassen, sind unter anderem
* [[6to4]],
* [[ISATAP]] und
* [[Tunnelbroker|Tunnel Broker]].
Ein Vergleich der Tunnelmechanismen findet sich unter [[IPv6#Tunnelmechanismen]].
== Literatur ==
* ''Teredo''. In: Joseph Davies: ''Understanding IPv6''. 2. Auflage. Microsoft Press, Redmond 2008, S. 317–354 (englisch).
== Weblinks ==
* [http://www.microsoft.com/germany/technet/datenbank/articles/600330.mspx Überblick zu Teredo.] [[Microsoft]] (deutsch).
# https://de.wikipedia.org/wiki/Teredo
=== Dokumentation ===
===== RFC =====
{| class="wikitable big options col1center col3center"
| [https://www.rfc-editor.org/info/rfc9601 9601] || Propagating Explicit Congestion Notification across IP Tunnel Headers Separated by a Shim || 2024 || Proposed Standard
Teredo-Node baut von innen heraus eine Verbindung zum Teredo-Relay auf
Teredo-Relay
Teredo-Relay liefert darauhin die Daten aus
Ein einfaches IPv6-Paket, adressiert an einen Teredo-Node, führt dazu, dass dieser die NAT/PAT-Router auf dem Weg zum Teredo-Relay von innen heraus aufbohrt
Teredo-Adresse
Gefahren
Sicherheit von NAT
Es besteht die Gefahr, dass die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können
Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen IPv4-Paketfilter wirkungslos bleiben, da dieser die IPv6-Pakete im Teredo-Paket ignoriert
Es liegt seit 2007 eine Analyse durch Symantec vor, die diesen Sachverhalt bestätigt
Leistungsfähige Firewalls können allerdings auch den Datenverkehr in Tunnelprotokollen filtern
Die vermeintliche Sicherheit, die eine NAT/PAT-Installation unter IPv4 noch zu bieten schien, wird nicht zuletzt von Teredo ausgehebelt
Wenn sich Nodes mit Teredo in einem IPv4-Netz befinden, muss davon ausgegangen werden, dass IPv6-Pakete bis zum Node vordringen können
Auf natives IPv6 zu verzichten, kann also schlimmstenfalls zu weniger Sicherheit führen
