Zum Inhalt springen

Teredo: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
 
(75 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''{{BASEPAGENAME}}''' - Tunneling von IPv4 in IPv6
'''{{BASEPAGENAME}}''' - [[IPv6/Tunnel]]-Technik von [[Microsoft]]


== Beschreibung ==
== Beschreibung ==
IPv4-Datagramme werden als Payload in IPv6-Paketen platziert
; So genial wie komplex
* Aus Sicht der IPv4-Endpunkte des Tunnels bildet IPv6 den Link-layer
* Kann [[NAT]]/[[PAT]] überwinden
* Software in Windows enthalten
* IPv4-Datagramme als Payload in IPv6-Paketen
* Stellt Interface mit IPv6-Adresse zur Verfügung
 
; Öffentliche Server/Relays
Konfiguration des Tunnels und Datenverkehr abwickeln
* Versenden regelmäßig sogenannte [[Bubbles]]
* damit die Verbindung durch die zwischengelagerten NAT/PAT-Router nicht abläuft
 
== Funktion ==
[[File:TeredoSzenario.png|mini|500px|Komplexität von Teredo]]
Aus Sicht der IPv4-Endpunkte des Tunnels bildet IPv6 den Link-layer
* Die Konfiguration der Endpunkte geschieht statisch
* Die Konfiguration der Endpunkte geschieht statisch


<noinclude>
; Teredo-Relay
Hat '''Teredo-Relay''' Daten für einen Teredo-Node
* Informiert es den zuständigen Teredo-Server
* Dessen IPv4-Adresse kann es der Teredo-Adresse des Nodes entnehmen


== Anhang ==
; Teredo-Server
=== Dokumentation ===
'''Teredo-Server''' informiert den Teredo Node über die bestehende Verbindung über anstehende Daten
===== RFC =====
* Verbindung wird mit "[[Bubbles]]" aktiv gehalten
{| class="wikitable big options col1center col3center"
* '''Teredo-Node''' baut von innen heraus eine Verbindung zum Teredo-Relay auf
|-
! RFC !! Titel !! Jahr !! Status
|-
| [https://www.rfc-editor.org/info/rfc2473 2473] || Generic Packet Tunneling in IPv6 Specification || 1998 || Proposed Standard
|}


=== Siehe auch ===
; Teredo-Relay
<div style="column-count:3">
'''Teredo-Relay''' liefert darauhin die Daten aus
<categorytree hideroot=on mode="pages">IPv6/Tunnel</categorytree>
Ein einfaches IPv6-Paket, adressiert an einen Teredo-Node, führt dazu, dass dieser die NAT/PAT-Router auf dem Weg zum Teredo-Relay von innen heraus aufbohrt
</div>
----
{{Special:PrefixIndex/{{BASEPAGENAME}}/}}


=== Links ===
== Teredo-Adresse ==
==== Weblinks ====
[[File:TeredoAdresse.png|700px|Bildung einer Teredo-Interfaces Adresse]]


[[Kategorie:IPv6/Tunnel]]
== Gefahren ==
; Sicherheit von NAT
Es besteht die Gefahr, dass die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können
* Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen IPv4-Paketfilter wirkungslos bleiben, da dieser die IPv6-Pakete im Teredo-Paket ignoriert
* Es liegt seit 2007 eine Analyse durch [[NortonLifeLock|Symantec]] vor, die diesen Sachverhalt bestätigt


</noinclude>
Leistungsfähige Firewalls können allerdings auch den Datenverkehr in Tunnelprotokollen filtern


= TMP =
Die vermeintliche Sicherheit, die eine NAT/PAT-Installation unter IPv4 noch zu bieten schien, wird nicht zuletzt von Teredo ausgehebelt
* Wenn sich Nodes mit Teredo in einem IPv4-Netz befinden, muss davon ausgegangen werden, dass IPv6-Pakete bis zum Node vordringen können
* Auf natives IPv6 zu verzichten, kann also schlimmstenfalls zu weniger Sicherheit führen


Teredo ist eine Entwicklung aus dem Hause Microsoft und ist
; Komplexität
Teredo so genial wie kompliziert.
* Es ist in der Lage, die verschiedensten Arten von NAT/PAT zu überwinden.
* Die Teredo-Software, in aktuellen Versionen von Windows bereits eingebaut, stellt ein Interface mit einer IPv6-Adresse zur Verfügung.
* Die Adresse eines Teredo-Interfaces wird nach dem in Abbildung 6.7
gezeigten Schema gebildet.
* Der Standard sieht vor, dass Teile der Adresse verschleiert werden, indem die Bits der entsprechenden Teile invertiert werden. Öffentliche Teredo-Server und Teredo-Relays im Internet erledigen die Konfiguration des Tunnels und wickeln den Datenverkehr ab.
* Gleichzeitig sorgen sie auch dafür, dass die Verbindung in zwischengelagerten NAT/PAT-Routern nicht abläuft, indem sie regelmäßig sogenannte Bubbles versenden.
* Die Komplexität von Teredo lässt sich bei Betrachtung des Szenarios in Abbildung 6.8 erahnen.
* Wenn ein Teredo-Relay Daten für einen Teredo-Node hat, informiert es den zuständigen Teredo-Server darüber, dessen IPv4-Adresse es der Teredo-Adresse des Nodes entnehmen kann.
* Der Teredo-Server informiert dann den Teredo Node über die bestehende, mit Bubbles aktiv gehaltene, Verbindung über anstehende Daten.
* Der Teredo-Node baut daraufhin von innen heraus eine Verbindung zum Teredo-Relay auf, welches auf dieser Verbindung dann die Daten ausliefert.
* Ein einfaches IPv6-Paket, adressiert an einen TeredoNode, führt dazu, dass dieser die NAT/PAT-Router auf dem Weg zum Teredo-Relay von innen heraus aufbohrt.1 Die vermeintliche Sicherheit, die eine NAT/PAT-Installation unter IPv4
noch zu bieten schien, wird nicht zuletzt von Teredo ausgehebelt.
* Wenn sich Nodes mit Teredo in einem IPv4-Netz befinden, muss davon ausgegangen werden, dass IPv6-Pakete bis zum Node vordringen können.
* Auf natives IPv6 zu verzichten, kann also schlimmstenfalls zu weniger Sicherheit führen.
Das Studium des Teredo-Standards, hinterlegt in RFC 4380
[Hui06], sei dem geneigten Leser empfohlen.


<noinclude>


== Anhang ==
* [[Windows/IPv6/Teredo]]


= TMP =
=== Dokumentation ===
== Weblinks ==
===== RFC =====
# [http://www.microsoft.com/germany/technet/datenbank/articles/600330.mspx Überblick zu Teredo.] [[Microsoft]] (deutsch).
{| class="wikitable big options col1center col3center"
# https://de.wikipedia.org/wiki/Teredo
|-
! RFC !! Titel !! Jahr !! Status
|-
| [https://www.rfc-editor.org/info/rfc4380 4380] || Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs) || 2006 || Proposed Standard, Updated by: RFC 5991, RFC 6081, RFC 9601
|-
| [https://www.rfc-editor.org/info/rfc5991 5991] || Teredo Security Updates || 2010 || Proposed Standard
|-
| [https://www.rfc-editor.org/info/rfc6081 6081] || Teredo Extensions || 2011 || Proposed Standard
|-
| [https://www.rfc-editor.org/info/rfc9601 9601] || Propagating Explicit Congestion Notification across IP Tunnel Headers Separated by a Shim || 2024 ||  Proposed Standard
|}


[[Kategorie:IPv6/Tunnel]]
[[Kategorie:IPv6/Tunnel]]

Aktuelle Version vom 23. Juli 2025, 11:53 Uhr

Teredo - IPv6/Tunnel-Technik von Microsoft

Beschreibung

So genial wie komplex
  • Kann NAT/PAT überwinden
  • Software in Windows enthalten
  • IPv4-Datagramme als Payload in IPv6-Paketen
  • Stellt Interface mit IPv6-Adresse zur Verfügung
Öffentliche Server/Relays

Konfiguration des Tunnels und Datenverkehr abwickeln

  • Versenden regelmäßig sogenannte Bubbles
  • damit die Verbindung durch die zwischengelagerten NAT/PAT-Router nicht abläuft

Funktion

Komplexität von Teredo

Aus Sicht der IPv4-Endpunkte des Tunnels bildet IPv6 den Link-layer

  • Die Konfiguration der Endpunkte geschieht statisch
Teredo-Relay

Hat Teredo-Relay Daten für einen Teredo-Node

  • Informiert es den zuständigen Teredo-Server
  • Dessen IPv4-Adresse kann es der Teredo-Adresse des Nodes entnehmen
Teredo-Server

Teredo-Server informiert den Teredo Node über die bestehende Verbindung über anstehende Daten

  • Verbindung wird mit "Bubbles" aktiv gehalten
  • Teredo-Node baut von innen heraus eine Verbindung zum Teredo-Relay auf
Teredo-Relay

Teredo-Relay liefert darauhin die Daten aus Ein einfaches IPv6-Paket, adressiert an einen Teredo-Node, führt dazu, dass dieser die NAT/PAT-Router auf dem Weg zum Teredo-Relay von innen heraus aufbohrt

Teredo-Adresse

Bildung einer Teredo-Interfaces Adresse

Gefahren

Sicherheit von NAT

Es besteht die Gefahr, dass die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können

  • Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen IPv4-Paketfilter wirkungslos bleiben, da dieser die IPv6-Pakete im Teredo-Paket ignoriert
  • Es liegt seit 2007 eine Analyse durch Symantec vor, die diesen Sachverhalt bestätigt

Leistungsfähige Firewalls können allerdings auch den Datenverkehr in Tunnelprotokollen filtern

Die vermeintliche Sicherheit, die eine NAT/PAT-Installation unter IPv4 noch zu bieten schien, wird nicht zuletzt von Teredo ausgehebelt

  • Wenn sich Nodes mit Teredo in einem IPv4-Netz befinden, muss davon ausgegangen werden, dass IPv6-Pakete bis zum Node vordringen können
  • Auf natives IPv6 zu verzichten, kann also schlimmstenfalls zu weniger Sicherheit führen
Komplexität


Anhang

Dokumentation

RFC
RFC Titel Jahr Status
4380 Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs) 2006 Proposed Standard, Updated by: RFC 5991, RFC 6081, RFC 9601
5991 Teredo Security Updates 2010 Proposed Standard
6081 Teredo Extensions 2011 Proposed Standard
9601 Propagating Explicit Congestion Notification across IP Tunnel Headers Separated by a Shim 2024 Proposed Standard
Abgerufen von „https://wiki.foxtom.de/index.php?title=Teredo&oldid=150259