Teredo: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „Kategorie:IPv6/Migration“ |
|||
| (81 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
[[Kategorie:IPv6/ | '''{{BASEPAGENAME}}''' - [[IPv6/Tunnel]]-Technik von [[Microsoft]] | ||
== Beschreibung == | |||
; So genial wie komplex | |||
* Kann [[NAT]]/[[PAT]] überwinden | |||
* Software in Windows enthalten | |||
* IPv4-Datagramme als Payload in IPv6-Paketen | |||
* Stellt Interface mit IPv6-Adresse zur Verfügung | |||
; Öffentliche Server/Relays | |||
Konfiguration des Tunnels und Datenverkehr abwickeln | |||
* Versenden regelmäßig sogenannte [[Bubbles]] | |||
* damit die Verbindung durch die zwischengelagerten NAT/PAT-Router nicht abläuft | |||
== Funktion == | |||
[[File:TeredoSzenario.png|mini|500px|Komplexität von Teredo]] | |||
Aus Sicht der IPv4-Endpunkte des Tunnels bildet IPv6 den Link-layer | |||
* Die Konfiguration der Endpunkte geschieht statisch | |||
; Teredo-Relay | |||
Hat '''Teredo-Relay''' Daten für einen Teredo-Node | |||
* Informiert es den zuständigen Teredo-Server | |||
* Dessen IPv4-Adresse kann es der Teredo-Adresse des Nodes entnehmen | |||
; Teredo-Server | |||
'''Teredo-Server''' informiert den Teredo Node über die bestehende Verbindung über anstehende Daten | |||
* Verbindung wird mit "[[Bubbles]]" aktiv gehalten | |||
* '''Teredo-Node''' baut von innen heraus eine Verbindung zum Teredo-Relay auf | |||
; Teredo-Relay | |||
'''Teredo-Relay''' liefert darauhin die Daten aus | |||
Ein einfaches IPv6-Paket, adressiert an einen Teredo-Node, führt dazu, dass dieser die NAT/PAT-Router auf dem Weg zum Teredo-Relay von innen heraus aufbohrt | |||
== Teredo-Adresse == | |||
[[File:TeredoAdresse.png|700px|Bildung einer Teredo-Interfaces Adresse]] | |||
== Gefahren == | |||
; Sicherheit von NAT | |||
Es besteht die Gefahr, dass die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können | |||
* Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen IPv4-Paketfilter wirkungslos bleiben, da dieser die IPv6-Pakete im Teredo-Paket ignoriert | |||
* Es liegt seit 2007 eine Analyse durch [[NortonLifeLock|Symantec]] vor, die diesen Sachverhalt bestätigt | |||
Leistungsfähige Firewalls können allerdings auch den Datenverkehr in Tunnelprotokollen filtern | |||
Die vermeintliche Sicherheit, die eine NAT/PAT-Installation unter IPv4 noch zu bieten schien, wird nicht zuletzt von Teredo ausgehebelt | |||
* Wenn sich Nodes mit Teredo in einem IPv4-Netz befinden, muss davon ausgegangen werden, dass IPv6-Pakete bis zum Node vordringen können | |||
* Auf natives IPv6 zu verzichten, kann also schlimmstenfalls zu weniger Sicherheit führen | |||
; Komplexität | |||
<noinclude> | |||
== Anhang == | |||
* [[Windows/IPv6/Teredo]] | |||
=== Dokumentation === | |||
===== RFC ===== | |||
{| class="wikitable big options col1center col3center" | |||
|- | |||
! RFC !! Titel !! Jahr !! Status | |||
|- | |||
| [https://www.rfc-editor.org/info/rfc4380 4380] || Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs) || 2006 || Proposed Standard, Updated by: RFC 5991, RFC 6081, RFC 9601 | |||
|- | |||
| [https://www.rfc-editor.org/info/rfc5991 5991] || Teredo Security Updates || 2010 || Proposed Standard | |||
|- | |||
| [https://www.rfc-editor.org/info/rfc6081 6081] || Teredo Extensions || 2011 || Proposed Standard | |||
|- | |||
| [https://www.rfc-editor.org/info/rfc9601 9601] || Propagating Explicit Congestion Notification across IP Tunnel Headers Separated by a Shim || 2024 || Proposed Standard | |||
|} | |||
[[Kategorie:IPv6/Tunnel]] | |||
Aktuelle Version vom 23. Juli 2025, 11:53 Uhr
Teredo - IPv6/Tunnel-Technik von Microsoft
Beschreibung
- So genial wie komplex
- Kann NAT/PAT überwinden
- Software in Windows enthalten
- IPv4-Datagramme als Payload in IPv6-Paketen
- Stellt Interface mit IPv6-Adresse zur Verfügung
- Öffentliche Server/Relays
Konfiguration des Tunnels und Datenverkehr abwickeln
- Versenden regelmäßig sogenannte Bubbles
- damit die Verbindung durch die zwischengelagerten NAT/PAT-Router nicht abläuft
Funktion
Aus Sicht der IPv4-Endpunkte des Tunnels bildet IPv6 den Link-layer
- Die Konfiguration der Endpunkte geschieht statisch
- Teredo-Relay
Hat Teredo-Relay Daten für einen Teredo-Node
- Informiert es den zuständigen Teredo-Server
- Dessen IPv4-Adresse kann es der Teredo-Adresse des Nodes entnehmen
- Teredo-Server
Teredo-Server informiert den Teredo Node über die bestehende Verbindung über anstehende Daten
- Verbindung wird mit "Bubbles" aktiv gehalten
- Teredo-Node baut von innen heraus eine Verbindung zum Teredo-Relay auf
- Teredo-Relay
Teredo-Relay liefert darauhin die Daten aus Ein einfaches IPv6-Paket, adressiert an einen Teredo-Node, führt dazu, dass dieser die NAT/PAT-Router auf dem Weg zum Teredo-Relay von innen heraus aufbohrt
Teredo-Adresse
Gefahren
- Sicherheit von NAT
Es besteht die Gefahr, dass die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können
- Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen IPv4-Paketfilter wirkungslos bleiben, da dieser die IPv6-Pakete im Teredo-Paket ignoriert
- Es liegt seit 2007 eine Analyse durch Symantec vor, die diesen Sachverhalt bestätigt
Leistungsfähige Firewalls können allerdings auch den Datenverkehr in Tunnelprotokollen filtern
Die vermeintliche Sicherheit, die eine NAT/PAT-Installation unter IPv4 noch zu bieten schien, wird nicht zuletzt von Teredo ausgehebelt
- Wenn sich Nodes mit Teredo in einem IPv4-Netz befinden, muss davon ausgegangen werden, dass IPv6-Pakete bis zum Node vordringen können
- Auf natives IPv6 zu verzichten, kann also schlimmstenfalls zu weniger Sicherheit führen
- Komplexität
Anhang
Dokumentation
RFC
| RFC | Titel | Jahr | Status |
|---|---|---|---|
| 4380 | Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs) | 2006 | Proposed Standard, Updated by: RFC 5991, RFC 6081, RFC 9601 |
| 5991 | Teredo Security Updates | 2010 | Proposed Standard |
| 6081 | Teredo Extensions | 2011 | Proposed Standard |
| 9601 | Propagating Explicit Congestion Notification across IP Tunnel Headers Separated by a Shim | 2024 | Proposed Standard |