|
|
| Zeile 56: |
Zeile 56: |
|
| |
|
| = TMP = | | = TMP = |
| {{Begriffsklärungshinweis|Zum britischen U-Boot siehe [[Teredo (U-Boot)]].}}
| |
| {{IPv6-Übergangsmechanismen}}
| |
| '''Teredo''' ist ein sogenannter IPv6-Übergangsmechanismus. Dieses [[Kommunikationsprotokoll]] für den [[Datenverkehr]] mit dem [[Internet]] ist gemäß <nowiki>RFC 4380</nowiki> ''Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs)'' spezifiziert.<ref name="RFC4380" /> Implementierungen existieren insbesondere als Bestandteil von Microsoft Windows (Teredo) und für Unix-Systeme (Miredo).
| |
|
| |
| Das Protokoll definiert eine Methode für den Zugriff auf das [[IPv6]]-[[Netzwerk]] hinter einem [[Network Address Translation|NAT]]-Gerät. Dabei werden IPv6-Pakete mit dem [[User Datagram Protocol|UDP]] über [[IPv4]] gekapselt. Dies geschieht mittels ''Teredo-Servern''.
| |
|
| |
| == Zweck ==
| |
| Die Knappheit an IPv4-Adressen hat dazu geführt, dass viele Firmen sowie Privatnutzer mittels NAT mit mehreren Endgeräten unter Nutzung von nur einer öffentlichen [[IP-Adresse]] auf das Internet zugreifen. Das meistgenutzte Protokoll, um IPv6 direkt über IPv4 zu tunneln (Protokoll 41; siehe auch [[Tunnelbroker]]), erfordert, dass der Client eine öffentliche IP-Adresse hat (was aber nicht unbedingt nötig ist; gute Router kommen auch mit Protokoll 41 zurecht). Teredo macht es IPv4-Rechnern, die 6to4 nicht nutzen können, möglich, IPv6 über Tunnel zu nutzen.
| |
|
| |
| == Gefahren ==
| |
| Durch die Tunnelung des IPv6 besteht die Gefahr, dass insbesondere die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können. Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen IPv4-Paketfilter wirkungslos bleiben, da dieser die IPv6-Pakete im Teredo-Paket ignoriert. Es liegt seit 2007 eine Analyse durch [[NortonLifeLock|Symantec]] vor, die diesen Sachverhalt bestätigt.<ref>{{Internetquelle |autor=James Hoagland, Matt Conover, Tim Newsham, Ollie Whitehouse |url=http://www.symantec.com/avcenter/reference/Vista_Network_Attack_Surface_RTM.pdf |titel=Windows Vista Network Attack Surface Analysis |seiten=116 |datum=2007-03-20 |format=PDF; 2,3 MB |sprache=en |abruf=2010-11-09}}</ref><ref>{{Internetquelle |autor=Daniel Bachfeld |url=https://www.heise.de/security/meldung/Vistas-Netzwerkfunktionen-unter-die-Lupe-genommen-156421.html |titel=Vistas Netzwerkfunktionen unter die Lupe genommen |werk=[[heise online]] |datum=2007-03-14 |abruf=2010-11-09}}</ref>
| |
|
| |
| Heutige Firewalls bieten jedoch auch die Option, IPv6-Datenverkehr in Tunnelprotokollen zu filtern.
| |
|
| |
| == Spezifikation ==
| |
| Teredo ist in <nowiki>RFC 4380</nowiki> (Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs)) spezifiziert.<ref name="RFC4380" /> Es ist hauptsächlich die Arbeit von [[Christian Huitema]], einem Mitarbeiter von [[Microsoft]], der an IPv6 arbeitet.
| |
| Im September 2010 erschien die Aktualisierung <nowiki>RFC 5991</nowiki> (Teredo Security Updates)<ref>{{RFC-Internet |RFC=5991 |Titel=Teredo Security Updates |Datum=2010-09}}</ref> und im Januar 2011 <nowiki>RFC 6081</nowiki> (Teredo Extensions).<ref>{{RFC-Internet |RFC=6081 |Titel=Teredo Extensions |Datum=2011-01}}</ref>
| |
|
| |
| == Implementierungen ==
| |
| === Microsoft Windows ===
| |
| * ein Teredo-Client ist bei [[Microsoft Windows XP]] und neuer eingeschlossen (erschien zuerst im Advanced Networking Pack im Service Pack 1) und standardmäßig aktiviert.<ref name="heise">{{Internetquelle |autor=Johannes Endres, Reiko Kaps
| |
| |url=https://www.heise.de/ratgeber/Teredo-bohrt-IPv6-Tunnel-durch-Firewalls-221537.html |titel=Teredo bohrt IPv6-Tunnel durch Firewalls |werk=[[c't Magazin]] |datum=2009-03-30 |sprache=de |abruf=2024-07-30}}</ref>
| |
| * Microsoft bietet für [[Microsoft Windows Server 2003]] einen Teredo-Server und -Relay im [[Betastadium]].
| |
|
| |
| === Xbox ===
| |
| * Die [[Xbox One]] nutzt Teredo selbst in Netzen, in denen IPv6 zur Verfügung steht, um [[Portweiterleitung]]en zu vermeiden.<ref>{{Internetquelle |url=https://www.golem.de/news/teredo-protokoll-xbox-one-braucht-riskante-routerfunktion-fuer-onlinespiele-1312-103211.html |autor=Nico Ernst |titel=Xbox One braucht riskante Routerfunktion für Onlinespiele |werk=[[golem.de]] |datum=2013-12-06 |abruf=2024-07-30}}</ref>
| |
|
| |
| === Linux ===
| |
| * Miredo ist eine quelloffene Implementierung für [[Linux]] und BSDs.<ref name="heise"/>
| |
| * NICI-Teredo<ref>{{SourceForge|nici-teredo}}</ref> besteht aus einem Teredo-Relay für den [[Linux (Kernel)|Linux-Kernel]] und einem Server für den [[Userspace]].
| |
|
| |
| == Alternativen ==
| |
| Andere Mechanismen, mit denen sich IPv6-Pakete in IPv4 tunneln lassen, sind unter anderem
| |
| * [[6to4]],
| |
| * [[ISATAP]] und
| |
| * [[Tunnelbroker|Tunnel Broker]].
| |
|
| |
| Ein Vergleich der Tunnelmechanismen findet sich unter [[IPv6#Tunnelmechanismen]].
| |
|
| |
| == Literatur ==
| |
| * ''Teredo''. In: Joseph Davies: ''Understanding IPv6''. 2. Auflage. Microsoft Press, Redmond 2008, S. 317–354 (englisch).
| |
|
| |
| == Weblinks == | | == Weblinks == |
| * [http://www.microsoft.com/germany/technet/datenbank/articles/600330.mspx Überblick zu Teredo.] [[Microsoft]] (deutsch).
| | # [http://www.microsoft.com/germany/technet/datenbank/articles/600330.mspx Überblick zu Teredo.] [[Microsoft]] (deutsch). |
| | |
| | |
| | |
| # https://de.wikipedia.org/wiki/Teredo | | # https://de.wikipedia.org/wiki/Teredo |
|
| |
|
| |
|
| [[Kategorie:IPv6/Tunnel]] | | [[Kategorie:IPv6/Tunnel]] |
Teredo - Tunneling von IPv4 in IPv6
Beschreibung
IPv4-Datagramme werden als Payload in IPv6-Paketen platziert
- Aus Sicht der IPv4-Endpunkte des Tunnels bildet IPv6 den Link-layer
- Die Konfiguration der Endpunkte geschieht statisch
Anhang
Dokumentation
RFC
| RFC |
Titel |
Jahr |
Status
|
| 2473 |
Generic Packet Tunneling in IPv6 Specification |
1998 |
Proposed Standard
|
Siehe auch
Links
Weblinks
TMP
Teredo ist eine Entwicklung aus dem Hause Microsoft und ist
Teredo so genial wie kompliziert.
- Es ist in der Lage, die verschiedensten Arten von NAT/PAT zu überwinden.
- Die Teredo-Software, in aktuellen Versionen von Windows bereits eingebaut, stellt ein Interface mit einer IPv6-Adresse zur Verfügung.
- Die Adresse eines Teredo-Interfaces wird nach dem in Abbildung 6.7
gezeigten Schema gebildet.
- Der Standard sieht vor, dass Teile der Adresse verschleiert werden, indem die Bits der entsprechenden Teile invertiert werden. Öffentliche Teredo-Server und Teredo-Relays im Internet erledigen die Konfiguration des Tunnels und wickeln den Datenverkehr ab.
- Gleichzeitig sorgen sie auch dafür, dass die Verbindung in zwischengelagerten NAT/PAT-Routern nicht abläuft, indem sie regelmäßig sogenannte Bubbles versenden.
- Die Komplexität von Teredo lässt sich bei Betrachtung des Szenarios in Abbildung 6.8 erahnen.
- Wenn ein Teredo-Relay Daten für einen Teredo-Node hat, informiert es den zuständigen Teredo-Server darüber, dessen IPv4-Adresse es der Teredo-Adresse des Nodes entnehmen kann.
- Der Teredo-Server informiert dann den Teredo Node über die bestehende, mit Bubbles aktiv gehaltene, Verbindung über anstehende Daten.
- Der Teredo-Node baut daraufhin von innen heraus eine Verbindung zum Teredo-Relay auf, welches auf dieser Verbindung dann die Daten ausliefert.
- Ein einfaches IPv6-Paket, adressiert an einen TeredoNode, führt dazu, dass dieser die NAT/PAT-Router auf dem Weg zum Teredo-Relay von innen heraus aufbohrt.1 Die vermeintliche Sicherheit, die eine NAT/PAT-Installation unter IPv4
noch zu bieten schien, wird nicht zuletzt von Teredo ausgehebelt.
- Wenn sich Nodes mit Teredo in einem IPv4-Netz befinden, muss davon ausgegangen werden, dass IPv6-Pakete bis zum Node vordringen können.
- Auf natives IPv6 zu verzichten, kann also schlimmstenfalls zu weniger Sicherheit führen.
Das Studium des Teredo-Standards, hinterlegt in RFC 4380
[Hui06], sei dem geneigten Leser empfohlen.
TMP
Weblinks
- Überblick zu Teredo. Microsoft (deutsch).
- https://de.wikipedia.org/wiki/Teredo