Teredo: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| Zeile 1: | Zeile 1: | ||
'''{{BASEPAGENAME}}''' - | '''{{BASEPAGENAME}}''' - [[IPv6/Tunnel]]-Technik von [[Microsoft]] | ||
== Beschreibung == | == Beschreibung == | ||
; So genial wie komplex | ; So genial wie komplex | ||
Es ist in der Lage, die verschiedensten Arten von NAT/PAT zu überwinden | Es ist in der Lage, die verschiedensten Arten von NAT/PAT zu überwinden | ||
* Software in Windows enhalten | * Software in Windows enhalten | ||
* IPv4-Datagramme werden als Payload in IPv6-Paketen platziert | |||
* Stellt ein Interface mit einer IPv6-Adresse zur Verfügung | * Stellt ein Interface mit einer IPv6-Adresse zur Verfügung | ||
Version vom 6. Juni 2025, 12:06 Uhr
Teredo - IPv6/Tunnel-Technik von Microsoft
Beschreibung
- So genial wie komplex
Es ist in der Lage, die verschiedensten Arten von NAT/PAT zu überwinden
- Software in Windows enhalten
- IPv4-Datagramme werden als Payload in IPv6-Paketen platziert
- Stellt ein Interface mit einer IPv6-Adresse zur Verfügung
- Standard sieht vor
Teile der Adresse zu verschleiern
- Bit werten invertiert
- Öffentliche Teredo-Server und Teredo-Relays
- Konfiguration des Tunnels und Datenverkehr abwickeln
- Versenden regelmäßig sogenannte Bubbles,
damit die Verbindung durch die zwischengelagerten NAT/PAT-Router nicht abläuft
Funktion
Hat Teredo-Relay Daten für einen Teredo-Node
- Informiert es den zuständigen Teredo-Server
- Dessen IPv4-Adresse kann es der Teredo-Adresse des Nodes entnehmen
Teredo-Server informiert den Teredo Node über die bestehende Verbindung über anstehende Daten
- Verbindung wird mit "Bubbles" aktiv gehalten
- Teredo-Node baut von innen heraus eine Verbindung zum Teredo-Relay auf
Teredo-Relay liefert darauhin die Daten aus Ein einfaches IPv6-Paket, adressiert an einen Teredo-Node, führt dazu, dass dieser die NAT/PAT-Router auf dem Weg zum Teredo-Relay von innen heraus aufbohrt
Aus Sicht der IPv4-Endpunkte des Tunnels bildet IPv6 den Link-layer
- Die Konfiguration der Endpunkte geschieht statisch
Teredo-Adresse
Gefahren
- Sicherheit von NAT
Es besteht die Gefahr, dass die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können
- Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen IPv4-Paketfilter wirkungslos bleiben, da dieser die IPv6-Pakete im Teredo-Paket ignoriert
- Es liegt seit 2007 eine Analyse durch Symantec vor, die diesen Sachverhalt bestätigt
Leistungsfähige Firewalls können allerdings auch den Datenverkehr in Tunnelprotokollen filtern
Die vermeintliche Sicherheit, die eine NAT/PAT-Installation unter IPv4 noch zu bieten schien, wird nicht zuletzt von Teredo ausgehebelt
- Wenn sich Nodes mit Teredo in einem IPv4-Netz befinden, muss davon ausgegangen werden, dass IPv6-Pakete bis zum Node vordringen können
- Auf natives IPv6 zu verzichten, kann also schlimmstenfalls zu weniger Sicherheit führen
- Komplexität
Anhang
Dokumentation
RFC
| RFC | Titel | Jahr | Status |
|---|---|---|---|
| 4380 | Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs) | 2006 | Proposed Standard, Updated by: RFC 5991, RFC 6081, RFC 9601 |
| 5991 | Teredo Security Updates | 2010 | Proposed Standard |
| 6081 | Teredo Extensions | 2011 | Proposed Standard |
| 9601 | Propagating Explicit Congestion Notification across IP Tunnel Headers Separated by a Shim | 2024 | Proposed Standard |