Teredo: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
= TMP = | |||
{{Begriffsklärungshinweis|Zum britischen U-Boot siehe [[Teredo (U-Boot)]].}} | |||
{{IPv6-Übergangsmechanismen}} | |||
'''Teredo''' ist ein sogenannter IPv6-Übergangsmechanismus. Dieses [[Kommunikationsprotokoll]] für den [[Datenverkehr]] mit dem [[Internet]] ist gemäß <nowiki>RFC 4380</nowiki> ''Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs)'' spezifiziert.<ref name="RFC4380" /> Implementierungen existieren insbesondere als Bestandteil von Microsoft Windows (Teredo) und für Unix-Systeme (Miredo). | |||
Das Protokoll definiert eine Methode für den Zugriff auf das [[IPv6]]-[[Netzwerk]] hinter einem [[Network Address Translation|NAT]]-Gerät. Dabei werden IPv6-Pakete mit dem [[User Datagram Protocol|UDP]] über [[IPv4]] gekapselt. Dies geschieht mittels ''Teredo-Servern''. | |||
== Zweck == | |||
Die Knappheit an IPv4-Adressen hat dazu geführt, dass viele Firmen sowie Privatnutzer mittels NAT mit mehreren Endgeräten unter Nutzung von nur einer öffentlichen [[IP-Adresse]] auf das Internet zugreifen. Das meistgenutzte Protokoll, um IPv6 direkt über IPv4 zu tunneln (Protokoll 41; siehe auch [[Tunnelbroker]]), erfordert, dass der Client eine öffentliche IP-Adresse hat (was aber nicht unbedingt nötig ist; gute Router kommen auch mit Protokoll 41 zurecht). Teredo macht es IPv4-Rechnern, die 6to4 nicht nutzen können, möglich, IPv6 über Tunnel zu nutzen. | |||
== Gefahren == | |||
Durch die Tunnelung des IPv6 besteht die Gefahr, dass insbesondere die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können. Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen IPv4-Paketfilter wirkungslos bleiben, da dieser die IPv6-Pakete im Teredo-Paket ignoriert. Es liegt seit 2007 eine Analyse durch [[NortonLifeLock|Symantec]] vor, die diesen Sachverhalt bestätigt.<ref>{{Internetquelle |autor=James Hoagland, Matt Conover, Tim Newsham, Ollie Whitehouse |url=http://www.symantec.com/avcenter/reference/Vista_Network_Attack_Surface_RTM.pdf |titel=Windows Vista Network Attack Surface Analysis |seiten=116 |datum=2007-03-20 |format=PDF; 2,3 MB |sprache=en |abruf=2010-11-09}}</ref><ref>{{Internetquelle |autor=Daniel Bachfeld |url=https://www.heise.de/security/meldung/Vistas-Netzwerkfunktionen-unter-die-Lupe-genommen-156421.html |titel=Vistas Netzwerkfunktionen unter die Lupe genommen |werk=[[heise online]] |datum=2007-03-14 |abruf=2010-11-09}}</ref> | |||
Heutige Firewalls bieten jedoch auch die Option, IPv6-Datenverkehr in Tunnelprotokollen zu filtern. | |||
== Spezifikation == | |||
Teredo ist in <nowiki>RFC 4380</nowiki> (Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs)) spezifiziert.<ref name="RFC4380" /> Es ist hauptsächlich die Arbeit von [[Christian Huitema]], einem Mitarbeiter von [[Microsoft]], der an IPv6 arbeitet. | |||
Im September 2010 erschien die Aktualisierung <nowiki>RFC 5991</nowiki> (Teredo Security Updates)<ref>{{RFC-Internet |RFC=5991 |Titel=Teredo Security Updates |Datum=2010-09}}</ref> und im Januar 2011 <nowiki>RFC 6081</nowiki> (Teredo Extensions).<ref>{{RFC-Internet |RFC=6081 |Titel=Teredo Extensions |Datum=2011-01}}</ref> | |||
== Implementierungen == | |||
=== Microsoft Windows === | |||
* ein Teredo-Client ist bei [[Microsoft Windows XP]] und neuer eingeschlossen (erschien zuerst im Advanced Networking Pack im Service Pack 1) und standardmäßig aktiviert.<ref name="heise">{{Internetquelle |autor=Johannes Endres, Reiko Kaps | |||
|url=https://www.heise.de/ratgeber/Teredo-bohrt-IPv6-Tunnel-durch-Firewalls-221537.html |titel=Teredo bohrt IPv6-Tunnel durch Firewalls |werk=[[c't Magazin]] |datum=2009-03-30 |sprache=de |abruf=2024-07-30}}</ref> | |||
* Microsoft bietet für [[Microsoft Windows Server 2003]] einen Teredo-Server und -Relay im [[Betastadium]]. | |||
=== Xbox === | |||
* Die [[Xbox One]] nutzt Teredo selbst in Netzen, in denen IPv6 zur Verfügung steht, um [[Portweiterleitung]]en zu vermeiden.<ref>{{Internetquelle |url=https://www.golem.de/news/teredo-protokoll-xbox-one-braucht-riskante-routerfunktion-fuer-onlinespiele-1312-103211.html |autor=Nico Ernst |titel=Xbox One braucht riskante Routerfunktion für Onlinespiele |werk=[[golem.de]] |datum=2013-12-06 |abruf=2024-07-30}}</ref> | |||
=== Linux === | |||
* Miredo ist eine quelloffene Implementierung für [[Linux]] und BSDs.<ref name="heise"/> | |||
* NICI-Teredo<ref>{{SourceForge|nici-teredo}}</ref> besteht aus einem Teredo-Relay für den [[Linux (Kernel)|Linux-Kernel]] und einem Server für den [[Userspace]]. | |||
== Alternativen == | |||
Andere Mechanismen, mit denen sich IPv6-Pakete in IPv4 tunneln lassen, sind unter anderem | |||
* [[6to4]], | |||
* [[ISATAP]] und | |||
* [[Tunnelbroker|Tunnel Broker]]. | |||
Ein Vergleich der Tunnelmechanismen findet sich unter [[IPv6#Tunnelmechanismen]]. | |||
== Literatur == | |||
* ''Teredo''. In: Joseph Davies: ''Understanding IPv6''. 2. Auflage. Microsoft Press, Redmond 2008, S. 317–354 (englisch). | |||
== Weblinks == | |||
* [http://www.microsoft.com/germany/technet/datenbank/articles/600330.mspx Überblick zu Teredo.] [[Microsoft]] (deutsch). | |||
== Einzelnachweise == | |||
<references> | |||
<ref name="RFC4380"> | |||
{{RFC-Internet |RFC=4380 |Titel=Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs) |Datum=2006-02}} | |||
</ref> | |||
</references> | |||
[[Kategorie:Internet Protocol]] | |||
[[Kategorie:Tunnelprotokoll]] | |||
[[Kategorie:IPv6-Übergangsmechanismus]] | |||
[[Kategorie:IPv6/Tunnel]] | [[Kategorie:IPv6/Tunnel]] | ||
Version vom 3. Juni 2025, 16:01 Uhr
TMP
Vorlage:Begriffsklärungshinweis Vorlage:IPv6-Übergangsmechanismen Teredo ist ein sogenannter IPv6-Übergangsmechanismus. Dieses Kommunikationsprotokoll für den Datenverkehr mit dem Internet ist gemäß RFC 4380 Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs) spezifiziert.[1] Implementierungen existieren insbesondere als Bestandteil von Microsoft Windows (Teredo) und für Unix-Systeme (Miredo).
Das Protokoll definiert eine Methode für den Zugriff auf das IPv6-Netzwerk hinter einem NAT-Gerät. Dabei werden IPv6-Pakete mit dem UDP über IPv4 gekapselt. Dies geschieht mittels Teredo-Servern.
Zweck
Die Knappheit an IPv4-Adressen hat dazu geführt, dass viele Firmen sowie Privatnutzer mittels NAT mit mehreren Endgeräten unter Nutzung von nur einer öffentlichen IP-Adresse auf das Internet zugreifen. Das meistgenutzte Protokoll, um IPv6 direkt über IPv4 zu tunneln (Protokoll 41; siehe auch Tunnelbroker), erfordert, dass der Client eine öffentliche IP-Adresse hat (was aber nicht unbedingt nötig ist; gute Router kommen auch mit Protokoll 41 zurecht). Teredo macht es IPv4-Rechnern, die 6to4 nicht nutzen können, möglich, IPv6 über Tunnel zu nutzen.
Gefahren
Durch die Tunnelung des IPv6 besteht die Gefahr, dass insbesondere die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können. Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen IPv4-Paketfilter wirkungslos bleiben, da dieser die IPv6-Pakete im Teredo-Paket ignoriert. Es liegt seit 2007 eine Analyse durch Symantec vor, die diesen Sachverhalt bestätigt.[2][3]
Heutige Firewalls bieten jedoch auch die Option, IPv6-Datenverkehr in Tunnelprotokollen zu filtern.
Spezifikation
Teredo ist in RFC 4380 (Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs)) spezifiziert.[1] Es ist hauptsächlich die Arbeit von Christian Huitema, einem Mitarbeiter von Microsoft, der an IPv6 arbeitet. Im September 2010 erschien die Aktualisierung RFC 5991 (Teredo Security Updates)[4] und im Januar 2011 RFC 6081 (Teredo Extensions).[5]
Implementierungen
Microsoft Windows
- ein Teredo-Client ist bei Microsoft Windows XP und neuer eingeschlossen (erschien zuerst im Advanced Networking Pack im Service Pack 1) und standardmäßig aktiviert.[6]
- Microsoft bietet für Microsoft Windows Server 2003 einen Teredo-Server und -Relay im Betastadium.
Xbox
- Die Xbox One nutzt Teredo selbst in Netzen, in denen IPv6 zur Verfügung steht, um Portweiterleitungen zu vermeiden.[7]
Linux
- Miredo ist eine quelloffene Implementierung für Linux und BSDs.[6]
- NICI-Teredo[8] besteht aus einem Teredo-Relay für den Linux-Kernel und einem Server für den Userspace.
Alternativen
Andere Mechanismen, mit denen sich IPv6-Pakete in IPv4 tunneln lassen, sind unter anderem
- 6to4,
- ISATAP und
- Tunnel Broker.
Ein Vergleich der Tunnelmechanismen findet sich unter IPv6#Tunnelmechanismen.
Literatur
- Teredo. In: Joseph Davies: Understanding IPv6. 2. Auflage. Microsoft Press, Redmond 2008, S. 317–354 (englisch).
Weblinks
- Überblick zu Teredo. Microsoft (deutsch).