Teredo: Unterschied zwischen den Versionen
| Zeile 19: | Zeile 19: | ||
=== Komplexität === | === Komplexität === | ||
[[File:TeredoSzenario.png|mini|500px|Komplexität von Teredo]] | [[File:TeredoSzenario.png|mini|500px|Komplexität von Teredo]] | ||
Hat Teredo-Relay Daten für einen Teredo-Node | |||
* | |||
* | * Informiert es den zuständigen Teredo-Server | ||
* Dessen IPv4-Adresse kann es der Teredo-Adresse des Nodes entnehmen | |||
* Teredo-Server informiert den Teredo Node über die bestehende Verbindung über anstehende Daten | |||
* Die Verbindung wird mit "Bubbles" aktiv gehalten | |||
* Teredo-Node baut von innen heraus eine Verbindung zum Teredo-Relay auf | |||
* Teredo-Relay liefert darauhin die Daten aus | |||
Ein einfaches IPv6-Paket, adressiert an einen Teredo-Node, führt dazu, dass dieser die NAT/PAT-Router auf dem Weg zum Teredo-Relay von innen heraus aufbohrt | |||
Aus Sicht der IPv4-Endpunkte des Tunnels bildet IPv6 den Link-layer | Aus Sicht der IPv4-Endpunkte des Tunnels bildet IPv6 den Link-layer | ||
Version vom 5. Juni 2025, 06:43 Uhr
Teredo - IPv4-Datagramme werden als Payload in IPv6-Paketen platziert
Beschreibung
- Teredo ist eine Entwicklung von Microsoft
So genial wie komplex
- Es ist in der Lage, die verschiedensten Arten von NAT/PAT zu überwinden
- Die Teredo-Software, in aktuellen Versionen von Windows bereits eingebaut, stellt ein Interface mit einer IPv6-Adresse zur Verfügung
- Standard sieht vor
Teile der Adresse zu verschleiern
- Bit werten invertiert
- Öffentliche Teredo-Server und Teredo-Relays
- Konfiguration des Tunnels und Datenverkehr abwickeln
- Versenden regelmäßig sogenannte Bubbles,
damit die Verbindung durch die zwischengelagerten NAT/PAT-Router nicht abläuft
Komplexität
Hat Teredo-Relay Daten für einen Teredo-Node
- Informiert es den zuständigen Teredo-Server
- Dessen IPv4-Adresse kann es der Teredo-Adresse des Nodes entnehmen
- Teredo-Server informiert den Teredo Node über die bestehende Verbindung über anstehende Daten
- Die Verbindung wird mit "Bubbles" aktiv gehalten
- Teredo-Node baut von innen heraus eine Verbindung zum Teredo-Relay auf
- Teredo-Relay liefert darauhin die Daten aus
Ein einfaches IPv6-Paket, adressiert an einen Teredo-Node, führt dazu, dass dieser die NAT/PAT-Router auf dem Weg zum Teredo-Relay von innen heraus aufbohrt
Aus Sicht der IPv4-Endpunkte des Tunnels bildet IPv6 den Link-layer
- Die Konfiguration der Endpunkte geschieht statisch
Gefahren
Durch die Tunnelung des IPv6 besteht die Gefahr, dass insbesondere die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können
- Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen IPv4-Paketfilter wirkungslos bleiben, da dieser die IPv6-Pakete im Teredo-Paket ignoriert
- Es liegt seit 2007 eine Analyse durch Symantec vor, die diesen Sachverhalt bestätigt
Leistungsfähige Firewalls können allerdings auch den Datenverkehr in Tunnelprotokollen filtern
Die vermeintliche Sicherheit, die eine NAT/PAT-Installation unter IPv4 noch zu bieten schien, wird nicht zuletzt von Teredo ausgehebelt
- Wenn sich Nodes mit Teredo in einem IPv4-Netz befinden, muss davon ausgegangen werden, dass IPv6-Pakete bis zum Node vordringen können
- Auf natives IPv6 zu verzichten, kann also schlimmstenfalls zu weniger Sicherheit führen
Anhang
Dokumentation
RFC
| RFC | Titel | Jahr | Status |
|---|---|---|---|
| 4380 | Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs) | 2006 | Proposed Standard, Updated by: RFC 5991, RFC 6081, RFC 9601 |
| 5991 | Teredo Security Updates | 2010 | Proposed Standard |
| 6081 | Teredo Extensions | 2011 | Proposed Standard |
| 9601 | Propagating Explicit Congestion Notification across IP Tunnel Headers Separated by a Shim | 2024 | Proposed Standard |