Teredo: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| Zeile 53: | Zeile 53: | ||
== Anhang == | == Anhang == | ||
* [[Windows/IPv6/Teredo]] | |||
=== Dokumentation === | === Dokumentation === | ||
===== RFC ===== | ===== RFC ===== | ||
| Zeile 67: | Zeile 69: | ||
| [https://www.rfc-editor.org/info/rfc9601 9601] || Propagating Explicit Congestion Notification across IP Tunnel Headers Separated by a Shim || 2024 || Proposed Standard | | [https://www.rfc-editor.org/info/rfc9601 9601] || Propagating Explicit Congestion Notification across IP Tunnel Headers Separated by a Shim || 2024 || Proposed Standard | ||
|} | |} | ||
[[Kategorie:IPv6/Tunnel]] | [[Kategorie:IPv6/Tunnel]] | ||
Version vom 6. Juni 2025, 12:02 Uhr
Teredo - IPv4-Datagramme werden als Payload in IPv6-Paketen platziert
Beschreibung
Teredo ist eine Entwicklung von Microsoft
- So genial wie komplex
Es ist in der Lage, die verschiedensten Arten von NAT/PAT zu überwinden
- Software in Windows enhalten
- Stellt ein Interface mit einer IPv6-Adresse zur Verfügung
- Standard sieht vor
Teile der Adresse zu verschleiern
- Bit werten invertiert
- Öffentliche Teredo-Server und Teredo-Relays
- Konfiguration des Tunnels und Datenverkehr abwickeln
- Versenden regelmäßig sogenannte Bubbles,
damit die Verbindung durch die zwischengelagerten NAT/PAT-Router nicht abläuft
Funktion
Hat Teredo-Relay Daten für einen Teredo-Node
- Informiert es den zuständigen Teredo-Server
- Dessen IPv4-Adresse kann es der Teredo-Adresse des Nodes entnehmen
Teredo-Server informiert den Teredo Node über die bestehende Verbindung über anstehende Daten
- Verbindung wird mit "Bubbles" aktiv gehalten
- Teredo-Node baut von innen heraus eine Verbindung zum Teredo-Relay auf
Teredo-Relay liefert darauhin die Daten aus Ein einfaches IPv6-Paket, adressiert an einen Teredo-Node, führt dazu, dass dieser die NAT/PAT-Router auf dem Weg zum Teredo-Relay von innen heraus aufbohrt
Aus Sicht der IPv4-Endpunkte des Tunnels bildet IPv6 den Link-layer
- Die Konfiguration der Endpunkte geschieht statisch
Teredo-Adresse
Gefahren
- Sicherheit von NAT
Es besteht die Gefahr, dass die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können
- Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen IPv4-Paketfilter wirkungslos bleiben, da dieser die IPv6-Pakete im Teredo-Paket ignoriert
- Es liegt seit 2007 eine Analyse durch Symantec vor, die diesen Sachverhalt bestätigt
Leistungsfähige Firewalls können allerdings auch den Datenverkehr in Tunnelprotokollen filtern
Die vermeintliche Sicherheit, die eine NAT/PAT-Installation unter IPv4 noch zu bieten schien, wird nicht zuletzt von Teredo ausgehebelt
- Wenn sich Nodes mit Teredo in einem IPv4-Netz befinden, muss davon ausgegangen werden, dass IPv6-Pakete bis zum Node vordringen können
- Auf natives IPv6 zu verzichten, kann also schlimmstenfalls zu weniger Sicherheit führen
- Komplexität
Anhang
Dokumentation
RFC
| RFC | Titel | Jahr | Status |
|---|---|---|---|
| 4380 | Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs) | 2006 | Proposed Standard, Updated by: RFC 5991, RFC 6081, RFC 9601 |
| 5991 | Teredo Security Updates | 2010 | Proposed Standard |
| 6081 | Teredo Extensions | 2011 | Proposed Standard |
| 9601 | Propagating Explicit Congestion Notification across IP Tunnel Headers Separated by a Shim | 2024 | Proposed Standard |