Teredo

IPv6-Übergangsmechanismen
4in6	Tunneling von IPv4 in IPv6
6in4	Tunneling von IPv6 in IPv4
6over4	Transport von IPv6-Datenpaketen zwischen Dual-Stack Knoten über ein IPv4-Netzwerk
6to4	Transport von IPv6-Datenpaketen über ein IPv4-Netzwerk (veraltet)
AYIYA	Anything In Anything
Dual-Stack	Netzknoten mit IPv4 und IPv6 im Parallelbetrieb
Dual-Stack Lite (DS-Lite)	Wie Dual-Stack, jedoch mit globaler IPv6 und Carrier-NAT IPv4
6rd	IPv6 rapid deployment
ISATAP	Intra-Site Automatic Tunnel Addressing Protocol (veraltet)
Teredo	Kapselung von IPv6-Datenpaketen in IPv4-UDP-Datenpaketen
NAT64	Übersetzung von IPv4-Adressen in IPv6-Adressen
464XLAT	Übersetzung von IPv4- in IPv6- in IPv4-Adressen
SIIT	Stateless IP/ICMP Translation

Teredo ist ein sogenannter IPv6-Übergangsmechanismus. Dieses Kommunikationsprotokoll für den Datenverkehr mit dem Internet ist gemäß RFC 4380 Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs) spezifiziert. Implementierungen existieren insbesondere als Bestandteil von Microsoft Windows (Teredo) und für Unix-Systeme (Miredo).

Das Protokoll definiert eine Methode für den Zugriff auf das IPv6-Netzwerk hinter einem NAT-Gerät. Dabei werden IPv6-Pakete mit dem UDP über IPv4 gekapselt. Dies geschieht mittels Teredo-Servern.

Zweck

Die Knappheit an IPv4-Adressen hat dazu geführt, dass viele Firmen sowie Privatnutzer mittels NAT mit mehreren Endgeräten unter Nutzung von nur einer öffentlichen IP-Adresse auf das Internet zugreifen. Das meistgenutzte Protokoll, um IPv6 direkt über IPv4 zu tunneln (Protokoll 41; siehe auch Tunnelbroker), erfordert, dass der Client eine öffentliche IP-Adresse hat (was aber nicht unbedingt nötig ist; gute Router kommen auch mit Protokoll 41 zurecht). Teredo macht es IPv4-Rechnern, die 6to4 nicht nutzen können, möglich, IPv6 über Tunnel zu nutzen.

Gefahren

Durch die Tunnelung des IPv6 besteht die Gefahr, dass insbesondere die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können. Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen Paketfilter wirkungslos bleiben. Es liegt seit 2007 eine Analyse durch Symantec vor, die diesen Sachverhalt bestätigt.[1][2] Dem sicherheitsorientierten Administrator wird daher empfohlen, bis zur Verfügbarkeit entsprechender Firewalls den durch Teredo benutzten UDP-Port 3544[3] komplett zu sperren.

Spezifikation

Teredo ist in RFC 4380 (Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs)) spezifiziert. Es ist hauptsächlich die Arbeit von Christian Huitema, einem Mitarbeiter von Microsoft, der an IPv6 arbeitet. Im September 2010 erschien die Aktualisierung RFC 5991 (Teredo Security Updates) und im Januar 2011 RFC 6081 (Teredo Extensions).

Implementierungen

Microsoft Windows

ein Teredo-Client ist bei Microsoft Windows XP und neuer eingeschlossen (erschien zuerst im Advanced Networking Pack im Service Pack 1) und standardmäßig aktiviert.
Eine Abschaltung ist möglich durch den Befehl: netsh interface ipv6 set teredo disable. Die erneute Aktivierung erfolgt durch: netsh interface ipv6 set teredo default
Microsoft bietet für Microsoft Windows Server 2003 einen Teredo-Server und -Relay im Betastadium.

Linux

Miredo[4] ist eine Implementierung für Linux und BSDs (unterliegt der GNU General Public License)
NICI-Teredo[5] besteht aus einem Teredo-Relay für den Linux-Kernel und einem Server für den Userspace

Alternativen

Andere Mechanismen, mit denen sich IPv6-Pakete in IPv4 tunneln lassen, sind unter anderem

Ein Vergleich der Tunnelmechanismen findet sich unter IPv6#Tunnelmechanismen.

Literatur

Teredo, Kapitel in Understanding IPv6 (S. 317–354) von Joseph Davies. Microsoft Press, 2. Auflage, Redmond 2008. (englisch)

Einzelnachweise

Dr. James Hoagland, Matt Conover, Tim Newsham, Ollie Whitehouse: Windows Vista Network Attack Surface Analysis. (PDF) 20. März 2007, S. 116, abgerufen am 9. November 2010 (englisch, Größe: 2,3 MB).
Daniel Bachfeld: Vistas Netzwerkfunktionen unter die Lupe genommen. In: heise online. 14. März 2007, abgerufen am 9. November 2010.
RFC 4380
http://www.remlab.net/miredo/
http://sourceforge.net/projects/nici-teredo/

Weblinks

Überblick zu Teredo von Microsoft
heise online: Teredo bohrt IPv6-Tunnel durch Firewalls, 3. März 2009

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. The authors of the article are listed here. Additional terms may apply for the media files, click on images to show image meta data.

[1] Dr. James Hoagland, Matt Conover, Tim Newsham, Ollie Whitehouse: Windows Vista Network Attack Surface Analysis. (PDF) 20. März 2007, S. 116, abgerufen am 9. November 2010 (englisch, Größe: 2,3 MB).

[2] Daniel Bachfeld: Vistas Netzwerkfunktionen unter die Lupe genommen. In: heise online. 14. März 2007, abgerufen am 9. November 2010.

[Port-3] RFC 4380

[4] ttp://www.remlab.net/miredo/

[5] ttp://sourceforge.net/projects/nici-teredo/