Teredo

IPv6-Übergangsmechanismen
4in6	Tunneling von IPv4 in IPv6
6in4	Tunneling von IPv6 in IPv4
6over4	Transport von IPv6-Datenpaketen zwischen Dual-Stack Knoten über ein IPv4-Netzwerk
6to4	Transport von IPv6-Datenpaketen über ein IPv4-Netzwerk (veraltet)
AYIYA	Anything In Anything
Dual-Stack	Netzknoten mit IPv4 und IPv6 im Parallelbetrieb
Dual-Stack Lite (DS-Lite)	Wie Dual-Stack, jedoch mit globaler IPv6 und Carrier-NAT IPv4
6rd	IPv6 rapid deployment
ISATAP	Intra-Site Automatic Tunnel Addressing Protocol (veraltet)
Teredo	Kapselung von IPv6-Datenpaketen in IPv4-UDP-Datenpaketen
NAT64	Übersetzung von IPv4-Adressen in IPv6-Adressen
464XLAT	Übersetzung von IPv4- in IPv6- in IPv4-Adressen
SIIT	Stateless IP/ICMP Translation

Teredo ist ein sogenannter IPv6-Übergangsmechanismus. Dieses Kommunikationsprotokoll für den Datenverkehr mit dem Internet ist gemäß RFC 4380 Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs) spezifiziert.^[1] Implementierungen existieren insbesondere als Bestandteil von Microsoft Windows (Teredo) und für Unix-Systeme (Miredo).

Das Protokoll definiert eine Methode für den Zugriff auf das IPv6-Netzwerk hinter einem NAT-Gerät. Dabei werden IPv6-Pakete mit dem UDP über IPv4 gekapselt. Dies geschieht mittels Teredo-Servern.

Zweck

Die Knappheit an IPv4-Adressen hat dazu geführt, dass viele Firmen sowie Privatnutzer mittels NAT mit mehreren Endgeräten unter Nutzung von nur einer öffentlichen IP-Adresse auf das Internet zugreifen. Das meistgenutzte Protokoll, um IPv6 direkt über IPv4 zu tunneln (Protokoll 41; siehe auch Tunnelbroker), erfordert, dass der Client eine öffentliche IP-Adresse hat (was aber nicht unbedingt nötig ist; gute Router kommen auch mit Protokoll 41 zurecht). Teredo macht es IPv4-Rechnern, die 6to4 nicht nutzen können, möglich, IPv6 über Tunnel zu nutzen.

Gefahren

Durch die Tunnelung des IPv6 besteht die Gefahr, dass insbesondere die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können. Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen IPv4-Paketfilter wirkungslos bleiben, da dieser die IPv6-Pakete im Teredo-Paket ignoriert. Es liegt seit 2007 eine Analyse durch Symantec vor, die diesen Sachverhalt bestätigt.^[2]^[3]

Heutige Firewalls bieten jedoch auch die Option, IPv6-Datenverkehr in Tunnelprotokollen zu filtern.

Spezifikation

Teredo ist in RFC 4380 (Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs)) spezifiziert.^[1] Es ist hauptsächlich die Arbeit von Christian Huitema, einem Mitarbeiter von Microsoft, der an IPv6 arbeitet. Im September 2010 erschien die Aktualisierung RFC 5991 (Teredo Security Updates)^[4] und im Januar 2011 RFC 6081 (Teredo Extensions).^[5]

Implementierungen

Microsoft Windows

ein Teredo-Client ist bei Microsoft Windows XP und neuer eingeschlossen (erschien zuerst im Advanced Networking Pack im Service Pack 1) und standardmäßig aktiviert.^[6]
Microsoft bietet für Microsoft Windows Server 2003 einen Teredo-Server und -Relay im Betastadium.

Xbox

Die Xbox One nutzt Teredo selbst in Netzen, in denen IPv6 zur Verfügung steht, um Portweiterleitungen zu vermeiden.^[7]

Linux

Miredo ist eine quelloffene Implementierung für Linux und BSDs.^[6]
NICI-Teredo^[8] besteht aus einem Teredo-Relay für den Linux-Kernel und einem Server für den Userspace.

Alternativen

Andere Mechanismen, mit denen sich IPv6-Pakete in IPv4 tunneln lassen, sind unter anderem

Ein Vergleich der Tunnelmechanismen findet sich unter IPv6#Tunnelmechanismen.

Literatur

Teredo. In: Joseph Davies: Understanding IPv6. 2. Auflage. Microsoft Press, Redmond 2008, S. 317–354 (englisch).

Weblinks

Überblick zu Teredo. Microsoft (deutsch).

Einzelnachweise

↑ ^a ^b RFC: 4380 – Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs). Februar 2006 (englisch).
↑ James Hoagland, Matt Conover, Tim Newsham, Ollie Whitehouse: Windows Vista Network Attack Surface Analysis. (PDF; 2,3 MB) 20. März 2007, S. 116, abgerufen am 9. November 2010 (englisch).
↑ Daniel Bachfeld: Vistas Netzwerkfunktionen unter die Lupe genommen. In: heise online. 14. März 2007, abgerufen am 9. November 2010.
↑ RFC: 5991 – Teredo Security Updates. September 2010 (englisch).
↑ RFC: 6081 – Teredo Extensions. Januar 2011 (englisch).
↑ ^a ^b Johannes Endres, Reiko Kaps: Teredo bohrt IPv6-Tunnel durch Firewalls. In: c't Magazin. 30. März 2009, abgerufen am 30. Juli 2024.
↑ Nico Ernst: Xbox One braucht riskante Routerfunktion für Onlinespiele. In: golem.de. 6. Dezember 2013, abgerufen am 30. Juli 2024.
↑ Projektübersicht zu nici-teredo bei SourceForge

[RFC4380-1] RFC: 4380 – Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs). Februar 2006 (englisch).

[2] James Hoagland, Matt Conover, Tim Newsham, Ollie Whitehouse: Windows Vista Network Attack Surface Analysis. (PDF; 2,3 MB) 20. März 2007, S. 116, abgerufen am 9. November 2010 (englisch).

[3] Daniel Bachfeld: Vistas Netzwerkfunktionen unter die Lupe genommen. In: heise online. 14. März 2007, abgerufen am 9. November 2010.

[4] RFC: 5991 – Teredo Security Updates. September 2010 (englisch).

[5] RFC: 6081 – Teredo Extensions. Januar 2011 (englisch).

[heise-6] Johannes Endres, Reiko Kaps: Teredo bohrt IPv6-Tunnel durch Firewalls. In: c't Magazin. 30. März 2009, abgerufen am 30. Juli 2024.

[7] Nico Ernst: Xbox One braucht riskante Routerfunktion für Onlinespiele. In: golem.de. 6. Dezember 2013, abgerufen am 30. Juli 2024.

[8] Projektübersicht zu nici-teredo bei SourceForge

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]