Teredo

Der Titel dieses Artikels ist mehrdeutig. Eine Beschreibung des Schiffsbohrwurms findet sich unter Schiffsbohrwurm

Teredo ist ein Kommunikationsprotokoll für den Datenverkehr mit dem Internet gemäß RFC 4380 Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs). Implementierungen existieren insbesondere als Bestandteil von Microsoft Windows (Teredo) und für Unix-Systeme (Miredo).

Das Protokoll definiert eine Methode für den Zugriff auf das IPv6-Netzwerk hinter einem NAT-Gerät. Dabei werden IPv6-Pakete mit dem UDP über IPv4 gekapselt. Dies geschieht mit Hilfe sogenannter Teredo-Server.

[Bearbeiten] Zweck

Die Knappheit an IPv4-Adressen hat dazu geführt, dass viele Firmen sowie Privatnutzer mittels NAT mit mehreren Endgeräten unter Nutzung von nur einer öffentlichen IP-Adresse auf das Internet zugreifen. Das meistgenutzte Protokoll, um IPv6 über IPv4 zu tunneln (6to4), erfordert, dass der Client eine öffentliche IP-Adresse hat (was aber nicht unbedingt nötig ist; gute Router kommen auch mit 6to4 zurecht). Teredo macht es IPv4-Rechnern, die 6to4 nicht nutzen können, möglich, IPv6 über Tunnel zu nutzen.

[Bearbeiten] Gefahren

Durch die Tunnelung des IPv6 besteht die Gefahr, dass insbesondere die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können. Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen Paketfilter wirkungslos bleiben. Es liegt seit 2007 eine Analyse durch Symantec vor, die diesen Sachverhalt bestätigt.^[1][2] Dem sicherheitsorientierten Administrator wird daher empfohlen, bis zur Verfügbarkeit entsprechender Firewalls den durch Teredo benutzten UDP-Port 3544^[3] komplett zu sperren.

[Bearbeiten] Spezifikation

Teredo ist in RFC 4380 spezifiziert. Es ist hauptsächlich die Arbeit von Christian Huitema, einem Mitarbeiter von Microsoft, der an IPv6 arbeitet.

[Bearbeiten] Implementierungen

Es gibt verschiedene Implementierungen von Teredo:

• ein Teredo-Client ist bei Microsoft Windows XP eingeschlossen (erschien zuerst im Advanced Networking Pack im Service Pack 1)
• Microsoft bietet für Microsoft Windows Server 2003 einen Teredo-Server und -Relay im Betastadium
• Miredo^[4] ist eine Implementierung für Linux und BSDs (unterliegt der GNU General Public License)
• NICI-Teredo^[5] besteht aus einem Teredo-Relay für den Linux-Kernel und einem Server für den Userspace

[Bearbeiten] Alternativen

Andere Mechanismen, mit denen sich IPv6-Pakete in IPv4 tunneln lassen, sind unter anderem

• 6to4,
• ISATAP und
• Tunnel Broker.

Ein Vergleich der Tunnelmechanismen findet sich unter IPv6#Tunnelmechanismen.

[Bearbeiten] Literatur

• Teredo, Kapitel in Understanding IPv6 (S. 317-354) von Joseph Davies. Microsoft Press, 2. Auflage, Redmond 2008. (englisch)

[Bearbeiten] Einzelnachweise

1. ↑ Dr. James Hoagland, Matt Conover, Tim Newsham, Ollie Whitehouse: Windows Vista Network Attack Surface Analysis. 20. März 2007, S. 116, abgerufen am 9. November 2010 (PDF, englisch, Größe: 2,3 MB). 
2. ↑ Daniel Bachfeld: Vistas Netzwerkfunktionen unter die Lupe genommen. In: heise online. 14. März 2007, abgerufen am 9. November 2010. 
3. ↑ RFC 4380
4. ↑ http://www.remlab.net/miredo/
5. ↑ http://sourceforge.net/projects/nici-teredo/

[Bearbeiten] Weblinks

• Überblick zu Teredo von Microsoft
• heise online: Teredo bohrt IPv6-Tunnel durch Firewalls, 3. März 2009