Протокол туннелирования Teredo

Реализация протокола Teredo

Протокол туннелирования Teredo представляет собой протокол, который обеспечивает связь IPv6 через не поддерживающие IPv6 устройства NAT (Network Address Translation — трансляция сетевых адресов). Его описание содержится в документе IETF RFC-4380. Протокол Teredo умеет обходить требование протокола 6to4, состоящее в том, что конеч­ной точкой туннеля должен обязательно являться общедоступный адрес IPv4. Реальность современной функционирующей на основе IPv4 сети Интернет такова, что общедоступных адресов IPv4 перестает хватать (из-за чего, собственно говоря, и началось внедрение про­токола IPv6) и потому большая часть хостов размещается позади устройств NAT.

Пожалуй, совершенно не случайно протокол Teredo был назван в честь морских древо­точцев (корабельных червей; Teredo navalis), которые в свое время проделали трубки в немалом количестве деревянных суден. Эти морские моллюски продолжают представ­лять угрозу для любых связанных с водой построений из дерева, таких как дамбы, доки и пирсы. Протокол Teredo "просачивается" сквозь брандмауэры NAT во многом точно таким же образом. Первоначально он назывался протоколом Shipworm, что дословно переводится как "корабельный червь", но это название слишком сильно смахивало на зловредное ПО, потому протокол был переименован в Teredo.

Механизм работы протокола Teredo

В Teredo пакеты IPv6 инкапсулируются дважды: первый раз для инкапсуляции пакета IPv6 в пакет IPv4 с установкой для поля протокола IPv4 значения 41, а второй раз для по­мещения полученного в результате пакета IPv4 в сообщение пакета IPv4 UDP. Такой двух-этапный процесс инкапсуляции позволяет проходить через NAT, но оборачивается зна­чительным увеличением накладных расходов. Помимо этого, туннель Teredo еще делает хост подверженным атакам сканирования, поскольку туннельный адаптер Teredo, по сути, открывает порт на хосте для объектов, проникающих через брандмауэр. В результате этот порт может обнаруживаться и подвергаться атакам. Поэтому из-за увеличения накладных расходов и проблем с безопасностью протокол туннелирования Teredo должен применять­ся только в самом крайнем случае.

В поставляемой Microsoft реализации Teredo предлагаются дополнительные меры для защиты от атак сканирования IPv6, в том числе и опция, позволяющая указывать, откуда разрешено принимать трафик: отовсюду кроме туннеля Teredo (такая настройка использу­ется по умолчанию), отовсюду и из туннеля Teredo в том числе или только из локальной внутренней сети. Настройка, используемая по умолчанию, предотвращает сканирование интерфейса туннеля Teredo. Разумеется, хост при этом все равно может инициировать пе­редачу трафика через туннель.

2016  Командная строка Windows  
top Яндекс.Метрика