Реализация протокола Teredo
Протокол туннелирования Teredo представляет собой протокол, который обеспечивает связь IPv6 через не поддерживающие IPv6 устройства NAT (Network Address Translation — трансляция сетевых адресов). Его описание содержится в документе IETF RFC-4380. Протокол Teredo умеет обходить требование протокола 6to4, состоящее в том, что конечной точкой туннеля должен обязательно являться общедоступный адрес IPv4. Реальность современной функционирующей на основе IPv4 сети Интернет такова, что общедоступных адресов IPv4 перестает хватать (из-за чего, собственно говоря, и началось внедрение протокола IPv6) и потому большая часть хостов размещается позади устройств NAT.
Пожалуй, совершенно не случайно протокол Teredo был назван в честь морских древоточцев (корабельных червей; Teredo navalis), которые в свое время проделали трубки в немалом количестве деревянных суден. Эти морские моллюски продолжают представлять угрозу для любых связанных с водой построений из дерева, таких как дамбы, доки и пирсы. Протокол Teredo "просачивается" сквозь брандмауэры NAT во многом точно таким же образом. Первоначально он назывался протоколом Shipworm, что дословно переводится как "корабельный червь", но это название слишком сильно смахивало на зловредное ПО, потому протокол был переименован в Teredo.
Механизм работы протокола Teredo
В Teredo пакеты IPv6 инкапсулируются дважды: первый раз для инкапсуляции пакета IPv6 в пакет IPv4 с установкой для поля протокола IPv4 значения 41, а второй раз для помещения полученного в результате пакета IPv4 в сообщение пакета IPv4 UDP. Такой двух-этапный процесс инкапсуляции позволяет проходить через NAT, но оборачивается значительным увеличением накладных расходов. Помимо этого, туннель Teredo еще делает хост подверженным атакам сканирования, поскольку туннельный адаптер Teredo, по сути, открывает порт на хосте для объектов, проникающих через брандмауэр. В результате этот порт может обнаруживаться и подвергаться атакам. Поэтому из-за увеличения накладных расходов и проблем с безопасностью протокол туннелирования Teredo должен применяться только в самом крайнем случае.
В поставляемой Microsoft реализации Teredo предлагаются дополнительные меры для защиты от атак сканирования IPv6, в том числе и опция, позволяющая указывать, откуда разрешено принимать трафик: отовсюду кроме туннеля Teredo (такая настройка используется по умолчанию), отовсюду и из туннеля Teredo в том числе или только из локальной внутренней сети. Настройка, используемая по умолчанию, предотвращает сканирование интерфейса туннеля Teredo. Разумеется, хост при этом все равно может инициировать передачу трафика через туннель.
