Implementieren des Teredo-Sicherheitsmodells
Das Teredo-Sicherheitsmodell basiert auf der in Windows Vista integrierten WFP-Technologie ( Windows Filtering Platform ). Daher wird empfohlen, dass Firewalls von Drittanbietern WFP verwenden, um das Teredo-Sicherheitsmodell zu erzwingen.
Die allgemeine Implementierung des Teredo-Sicherheitsmodells erfordert Folgendes:
- Eine IPv6-fähige Hostfirewall muss bei der Windows-Sicherheit-App auf dem Computer registriert werden. In Ermangelung einer hostbasierten Firewall oder der Windows-Sicherheit-App selbst steht die Teredo-Schnittstelle nicht zur Verwendung zur Verfügung. Dies ist die einzige Anforderung, um angeforderten Datenverkehr aus dem Internet über die Teredo-Schnittstelle zu empfangen.
- Jede Anwendung, die ungebetenen Datenverkehr aus dem Internet über die Teredo-Schnittstelle empfängt, muss sich bei einer IPv6-fähigen Firewall registrieren, z. B. Windows-Firewall, bevor sie den nicht angeforderten Datenverkehr empfängt.
Eine Teredo-Adresse wird inaktiv, wenn der Datenverkehr eine Stunde lang nicht über die Teredo-Schnittstelle gesendet oder empfangen wurde und Wenn Anwendungen, die die erforderlichen Sicherheitskriterien für nicht angeforderten Datenverkehr erfüllen, nicht ausgeführt werden oder keine lauschenden Sockets geöffnet haben.
Nach dem Neustart eines Computers oder wenn die Teredo-Adresse ihre Qualifikationen verliert, qualifiziert Windows Vista die Adresse automatisch und stellt sie zur Verwendung zur Verfügung, sobald eine Anwendung an IPv6-fähige Sockets gebunden ist. Es ist wichtig zu beachten, dass die Von einer Anwendung festgelegte Option "Edge Traversal" der Windows-Firewall, um unerwünschten Datenverkehr über Teredo zuzulassen, über Neustarts hinweg persistent ist.
Firewallanforderungen für Teredo
Firewallanbieter können die Teredo-Unterstützung problemlos in ihre Produkte integrieren und ihre Benutzer mithilfe der Funktionen der Windows-Filterplattform schützen. Dies kann erreicht werden, indem Sie die IPv6-fähige Firewall bei der Windows-Sicherheit-App registrieren, der WFP-Teredo-Unterschicht geeignete Regeln hinzufügen und integrierte APIs in Windows verwenden, um Anwendungen aufzulisten, die möglicherweise auf unerwünschten Datenverkehr über Teredo lauschen. In Situationen, in denen eine Anwendung nicht auf angeforderten Datenverkehr über Teredo lauschen muss, erfordern Firewalls keine zusätzlichen Regeln, die dem WFP hinzugefügt werden. Eine IPv6-fähige Firewallregistrierung mit der Windows-Sicherheit-App ist jedoch weiterhin erforderlich, um die Teredo-Adresse zur Verfügung zu stellen.
Um dieses Szenario zu unterstützen, muss die Firewall IPv6-fähig sein und bei der Windows-Sicherheit-App registriert sein. Darüber hinaus darf die Firewall den Ausführungs- oder Startstatus des Windows-Sicherheit App Service (wscsvc) nicht ändern, da Teredo von den Statusinformationen abhängig ist, die über die WSC-APIs bereitgestellt werden.
Die API, die zum Registrieren einer Firewall bei der Windows-Sicherheit-App verwendet wird, kann abgerufen werden, indem Sie sich unter an wscisv@microsoft.comMicrosoft wenden. Für die Offenlegung dieser API ist aus Sicherheitsgründen eine Geheimhaltungsvereinbarung (Non-Disclosure Agreement, NDA) erforderlich.
In der folgenden Dokumentation werden die Filter und Ausnahmen beschrieben, die verwendet werden, um eine optimale Kompatibilität mit Teredo sicherzustellen:
- Implementieren von Firewallfiltern für Teredo
- Erforderliche Firewallausnahmen für Teredo
- Erforderliche Windows-Filterplattformausnahmen für Teredo
Firewallanforderungen für andere IPv6-Übergangstechnologien
Um andere IPv6-Übergangstechnologien (z. B. 6to4 und ISATAP) zu unterstützen, muss das Hostfirewallprodukt in der Lage sein, IPv6-Datenverkehr zu verarbeiten. Das IP-Protokoll 41 gibt an, wann ein IPv6-Header auf einen IPv4-Header folgt. Wenn eine Hostfirewall auf Protokoll 41 trifft, muss sie erkennen, dass es sich bei dem Paket um ein IPv6-gekapseltes Paket handelt, und muss daher das Paket entsprechend verarbeiten und die Annahme-/Ablehnungsentscheidungen basierend auf den IPv6-Regeln in seiner Richtlinie treffen.