WikiDer > Тередо туннелирование

Teredo tunneling

В компьютерная сеть, Тередо это переходная технология это дает полный IPv6 подключение для хостов с поддержкой IPv6, которые находятся на IPv4 Интернет но не имеют собственного подключения к сети IPv6. В отличие от подобных протоколов, таких как 6to4, он может выполнять свою функцию даже сзади преобразование сетевых адресов (NAT) устройства, такие как домашние маршрутизаторы.

Teredo работает с независимая платформа протокол туннелирования что обеспечивает IPv6 (Интернет-протокол версии 6) подключение по инкапсуляция IPv6 дейтаграмма пакеты в IPv4 Протокол пользовательских датаграмм (UDP) пакеты. Teredo направляет эти дейтаграммы на IPv4 Интернет и через устройства NAT. Узлы Teredo в другом месте сети IPv6 (называемые Реле Teredo) получить пакеты, деинкапсулировать их и передать.

Тередо - временная мера. В долгосрочной перспективе все хосты IPv6 должны использовать собственное подключение IPv6. Teredo следует отключить, когда станет доступно собственное подключение IPv6. Кристиан Уитема разработал Тередо в Microsoft, а IETF стандартизировал это как RFC 4380. Сервер Teredo слушает UDP порт 3544.

Цель

6to4, наиболее распространенный протокол туннелирования IPv6 поверх IPv4, требует, чтобы конечная точка туннеля имела общедоступный IPv4-адрес. Однако многие хосты в настоящее время подключаются к Интернету IPv4 через одно или несколько устройств NAT, обычно из-за Нехватка IPv4-адресов. В такой ситуации устройству NAT назначается единственный доступный общедоступный IPv4-адрес, а конечная точка туннеля 6to4 должна быть реализована на самом устройстве NAT. Однако многие устройства NAT, развернутые в настоящее время, не могут быть модернизированы для реализации 6to4 по техническим или экономическим причинам.

Teredo решает эту проблему, инкапсулируя пакеты IPv6 в дейтаграммы UDP / IPv4, которые большинство NAT могут правильно пересылать. Таким образом, хосты с поддержкой IPv6 за NAT могут выступать в качестве конечных точек туннеля Teredo, даже если у них нет выделенного общедоступного IPv4-адреса. Фактически, хост, реализующий Teredo, может получить возможность подключения по IPv6 без взаимодействия с локальной сетевой средой.

В долгосрочной перспективе все хосты IPv6 должны использовать собственное подключение IPv6. Временный протокол Teredo включает положения о процедура заката: Реализация Teredo должна предоставить способ прекратить использование возможности подключения Teredo, когда IPv6 станет зрелым и подключение станет доступным с использованием менее хрупкого механизма. По состоянию на IETF89[требуется разъяснение], Microsoft планирует деактивировать свои серверы Teredo для клиентов Windows в первой половине 2014 г.[нуждается в обновлении] (точная дата подлежит уточнению) и поощрять отключение общедоступных реле Teredo.

Обзор

Полное объяснение см. В разделе Обзор Teredo в внешние ссылки.

Протокол Teredo выполняет несколько функций:

  1. Диагностирует подключение UDP через IPv4 (UDPv4) и обнаруживает тип присутствующего NAT (с использованием упрощенной замены СТУН протокол)
  2. Назначает глобально маршрутизируемый уникальный IPv6-адрес каждому хосту, который его использует.
  3. Инкапсулирует пакеты IPv6 в дейтаграммы UDPv4 для передачи по сети IPv4 (включая Обход NAT)
  4. Маршрутизирует трафик между хостами Teredo и собственными (или не поддерживающими Teredo) хостами IPv6.

Типы узлов

Teredo определяет несколько разных типов узлов[1]:

Клиент Teredo
Хост, который имеет подключение к Интернету по IPv4 через NAT и использует протокол туннелирования Teredo для доступа к Интернету IPv6. Клиентам Teredo назначается IPv6-адрес, который начинается с префикса Teredo (2001::/32).[2]
Сервер Teredo
Хорошо известный хост, используемый для начальной настройки туннеля Teredo. Сервер Teredo никогда не пересылает трафик для клиента (кроме эхо-запросов IPv6) и поэтому имеет скромные требования к пропускной способности (максимум несколько сотен бит в секунду на клиента),[нужна цитата] Это означает, что один сервер может поддерживать множество клиентов. Кроме того, сервер Teredo может быть полностью реализован. без гражданства таким образом, используя один и тот же объем памяти независимо от того, сколько клиентов он поддерживает.
Реле тередо
Удаленный конец туннеля Teredo. Ретранслятор Teredo должен пересылать все данные от имени клиентов Teredo, которые он обслуживает, за исключением прямого клиента Teredo, на обмены клиентами Teredo. Следовательно, ретранслятор требует большой полосы пропускания и может поддерживать только ограниченное количество одновременных клиентов. Каждый ретранслятор Teredo обслуживает ряд хостов IPv6 (например, один кампус / компания, Интернет-провайдер или целая операторская сеть, или даже вся IPv6 Интернет); он пересылает трафик между любыми клиентами Teredo и любым хостом в указанном диапазоне.
Реле Teredo для конкретного хоста
Реле Teredo, спектр услуг которого ограничен тем самым хостом, на котором оно работает. Таким образом, у него нет особых требований к пропускной способности или маршрутизации. Компьютер с ретранслятором, зависящим от хоста, использует Teredo для связи с клиентами Teredo, но придерживается своего основного провайдера подключения IPv6 для доступа к остальной части Интернета IPv6.

IPv6-адресация

Каждому клиенту Teredo назначается общедоступный IPv6-адрес, который строится следующим образом (бит более высокого порядка имеет номер 0):

  • Биты с 0 по 31 содержат префикс Teredo (2001 :: / 32).
  • Биты с 32 по 63 включают основной IPv4-адрес используемого сервера Teredo.
  • Биты с 64 по 79 содержат некоторые флаги и другие биты; формат для этих 16 битов, сначала MSB, - "CRAAAAUG AAAAAAAA". Бит «C» был установлен в 1, если клиент Teredo находится за конус NAT, 0 иначе, но RFC 5991 изменил его на всегда 0, чтобы не раскрывать этот факт посторонним. Бит «R» в настоящее время не назначен и должен быть отправлен как 0. Биты «U» и «G» установлены в 0 для имитации битов «Универсальный / локальный» и «Группа / индивидуальный» в MAC-адреса. 12 битов "A" были 0 в исходном RFC 4380 спецификации, но были изменены на случайные биты, выбранные клиентом Teredo в RFC 5991 для обеспечения узла Teredo дополнительной защитой от атак сканирования на основе IPv6.
  • Биты с 80 по 95 содержат запутанный Номер порта UDP. Это номер порта, который NAT сопоставляет клиенту Teredo со всеми инвертированными битами.
  • Биты с 96 по 127 содержат запутанный IPv4-адрес. Это публичный IPv4-адрес NAT со всеми инвертированными битами.
Таблица адресации Teredo IPv6
Биты0 - 3132 - 6364 - 7980 - 9596 - 127
Длина32 бит32 бит16 бит16 бит32 бит
ОписаниеПриставкаТередо
сервер IPv4
ФлагиЗапутанный
UDP порт
Запутанный клиент
общедоступный IPv4

Например, IPv6-адрес 2001: 0000: 4136: e378: 8000: 63bf: 3fff: fdd2 относится к клиенту Teredo, который:

  • Использует сервер Teredo по адресу 65.54.227.120 (4136e378 в шестнадцатеричный)
  • Находится за конусным NAT, и клиент не полностью соответствует RFC 5991 (установлен бит 64)
  • Вероятно (99,98%) не соответствует RFC 5991 (все 12 случайных битов равны 0, что происходит менее чем в 0,025% случаев)
  • Использует сопоставленный UDP-порт 40000 на своем NAT (в шестнадцатеричном формате). не 63bf равно 9c40 или десятичному числу 40000)
  • Имеет общедоступный IPv4-адрес NAT 192.0.2.45 (не 3ffffdd2 равно c000022d, то есть 192.0.2.45)
Пример таблицы Teredo IPv6
Биты0 - 3132 - 6364 - 7980 - 9596 - 127
Длина32 бит32 бит16 бит16 бит32 бит
ОписаниеПриставкаТередо
сервер IPv4
ФлагиЗапутанный
UDP порт
Запутанный клиент
общедоступный IPv4
Часть2001:00004136: e378800063bf3fff: fdd2
Расшифровано65.54.227.120конус NAT40000192.0.2.45

Серверы

Список существующих серверов Teredo см. В списке в внешние ссылки.

Клиенты Teredo используют серверы Teredo для автоматического определения типа NAT, за которым они находятся (если таковые имеются), с помощью упрощенного STUN-подобного квалификационная процедура. Клиенты Teredo также поддерживают привязку своего NAT к своему серверу Teredo, отправляя пакеты UDP через регулярные промежутки времени. Это гарантирует, что сервер всегда может связаться с любым из своих клиентов, что требуется для Пробивка отверстий NAT работать правильно.

Если ретранслятор Teredo (или другой клиент Teredo) должен отправить пакет IPv6 клиенту Teredo, он сначала отправляет Тередо пузырь пакет на клиентский сервер Teredo, чей IP-адрес он выводит из IPv6-адреса Teredo клиента Teredo. Затем сервер пересылает пузырь клиенту, поэтому клиентское программное обеспечение Teredo знает, что оно должно пробивать дыры в реле Teredo.

Серверы Teredo также могут передавать пакет ICMPv6 от клиентов Teredo в Интернет IPv6. На практике, когда клиент Teredo хочет связаться с собственным узлом IPv6, он должен найти соответствующее реле Teredo, т.е., на который номер общедоступного порта IPv4 и UDP для отправки инкапсулированных пакетов IPv6. Для этого клиент создает эхо-запрос ICMPv6 (пинг) к узлу IPv6 и отправляет его через настроенный сервер Teredo. Сервер Teredo декапсулирует эхо-запрос в Интернет IPv6, так что в конечном итоге эхо-запрос должен достигнуть узла IPv6. Затем узел IPv6 должен ответить эхо-ответом ICMPv6, как предписано RFC 2460. Этот ответный пакет направляется ближайший Реле Teredo, которое, наконец, пытается связаться с клиентом Teredo.

Для обслуживания сервера Teredo требуется небольшая пропускная способность, поскольку они не участвуют в фактической передаче и приеме пакетов трафика IPv6. Кроме того, он не предполагает доступа к протоколам маршрутизации в Интернете. Единственные требования к серверу Teredo:

  • Возможность отправлять пакеты ICMPv6 с адресом источника, принадлежащим префиксу Teredo
  • Два разных общедоступных IPv4-адреса. Хотя это не указано в официальной спецификации, клиенты Microsoft Windows ожидают, что оба адреса будут последовательными - второй адрес IPv4 предназначен для обнаружения NAT.

Публичные серверы Teredo:

  • teredo.remlab.net / teredo-debian.remlab.net (Германия)
  • teredo.trex.fi (Финляндия)

Реле

Реле Teredo потенциально требует большой пропускной способности сети. Кроме того, он должен экспортировать (рекламировать) маршрут к префиксу Teredo IPv6 (2001 :: / 32) к другим хостам IPv6. Таким образом, ретранслятор Teredo получает трафик от хостов IPv6, адресованный любому клиенту Teredo, и пересылает его по UDP / IPv4. Симметрично он получает пакеты от клиентов Teredo, адресованные собственным хостам IPv6 через UDP / IPv4, и вводит их в собственную сеть IPv6.

На практике сетевые администраторы могут настроить частный ретранслятор Teredo для своей компании или кампуса. Это обеспечивает короткий путь между их сетью IPv6 и любым клиентом Teredo. Однако для настройки реле Teredo в масштабе, превышающем масштаб отдельной сети, требуется возможность экспорта BGP Маршруты IPv6 к другому автономные системы (Жопа).

в отличие 6to4, где две половины соединения могут использовать разные ретрансляторы, трафик между собственным хостом IPv6 и клиентом Teredo использует один и тот же ретранслятор Teredo, а именно тот, который ближе всего к собственному хосту IPv6 по сети. Клиент Teredo не может локализовать реле самостоятельно (так как он не может отправлять пакеты IPv6 сам по себе). Если ему необходимо инициировать соединение с собственным хостом IPv6, он отправляет первый пакет через сервер Teredo, который отправляет пакет на собственный хост IPv6, используя IPv6-адрес Teredo клиента. Затем собственный IPv6-хост обычно отвечает на клиентский IPv6-адрес Teredo, что в конечном итоге приводит к тому, что пакет обнаруживает ретранслятор Teredo, который инициирует соединение с клиентом (возможно, используя сервер Teredo для проникновения NAT). Затем клиент Teredo и собственный хост IPv6 используют ретранслятор для связи столько, сколько им необходимо. Такой дизайн означает, что ни серверу Teredo, ни клиенту не требуется знать IPv4-адрес каких-либо реле Teredo. Они находят подходящий автоматически через глобальную таблицу маршрутизации IPv6, поскольку все ретрансляторы Teredo анонсируют сеть 2001 :: / 32.

Для получения информации о Teredo и BGP в режиме реального времени см. внешние ссылки.

30 марта 2006 г. итальянский интернет-провайдер ITGate[3] была первой AS, которая начала рекламировать маршрут к 2001 :: / 32 в Интернете IPv6, так что RFC 4380-совместимые реализации Teredo будут полностью пригодны для использования. С 16 февраля 2007 года он больше не функционирует.

В первом квартале 2009 г. магистральная сеть IPv6 Ураган Электрик включено 14 реле Teredo[4] в Anycast внедрение и реклама 2001 :: / 32 по всему миру. Реле были расположены в Сиэтле, Фремонте, Лос-Анджелесе, Чикаго, Далласе, Торонто, Нью-Йорке, Эшберне, Майами, Лондоне, Париже, Амстердаме, Франкфурте и Гонконге.

Ожидается, что крупные сетевые операторы будут обслуживать реле Teredo. Как и в случае с 6to4, остается неясным, насколько хорошо будет расширяться служба Teredo, если большая часть интернет-узлов начнет использовать IPv6 через Teredo в дополнение к IPv4. Хотя Microsoft управляет набором серверов Teredo с момента выпуска первого псевдотуннеля Teredo для Windows XP, они никогда не предоставляли службу ретрансляции Teredo для Интернета IPv6 в целом.

Ограничения

Teredo совместим не со всеми устройствами NAT. Используя терминологию RFC 3489, он поддерживает полный конус, ограниченный и ограниченный портами NAT устройств, но не поддерживает симметричные NAT. Спецификация корабельного червя[5] оригинал, который привел к окончательному протоколу Teredo, также поддерживал симметричные NAT, но отказался от него из соображений безопасности.

Люди на Национальный университет Цзяо Дун в Тайване позже предложили SymTeredo,[6] которые улучшили исходный протокол Teredo для поддержки симметричных NAT, а реализации Microsoft и Miredo реализуют определенные неуказанные нестандартные расширения для улучшения поддержки симметричных NAT. Однако соединение между клиентом Teredo за симметричным NAT и клиентом Teredo за симметричным NAT с ограничением портов остается, по-видимому, невозможным.[нужна цитата]

Teredo предполагает, что, когда два клиента обмениваются инкапсулированными пакетами IPv6, номера сопоставленных / внешних портов UDP, которые они используют, совпадают с теми, которые используются для связи с сервером Teredo (и создания адреса Teredo IPv6). Без этого предположения было бы невозможно установить прямую связь между двумя клиентами, и пришлось бы выполнять дорогостоящее реле. треугольная трассировка. Реализация Teredo пытается определить тип NAT при запуске и отказывается работать, если NAT кажется симметричным. (Это ограничение иногда можно обойти, вручную настроив правило переадресации портов в блоке NAT, что требует административного доступа к устройству).

Teredo может предоставить только один IPv6-адрес для каждой конечной точки туннеля. Таким образом, невозможно использовать один туннель Teredo для подключения нескольких хостов, в отличие от 6to4 и некоторых туннелей IPv6 точка-точка. Пропускная способность, доступная для всех клиентов Teredo по отношению к Интернету IPv6, ограничена доступностью ретрансляторов Teredo, которые в этом отношении ничем не отличаются от ретрансляторов 6to4.

Альтернативы

6to4 требует общедоступного IPv4-адреса, но предоставляет большой 48-битный префикс IPv6 для каждой конечной точки туннеля и имеет более низкую инкапсуляцию накладные расходы. Туннели точка-точка могут быть более надежными и более ответственными, чем Teredo, и обычно предоставляют постоянные адреса IPv6, которые не зависят от адреса IPv4 конечной точки туннеля. Какая-то точка-точка туннельные брокеры также поддерживают инкапсуляцию UDP для прохождения NAT (например, АЙЯ протокол может это сделать). С другой стороны, туннели «точка-точка» обычно требуют регистрации. Автоматизированные инструменты (например, AICCU) упрощают использование туннелей точка-точка.

Соображения безопасности

Воздействие

Тередо увеличивает поверхность атаки путем назначения глобально маршрутизируемых IPv6-адресов сетевым узлам за устройствами NAT, которые в противном случае были бы недоступны из Интернета. Таким образом, Teredo потенциально предоставляет доступ к любому приложению с поддержкой IPv6 с открытым портом извне. Инкапсуляция туннеля Teredo также может привести к тому, что содержимое трафика данных IPv6 станет невидимым для программного обеспечения проверки пакетов, что способствует распространению вредоносных программ.[7] Наконец, Teredo подвергает стек IPv6 и программное обеспечение туннелирования атакам, если они имеют какую-либо уязвимость, которую можно использовать удаленно.

Чтобы уменьшить поверхность атаки, стек Microsoft IPv6 имеет «уровень защиты». разъем вариант. Это позволяет приложениям указать, из каких источников они готовы принимать трафик IPv6: из туннеля Teredo, из любого места, кроме Teredo (по умолчанию), или только из локального Интранет.

Протокол Teredo также инкапсулирует подробную информацию о конечной точке туннеля в своих пакетах данных. Эта информация может помочь потенциальным злоумышленникам, увеличив вероятность атаки и / или уменьшив необходимые усилия.[8]

Межсетевой экран, фильтрация и блокировка

Для правильной работы псевдотуннеля Teredo исходящие пакеты UDP на порт 3544 должны быть нефильтрованными. Более того, ответы на эти пакеты (т.е. «запрошенный трафик») также должны быть нефильтрованными. Это соответствует типичной настройке NAT и его функциональности брандмауэра с отслеживанием состояния. Программное обеспечение для туннелирования Teredo сообщает о фатальной ошибке и останавливается, если исходящий трафик IPv4 UDP заблокирован.

DoS через петли маршрутизации

В 2010 году были обнаружены новые методы создания атак типа «отказ в обслуживании» через петли маршрутизации, использующие туннели Teredo. Их относительно легко предотвратить.[9]

Использование по умолчанию в MS-Windows

Майкрософт Виндоус в Windows 10 версии 1803 и более поздних версиях Teredo по умолчанию отключена. При необходимости эту переходную технологию можно включить с помощью CLI команда или с помощью групповая политика.[10]

Реализации

В настоящее время доступно несколько реализаций Teredo:

  • Windows XP с пакетом обновления 2 (SP2) включает клиента и специфичный для хоста relay (также в Advanced Networking Pack для Service Pack 1).
  • Windows Server 2003 имеет реле и сервер, предоставленные в соответствии с Microsoft Бета-программа.
  • Виндоус виста и Windows 7 имеют встроенную поддержку Teredo с неопределенным расширением для симметричного обхода NAT. Однако, если присутствуют только локальная ссылка и адрес Teredo, эти операционные системы не пытаются разрешать записи AAAA DNS IPv6, если присутствует запись A DNS, и в этом случае они используют IPv4. Таким образом, Teredo обычно используют только буквальные URL-адреса IPv6.[11] Это поведение можно изменить в реестр.
  • Windows 10 версия 1803 и более поздние по умолчанию отключают Teredo. При необходимости эту переходную технологию можно включить с помощью CLI команда или с помощью групповая политика.[12]
  • Miredo это клиент, ретранслятор и сервер для Linux, * BSD и Mac OS X,
  • ng_teredo - это реле и сервер на основе netgraph для FreeBSD от LIP6 Университет и 6WIND.[13][нужна цитата]
  • NICI-Teredo - это реле для Ядро Linux и пользовательский сервер Teredo, разработанный в Национальном университете Цзяо Дун.[14][нужна цитата]

Выбор имени

Первоначальное прозвище протокола туннелирования Teredo было Корабельный червь. Идея заключалась в том, что протокол будет проходить через устройства NAT, как и корабельный червь (своего рода морской моллюск, сверлящий древесину) прокладывает туннели в древесине. Корабельные черви были ответственны за потерю многих деревянных корпусов. Кристиан Уитема в первоначальном проекте отмечал, что корабельный червь «выживает только в относительно чистой и незагрязненной воде; его недавнее возвращение в несколько гаваней Северной Америки является свидетельством их недавно полученной чистоты. Служба корабельных червей, в свою очередь, должна способствовать [sic] к недавно обретенной прозрачности Интернета ».[15]

Чтобы избежать путаницы с компьютерные черви,[16] Позже Huitema изменила название протокола с Корабельный червь к Тередо, после род имя корабельного червя Тередо Навалис.[16]

использованная литература

  1. ^ Шарма, Вишал; Кумар, Раджеш (2017). «Безопасная передача на основе Teredo-туннелей между БПЛА и наземными специализированными сетями». Международный журнал коммуникационных систем. 30 (7): e3144. Дои:10.1002 / dac.3144. ISSN 1099-1131.
  2. ^ «Адреса Teredo (Windows)». msdn.microsoft.com.
  3. ^ "IT.Gate | Технологические услуги - IT.Gate". www.itgate.it. Получено 22 сентября, 2019.
  4. ^ Леви, Мартин (28 мая 2009 г.). «Опыт Hurricane Electric в развертывании реле Teredo и 6to4» (PDF). Конференция LACNIC-XII / FLIP6 2009, Панама, Панама.
  5. ^ Уитема, Кристиан (12 июля 2001 г.). Shipworm: туннелирование IPv6 через UDP через NAT.
  6. ^ Шианг-Мин Хуанг; Куинси Ву; И-Бин Линь (22 мая 2006 г.). «Улучшение туннелирования Teredo IPv6 для прохождения симметричного NAT». Письма по коммуникациям IEEE. 10 (5): 408–410. Дои:10.1109 / LCOMM.2006.1633339.
  7. ^ «Туннелирование вредоносного ПО в IPv6». US-CERT.gov. 22 июня 2012 г.. Получено 2016-09-05.
  8. ^ «Протоколы туннелирования IPv6: хорошо для внедрения, но не так важно для безопасности - Блог TrendLabs Security Intelligence». 2009-10-26. Получено 2016-09-05.
  9. ^ Гонт, Фернандо (8 сентября 2010 г.). "Internet-Draft - Петли маршрутизации Teredo - Снижение атак на петли укоренения Teredo". ietf.org. п. 2.
  10. ^ «Клиенты DirectAccess, использующие туннелирование Teredo, не могут подключиться после обновления до Windows 10». 2020-05-28. Получено 2020-09-26.
  11. ^ «Колонка ISP - май 2011». www.potaroo.net. Получено 22 сентября, 2019.
  12. ^ «Клиенты DirectAccess, использующие туннелирование Teredo, не могут подключиться после обновления до Windows 10». 2020-05-28. Получено 2020-09-26.
  13. ^ Кабасанов, Константин; Жардин, Винсент. (22 октября 2003 г.). Teredo для FreeBSD В архиве 2005-03-06 на Wayback Machine www-rp.lip6.fr.
  14. ^ «Соломон, Аарон». (29 ноября 2004 г.). NICI-Teredo. Sourceforge.
  15. ^ Кристиан Уитема (25 августа 2001 г.). «Shipworm: туннелирование IPv6 через UDP через NAT (черновик 00 из 08)». IETF.
  16. ^ а б Кристиан Уитема (19 декабря 2001 г.). "Переименование Корабельного червя в Тередо?". Список рассылки IETF NGTrans.

внешние ссылки