Teredo: Sicherheitsproblem IPv6-Kapselung

Das Teredo-Protokoll beschreibt eine Methode, wie man auf ein IPv6-Netzwerk hinter einem NAT-Router zugreifen kann, der kein IPv6 unterstützt. Dazu kapselt das schon unter Windows XP verfügbare Teredo IPv6-Pakete in UDP-IPv4-Pakete. In Vista ist Teredo standardmäßig aktiviert, was den Symantec-Sicherheitsspezialisten Jim Hoagland dazu veranlasst hat, sich über die Sicherheitsimplikationen Gedanken zu machen.

Kaum eine Firewall oder Intrusion Detection System erkennt derzeit Teredo-Pakete als solche und ist somit nicht in der Lage IPv6-Verkehr zu filtern. Stattdessen sieht es UDP-Verkehr über irgendwelche Ports. Teredo kann insbesondere deshalb zum Problem werden, weil es den vermeintlichen Schutz durch NAT aushebeln kann. Wurden private IPv4-Adressen bislang nicht ins Internet geroutet, erhält mit IPv6 jeder Rechner automatisch eine eindeutige IPv6-Adresse, in die unter anderem die Mac-Adresse der Netzwerkkarte eingeht und die prinzipiell aus dem Internet erreichbar ist.

Jim Hoagland:The Teredo Protocol: Tunneling Past Network Security and Other Security Implications (dab)