Sdílet prostřednictvím

Implementace modelu zabezpečení Teredo

  • Článek

Model zabezpečení Teredo je založený na technologii Windows Filtering Platform (WFP), která je integrovaná v systému Windows Vista. Proto se doporučuje, aby brány firewall třetích stran používaly WFP k prosazení modelu zabezpečení Teredo.

Obecná implementace modelu zabezpečení Teredo vyžaduje následující:

  • Firewall na hostiteli s podporou IPv6 musí být zaregistrovaný v aplikaci Zabezpečení systému Windows na počítači. Pokud není k dispozici hostitelská brána firewall nebo samotná aplikace Zabezpečení systému Windows, rozhraní Teredo nebude k dispozici. Toto je jediný požadavek na příjem požadovaných přenosů z internetu přes rozhraní Teredo.
  • Každá aplikace, která přijímá nevyžádaný provoz z internetu přes rozhraní Teredo, se musí zaregistrovat v bráně firewall podporující protokol IPv6, jako je brána Windows Firewall, před přijetím nevyžádaného provozu.

Adresa Teredo se stane neaktivní, pokud provoz nebyl odeslán nebo přijat přes rozhraní Teredo po dobu jedné hodiny a pokud aplikace, které splňují požadovaná bezpečnostní kritéria pro nevyžádaný provoz nejsou spuštěny nebo nemají otevřené naslouchání sokety.

Po restartování počítače nebo pokud adresa Teredo ztratí své kvalifikace, systém Windows Vista automaticky opraví adresu a zpřístupní ji pro použití, jakmile aplikace vytvoří vazbu na sokety podporující protokol IPv6. Je důležité si uvědomit, že možnost "Edge Traversal" brány Windows Firewall nastavená aplikací tak, aby umožňovala nevyžádané přenosy přes Teredo, je trvalá napříč restartováními.

Požadavky brány firewall pro Teredo

Dodavatelé brány firewall mohou snadno začlenit podporu Teredo do svých produktů a chránit uživatele pomocí funkcí platformy Windows Filtering Platform. Toho lze dosáhnout registrací brány firewall podporující protokol IPv6 v aplikaci Windows Security, přidáním příslušných pravidel do podvrtě WFP Teredo a použitím integrovaných rozhraní API ve Windows k vytvoření výčtu aplikací, které by mohly naslouchat nevyžádanému provozu přes Teredo. V situacích, kdy aplikace nemusí naslouchat nevyžádanému provozu přes Teredo, brány firewall nevyžadují další pravidla přidaná do WFP. Registrace brány firewall s podporou protokolu IPv6 v aplikaci Windows Security je ale stále požadavkem na zpřístupnění adresy Teredo pro použití.

Aby bylo možné tento scénář podporovat, musí být brána firewall podporující protokol IPv6 a zaregistrovaná v aplikaci Zabezpečení systému Windows. Brána firewall navíc nesmí změnit spuštěný nebo spouštěcí stav služby Windows Security App Service (wscsvc), protože Teredo závisí na informacích o stavu poskytovaných prostřednictvím rozhraní API WSC.

Rozhraní API používané k registraci brány firewall v aplikaci Windows Security je možné získat kontaktováním společnosti Microsoft na wscisv@microsoft.com. Pro zpřístupnění tohoto rozhraní API se kvůli obavám zabezpečení vyžaduje smlouva o zpřístupnění tohoto rozhraní API (NDA).

Následující dokumentace podrobně popisuje filtry a výjimky používané k zajištění optimální kompatibility s Teredo:

Požadavky brány firewall pro jiné přechodové technologie IPv6

Aby bylo možné podporovat další přechodové technologie IPv6 (například 6to4 a ISATAP), musí být produkt brány firewall hostitele schopný zpracovávat provoz IPv6. Protokol IP 41 označuje, kdy hlavička IPv6 následuje za hlavičkou IPv4. Když brána firewall hostitele narazí na protokol 41, musí rozpoznat, že paket je paket zapouzdřený protokolem IPv6 a v důsledku toho musí zpracovat paket odpovídajícím způsobem a přijmout/odepřít rozhodnutí na základě pravidel IPv6 v jeho zásadách.