Udostępnij za pośrednictwem

Implementowanie modelu zabezpieczeń Teredo

  • Artykuł

Model zabezpieczeń Teredo jest oparty na technologii Windows Filtering Platform (WFP) wbudowanej w system Windows Vista. W związku z tym zaleca się, aby zapory innych firm używały programu WFP do wymuszania modelu zabezpieczeń Teredo.

Ogólna implementacja modelu zabezpieczeń Teredo wymaga następujących elementów:

  • Zapora hosta z obsługą protokołu IPv6 musi być zarejestrowana w aplikacji Zabezpieczenia Windows na maszynie. W przypadku braku zapory opartej na hoście lub samej aplikacji zabezpieczeń systemu Windows interfejs Teredo nie będzie dostępny do użycia. Jest to jedyne wymaganie odbierania żądanego ruchu z Internetu za pośrednictwem interfejsu Teredo.
  • Każda aplikacja, która odbiera niepożądany ruch z Internetu za pośrednictwem interfejsu Teredo, musi zarejestrować się za pomocą zapory obsługującej protokół IPv6, na przykład Zapora systemu Windows, przed odebraniem niepożądanego ruchu.

Adres Teredo stanie się uśpiony, jeśli ruch nie został wysłany lub odebrany przez interfejs Teredo przez jedną godzinę i jeśli aplikacje spełniające wymagane kryteria zabezpieczeń dla niezamuchiwanego ruchu nie są uruchomione lub nie mają otwartych gniazd nasłuchiwania.

Po ponownym uruchomieniu maszyny lub jeśli adres Teredo utraci kwalifikacje, system Windows Vista automatycznie kwalifikuje adres i udostępni go do użycia zaraz po powiązaniu aplikacji z gniazdami obsługującymi protokół IPv6. Należy pamiętać, że opcja "Przechodzenie przez przeglądarkę brzegową" systemu Windows ustawiona przez aplikację w celu zezwolenia na niepożądany ruch przez teredo jest trwała w przypadku ponownych uruchomień.

Wymagania dotyczące zapory dla Teredo

Dostawcy zapór sieciowych mogą łatwo włączyć obsługę Teredo w swoich produktach i chronić użytkowników, korzystając z możliwości platformy filtrowania w systemie Windows. Można to osiągnąć, rejestrując zaporę obsługującą protokół IPv6 w aplikacji Zabezpieczenia Windows, dodając odpowiednie reguły do podwarstwy WFP Teredo i używając wbudowanych interfejsów API w systemie Windows w celu wyliczania aplikacji, które mogą nasłuchiwać niechcianego ruchu przez Teredo. W sytuacjach, gdy aplikacja nie musi nasłuchiwać żądanego ruchu przez tunel Teredo, zapory nie wymagają dodawania dodatkowych reguł do WFP. Jednak rejestracja zapory z obsługą protokołu IPv6 w aplikacji Zabezpieczenia Windows jest nadal wymagana, aby adres Teredo był dostępny do użycia.

Aby można było obsługiwać ten scenariusz, zapora musi obsługiwać protokół IPv6 i być zarejestrowana w aplikacji zabezpieczeń Windows. Ponadto zapora nie może zmienić działającego lub startowego stanu usługi Aplikacji zabezpieczeń systemu Windows (wscsvc), ponieważ Teredo jest zależne od informacji o stanie dostarczanych przez interfejsy API WSC.

Interfejs API, używany do rejestrowania zapory w aplikacji Zabezpieczenia Windows, można uzyskać, kontaktując się z firmą Microsoft pod numerem wscisv@microsoft.com. Umowa o zachowaniu poufności (NDA) jest wymagana do ujawnienia tego interfejsu API ze względu na obawy dotyczące bezpieczeństwa.

Poniższa dokumentacja zawiera szczegółowe informacje na temat filtrów i wyjątków używanych w celu zapewnienia optymalnej zgodności z usługą Teredo:

Wymagania dotyczące zapory dla innych technologii przejściowych IPv6

Aby obsługiwać inne technologie przejścia IPv6 (takie jak 6to4 i ISATAP), produkt zapory hosta musi być w stanie przetwarzać ruch IPv6. Protokół IP 41 wskazuje, kiedy nagłówek IPv6 jest zgodny z nagłówkiem IPv4. Gdy zapora hosta napotka protokół 41, musi rozpoznać, że pakiet jest otoczkowanym pakietem IPv6 i w związku z tym musi przetworzyć pakiet odpowiednio oraz podjąć decyzje o akceptacji/odrzuceniu na podstawie reguł IPv6 w swojej polityce.