Compartilhar via

Implementando o modelo de segurança teredo

  • Artigo

O modelo de segurança teredo baseia-se na tecnologia WFP ( Plataforma de Filtragem do Windows ) incorporada ao Windows Vista. Como resultado, é recomendável que firewalls de terceiros usem o WFP para impor o modelo de segurança teredo .

A implementação geral do Modelo de Segurança teredo requer o seguinte:

  • Um firewall de host compatível com IPv6 deve ser registrado com o aplicativo Segurança do Windows no computador. Na ausência de um firewall baseado em host ou no próprio aplicativo Segurança do Windows, a interface Teredo não estará disponível para uso. Esse é o único requisito para receber o tráfego solicitado da Internet pela interface do Teredo.
  • Qualquer aplicativo que receba tráfego não solicitado da Internet pela interface do Teredo deve se registrar com um firewall compatível com IPv6, como o Firewall do Windows, antes de receber o tráfego não solicitado.

Um endereço Teredo ficará inativo se o tráfego não tiver sido enviado ou recebido pela interface teredo por uma hora e se os aplicativos que atendem aos critérios de segurança necessários para tráfego não solicitado não estiverem em execução ou não tiverem soquetes de escuta abertos.

Após a reinicialização de um computador ou se o endereço Teredo perder suas qualificações, o Windows Vista qualificará automaticamente o endereço e o disponibilizará para uso assim que um aplicativo se associar a soquetes compatíveis com IPv6. É importante observar que a opção "Passagem de Borda" do Firewall do Windows definida por um aplicativo para permitir o tráfego não solicitado via Teredo é persistente entre reinicializações.

Requisitos de firewall para Teredo

Os fornecedores de firewall podem incorporar facilmente o suporte do Teredo em seus produtos e proteger seus usuários usando os recursos da Plataforma de Filtragem do Windows. Isso pode ser feito registrando o firewall compatível com IPv6 com o aplicativo Segurança do Windows, adicionando regras apropriadas à subcamada do WFP Teredo e usando APIs internas no Windows para enumerar aplicativos que podem escutar o tráfego não solicitado no Teredo. Em situações em que um aplicativo não precisa escutar o tráfego solicitado pelo Teredo, os firewalls não exigem regras adicionais adicionadas ao WFP. No entanto, um registro de firewall compatível com IPv6 com o aplicativo Segurança do Windows ainda é um requisito para disponibilizar o endereço Teredo para uso.

Para dar suporte a esse cenário, o firewall deve ser compatível com IPv6 e registrado com o aplicativo Segurança do Windows. Além disso, o firewall não deve alterar o estado de execução ou inicialização do serviço de aplicativo Segurança do Windows (wscsvc), pois o Teredo depende das informações de estado fornecidas por meio das APIs do WSC.

A API utilizada para registrar um firewall com o aplicativo Segurança do Windows pode ser obtida entrando em contato com a Microsoft em wscisv@microsoft.com. Um NDA (Contrato de Confidencialidade) é necessário para a divulgação dessa API devido a questões de segurança.

A documentação a seguir detalha os filtros e exceções utilizados para garantir a compatibilidade ideal com o Teredo:

Requisitos de firewall para outras tecnologias de transição IPv6

Para dar suporte a outras tecnologias de transição IPv6 (como 6to4 e ISATAP), o produto de firewall do host deve ser capaz de processar o tráfego IPv6. O Protocolo IP 41 indica quando um cabeçalho IPv6 segue um cabeçalho IPv4. Quando um firewall de host encontra o protocolo 41, ele deve reconhecer que o pacote é um pacote encapsulado por IPv6 e, como resultado, deve processar o pacote adequadamente e tomar as decisões de aceitação/negação com base nas regras IPv6 em sua política.