Поделиться через

Реализация модели безопасности Teredo

  • Статья

Модель безопасности Teredo основана на технологии Платформы фильтрации Windows (ВПП), встроенной в Windows Vista. В результате рекомендуется, чтобы сторонние брандмауэры использовали МПП для применения модели безопасности Teredo .

Для общей реализации модели безопасности Teredo требуется следующее:

  • Брандмауэр узла с поддержкой IPv6 должен быть зарегистрирован в приложении Безопасность Windows на компьютере. При отсутствии брандмауэра на основе узла или самого приложения Безопасность Windows интерфейс Teredo будет недоступен для использования. Это единственное требование для получения запрашиваемого трафика из Интернета через интерфейс Teredo.
  • Любое приложение, которое получает незапрошенный трафик из Интернета через интерфейс Teredo, перед получением незапрашиваемого трафика должно быть зарегистрировано в брандмауэре с поддержкой IPv6, например брандмауэре Windows.

Адрес Teredo станет неактивным, если трафик не был отправлен или получен через интерфейс Teredo в течение одного часа и если приложения, отвечающие необходимым критериям безопасности для незапрашиваемого трафика, не запущены или не имеют открытых сокетов прослушивания.

После перезагрузки компьютера или если адрес Teredo теряет свою квалификацию, Windows Vista автоматически квалифицирует адрес и сделает его доступным для использования, как только приложение привязывается к сокетам с поддержкой IPv6. Важно отметить, что параметр брандмауэра Windows "Обход edge", заданный приложением для разрешения незапрошенного трафика через Teredo, сохраняется при перезагрузке.

Требования к брандмауэру для Teredo

Поставщики брандмауэра могут легко включить поддержку Teredo в свои продукты и защитить своих пользователей с помощью возможностей платформы фильтрации Windows. Это можно сделать, зарегистрировав брандмауэр с поддержкой IPv6 в приложении Безопасность Windows, добавив соответствующие правила в подслой WFP Teredo и используя встроенные API в Windows для перечисления приложений, которые могут прослушивать незапрошенный трафик через Teredo. В ситуациях, когда приложению не нужно прослушивать запрошенный трафик через Teredo, брандмауэры не требуют дополнительных правил, добавленных в МПП. Однако регистрация брандмауэра с поддержкой IPv6 в приложении Безопасность Windows по-прежнему является обязательным требованием, чтобы сделать адрес Teredo доступным для использования.

Для поддержки этого сценария брандмауэр должен быть с поддержкой IPv6 и зарегистрирован в приложении Безопасность Windows. Кроме того, брандмауэр не должен изменять состояние запуска или запуска службы приложений Безопасность Windows (wscsvc), так как Teredo зависит от сведений о состоянии, предоставляемых через API WSC.

API, используемый для регистрации брандмауэра в приложении Безопасность Windows, можно получить, обратившись в корпорацию Майкрософт по адресу wscisv@microsoft.com. Для раскрытия этого API требуется соглашение о неразглашении (NDA) из соображений безопасности.

В следующей документации подробно описаны фильтры и исключения, используемые для обеспечения оптимальной совместимости с Teredo:

Требования к брандмауэру для других технологий перехода IPv6

Для поддержки других технологий перехода IPv6 (таких как 6to4 и ISATAP) брандмауэр узла должен быть способен обрабатывать трафик IPv6. Протокол IP 41 указывает, когда заголовок IPv6 следует за заголовком IPv4. Когда брандмауэр узла сталкивается с протоколом 41, он должен признать, что пакет является инкапсулированным пакетом IPv6, и в результате должен обработать пакет соответствующим образом и принять или запретить решения на основе правил IPv6 в политике.