Teredo Tunneling Pseudo-Interface - что это такое? Описание и установка устройства Teredo Tunneling Pseudo-Interface
Teredo Tunneling Pseudo-Interface — что это такое? Псевдо-интерфейс Teredo Tunneling позволяет осуществлять обмен данными через Интернет. Это дает возможность получить доступ к IPv6 на вашем компьютере, даже если аппаратное обеспечение поддерживает только IPv4. Если служба запущена, она может непрерывно взаимодействовать с серверами Microsoft Teredo. Однако это сообщение не замедляет ваше подключение к Интернету или работу компьютера. На некоторых ПК Windows служба запускается по умолчанию.
Деактивация устройства Teredo Tunneling Pseudo-Interface
Хотя псевдо-интерфейс не используется большинством пользователей, он не мешает штатной работе ПК, поэтому деактивация данного режима не является обязательной.
Алгоритм отключения функции выглядит так:
- Откройте панель управления и выберите в разделе «Сеть и Интернет» раздел «Центр управления сетями и общим доступом».
- Нажмите «Изменить настройки адаптера» слева и откройте «Свойства», щелкнув правой кнопкой мыши адаптер локальной сети.
- Отключите параметр «Протокол Интернета 6 (TCP/IPV6)» и закройте окно с помощью кнопки «ОК».
Teredo Tunneling Pseudo-Interface — что это такое? Определение
Интерфейс обеспечивает логический путь, соединяющий программное обеспечение с физическим сетевым портом, таким как Ethernet или Wi-Fi.
«Псевдо-интерфейс» — что это такое? Teredo Tunneling Pseudo Interface обеспечивает аналогичный логический путь, но инкапсулирует трафик внутри другой структуры пакета до доставки порта. Этот метод называется «туннелирование». Технология принадлежит Microsoft.
Teredo Tunneling Pseudo Interface — что это такое? Интерфейс, который программное обеспечение использует для доступа к туннелю, чтобы подключиться к IPv6 в сети только с IPv4.
Вопросы безопасности
Teredo увеличивает возможность хакерской атаки, назначая глобально маршрутизируемые IPv6-адреса сетевым узлам за устройствами NAT, которые в противном случае были бы недоступны в Интернете. Поступая таким образом, Teredo потенциально предоставляет любое приложение с поддержкой IPv6 с открытым портом снаружи. Инкапсуляция туннелей Teredo также может привести к тому, что содержимое трафика данных IPv6 станет невидимым для программного обеспечения для проверки пакетов, что облегчит распространение вредоносного ПО. Наконец, Teredo предоставляет стек IPv6 и программное обеспечение туннелирования для атак, если у них есть какая-либо дистанционно доступная уязвимость.
Чтобы уменьшить вероятность атаки, стек Microsoft IPv6 имеет опцию сокета «уровень защиты». Это позволяет приложениям указывать, из каких источников они готовы принять трафик IPv6: из туннеля, из любого места, кроме Teredo (по умолчанию), или только из локальной интрасети.
Протокол также инкапсулирует подробную информацию о конечной точке туннеля в своих пакетах данных. Эта информация может помочь потенциальной атакующей угрозой, увеличивая возможность атаки или уменьшая требуемые усилия.
Брандмауэр, фильтрация и блокировка
Для того чтобы установить Teredo Tunneling Pseudo Interface, и чтобы протокол работал правильно, исходящие UDP-пакеты должны быть нефильтрованными. Это соответствует типичной настройке NAT и его функциональности. Программное обеспечение туннелирования обнаруживает фатальную ошибку Teredo Tunneling Pseudo-Interface и останавливается, если заблокирован исходящий IPv4 UDP-трафик. Кроме того, блокировка исходящего трафика на UDP-порт 3544 может влиять на активность протокола.
DoS через петли маршрутизации
В 2010 году были обнаружены новые методы для создания атак типа «отказ в обслуживании» с помощью маршрутных петель, которые используют туннели Teredo Tunneling Pseudo Interface, обновить которые для оптимальной работы достаточно легко.
Текущие версии Microsoft Windows позволяют использовать переходные технологии IPv6, включая Teredo с поддержкой IPv6 по умолчанию. Если этого не требуется, протокол может быть отключен с помощью команды CLI, редактирования реестра или использования групповой политики.
Реализации
В настоящее время доступно несколько реализаций Teredo:
- Windows XP с пакетом обновления 2 (SP2) включает ретрансляцию клиента и конкретного узла (также в расширенном сетевом пакете для пакета обновления 1).
- В Windows Server 2003 есть реле и сервер, предоставленные в рамках программы Microsoft Beta.
- Windows Vista и Windows 7 имеют встроенную поддержку с неопределенным расширением для симметричного обхода NAT. Если присутствуют только локальные ссылки и адрес, эти операционные системы не пытаются разрешать записи IPAA DNS AAAA, если присутствует запись DNS A, то в этом случае они используют IPv4. Таким образом, только буквальные URL-адреса IPv6 обычно используют Teredo. Это поведение может быть изменено в реестре.
- Miredo — клиент, ретранслятор и сервер для Linux, BSD и Mac OS X.
- Ng_teredo — реле и сервер, основанный на Netgraph для FreeBSD от LIP6 и 6WIND.
- NICI-Teredo — ретранслятор для ядра Linux и пользовательский сервер Teredo, разработанный в Национальном университете Chiao Tung.
Ограничения
Teredo несовместим со всеми устройствами NAT. Используя терминологию RFC 3489, он поддерживает все кодовые и ограниченные портом устройства NAT, но не симметричные. Оригинальная спецификация Shipwor также поддерживала симметричные NAT, но перестали внедрять их в устройства из-за проблем с безопасностью.
Ученые из Национального университета Chiao Tung на Тайване позже предложили технологию SymTeredo, которая улучшила оригинальный протокол для поддержки NAT, а реализации Microsoft и Miredo производят определенные нестандартные расширения для улучшения поддержки симметричных. Однако связь между клиентом Teredo за симметричным NAT и пользователем Teredo за ограниченным портом остается по-прежнему невозможной.
Альтернативы
Для 6to4 требуется публичный IPv4-адрес, но он обеспечивает большой 48-битный префикс IPv6 для каждой конечной точки туннеля и имеет более низкие служебные данные для инкапсуляции. Точечные туннели могут быть надежнее и подотчетнее, чем Teredo, они обычно предоставляют постоянные адреса IPv6, которые не зависят от адреса IPv4 конечной точки туннеля. Некоторые туннельные брокеры также поддерживают инкапсуляцию UDP для прохождения NAT (например, протокол AYIYA может это сделать). С другой стороны, туннели типа «точка-точка» обычно требуют регистрации. Автоматизированные инструменты (например, AICCU) упрощают их использование.