Ir para o conteúdo
Ir para o conteúdo
Logo NIC.br Logo CGI.br
A Microsoft está planejando tornar obsoleto o Teredo, técnica de transição para o IPv6 criada pela empresa. O primeiro passo neste processo é desativar seus servidores Teredo, começando por um teste de 9 a 15 de julho de 2013. Entenda nesse artigo o que é o Teredo, possíveis problemas em seu uso e as consequências da sua desativação. Update: os resultados do teste realizado de 9/07 a 15/07 podem ser conferidos em: https://www.ietf.org/proceedings/87/slides/slides-87-v6ops-5.pdf

Sobre o Teredo

Teredo é um serviço que possibilista a um dispositivo atrás de um ou mais NATs IPv4 obter acesso as redes IPv6 através do tunelamento de pacotes IPv6 em pacotes UDP IPv4. Esta técnica, desenvolvida pela Microsoft, foi descrita na RFC 4380 (https://www.ietf.org/rfc/rfc4380.txt) em 2006 e foi implementada em diversas versões dos sistemas operacionais Microsoft, em muitos deles era habilitado por padrão.

A técnica era baseada em Servidores Teredo e em Relays Teredo. Os servidores em usados para configurar e gerenciar os túneis e os Relays Teredos eram responsáveis por receber e encaminhar o tráfego dos túneis. O resultado final é similar ao de outra técnica, o 6to4, que também cria túneis automáticos para permitir acesso a redes IPv6 através de redes IPv4.

Esta técnica cumpriu o seu papel de incentivar o uso do IPv6, mas com o crescente uso de IPv6 nativo, tem cada vez menos relevância para a Internet.

Problemas de sua utilização

A utilização de de túneis abre algumas brechas de segurança, pois equipamentos que suportam IPv6 nativamente podem se comunicar em IPv6 através de túneis em redes IPv4 e assim evitar a segurança implementada para IPv4. O Teredo vem habilitado por padrão em diversas versões dos sistemas operacionais Windows, e se a rede IPv4  não tratar disso adequadamente a existência do Teredo a técnica poderia ser usada por um atacante para obter acesso evitando a

segurança IPv4. Um usuário dentro da rede, também pode usar Teredo para acessar conteúdo ou redes que seriam normalmente bloqueadas se o acesso fosse via IPv4.

Outro ponto de vulnerabilidade vem do fato do Teredo depender de servidores e relays públicos para que o túnel que transporta IPv6 seja estabelecido. Estes servidores públicos não possuem garantia de qualidade e de confiabilidade e podem agir de maneira maliciosa, por exemplo, analisando, armazenando e até alterando dados, fazendo assim ataques do tipo "Man-in-The-Middle".

Como bloquear o Teredo

Existem duas maneiras de bloquear o funcionamento dos túneis Teredo. A primeira consiste em configurações de Firewall para impedir a passagem de pacotes Teredo de dentro ou para dentro da sua rede. Esta configuração é bem simples, basta configurar no seu firewall de borda a seguinte regra:

  • Bloquear pacotes de OU para {servidores teredo}
  • Bloquear pacotes UDP com porta destino 3544

Os principais servidores Teredo são:

  • teredo.ipv6.microsoft.com
  • teredo.remlab.net
  • teredo2.remlab.net
  • debian-miredo.progsoc.org
  • teredo.ginzado.ne.jp
  • teredo.iks-jena.de

É importante salientar que é possível criar servidores Teredo e assim alguns outros servidores existem.

A segunda maneira é desativar o Teredo diretamente no sistema operacional. Isto pode ser feito através da edição do registro do Windows, conforme explicado no site da Microsoft (https://support.microsoft.com/kb/929852).

Teredo Sunset

A Microsoft considera que o momento de desativar o Teredo se aproxima, em especial com o grande aumento nas conexões IPv6 nativas e na redução do uso do Teredo. A Microsoft espera que esta desativação incentive uma maior utilização de IPv6 nativo.

Para este processo de obsolescência do Teredo a Microsoft vai fazer uma desativação teste do principal servidor Teredo (teredo.ipv6.microsoft.com) de 9 a 15 de julho de 2013 para medir o impacto e consequências da desativação. Desligar este servidor fará com que todas as configurações padrão do Windows e outros sistemas operacionais parem de funcionar. Se por algum motivo a utilização do Teredo for necessária, será mantido um servidor de teste (test.ipv6.microsoft.com) durante o teste. Para configurar a utilização para o servidor back up execute no console do Windows:

  • netsh interface teredo set state client test.ipv6.microsoft.com

    A fonte da informação é este email, dos responsáveis pelo serviço na Microsoft, enviado a algumas listas:
-------- Original Message --------
Subject: Teredo Sunset Experiment
Date: Mon, 24 Jun 2013 18:52:53 +0000
From: Christopher Palmer 

As you probably know, Teredo is an IPv6 transition technology that
provides IPv6 addressability and connectivity for capable hosts which
are on IPv4 internet but with no native connection to an IPv6 network.

Teredo, like all IPv4/IPv6 transition technologies, was always intended
to be sunset at some point, as discussed in RFC 4380.  The time to
consider the sunset plan is now - especially evidenced by the recent
strides in native IPv6 connectivity.

Teredo connectivity relies on a Teredo server for configuration, and a
Teredo relay for connectivity to the IPv6 Internet. Since Windows Vista,
Windows clients have been configured to use a Microsoft hosted Teredo
service available at teredo.ipv6.microsoft.com. Windows, as well as
other operating systems, support Teredo server and relay functionality.

We are considering sunsetting this Teredo service, and thus leaving
Windows clients unable to qualify Teredo connectivity in their default
configuration. Client attempts to qualify Teredo against our service
will fail. Users who want to use Teredo would have to manually configure
a different Teredo service name. We have a "back-up" at
test.ipv6.microsoft.com.

While our service has made Teredo connectivity available by default to
millions of end-users, the value of Teredo does not appear as broadly
applicable. Teredo has seen considerable usage in "controlled"
environments such as DirectAccess - its usage for general consumer
connectivity has been quite limited. This experiment does not reflect a
quieting of our enthusiasm for Teredo in those controlled environments.

As an attempt to "measure" the impact of this sunsetting, we would like
to switch off the service for a few days. Resultant feedback and
telemetry will help us inform the future of the Teredo service and its
default configuration on Windows. We intend to conduct this experiment
from  approximately July 9 0:0:00 UTC, to July 15 0:0:00 UTC. Please us
know if those dates would conflict with anything that could skew the
results of the experiment.

For anyone using Windows who simply cannot survive without Teredo during
the experiment - configuring the back-up Teredo service can be done by
running the following in a command prompt:

netsh interface teredo set state client test.ipv6.microsoft.com

Please feel free to send feedback to the list, to myself, or to
teredo@microsoft.com<mailto:teredo@microsoft.com>. If you got this email
directly - you will also receive notification of the results of the
experiment and our next steps.

Best,
Chris

Compartilhe

Busca