Протокол тунелювання Teredo
Мабуть, зовсім не випадково протокол Teredo був названий на честь морських древо-точцев (корабельних черв'яків; Teredo navalis), які свого часу зробили трубки в чималій кількості дерев'яних суден. Ці морські молюски продовжують представ-лять загрозу для будь-яких пов'язаних з водою побудов з дерева, таких як дамби, доки і пірси. Протокол Teredo "просочується" крізь брандмауери NAT багато в чому точно таким же чином. Спочатку він називався протоколом Shipworm, що дослівно перекладається як "корабельний черв'як", але ця назва надто сильно скидалося на шкідливий ПО, тому протокол був перейменований в Teredo.
Механізм роботи протоколу Teredo
У Teredo пакети IPv6 инкапсулируются двічі: перший раз для інкапсуляції пакета IPv6 в пакет IPv4 з установкою для поля протоколу IPv4 значення 41, а другий раз для по-ня отриманого в результаті пакета IPv4 в повідомлення пакета IPv4 UDP. Такий двох-етапний процес інкапсуляції дозволяє проходити через NAT, але обертається зна-ве збільшенням накладних витрат. Крім цього, тунель Teredo ще робить хост схильним атакам сканування, оскільки тунельний адаптер Teredo, по суті, відкриває порт на хості для об'єктів, що проникають через брандмауер. В результаті цей порт може виявлятися і піддаватися атакам. Тому через збільшення накладних витрат і проблем з безпекою протокол тунелювання Teredo повинен застосовувати-ся тільки в самому крайньому випадку.
У поставляється Microsoft реалізації Teredo пропонуються додаткові заходи для захисту від атак сканування IPv6, в тому числі і опція, що дозволяє вказувати, звідки дозволено приймати трафік: звідусіль крім тунелю Teredo (така настройка использу-ється за замовчуванням), звідусіль і з тунелю Teredo в тому числі чи тільки з локальної внутрішньої мережі. Налаштування, використовувана за замовчуванням, запобігає сканування інтерфейсу тунелю Teredo. Зрозуміло, хост при цьому все одно може ініціювати пе-редачі трафіку через тунель.