Implementación del modelo de seguridad de Teredo

El modelo de seguridad teredo se basa en la tecnología windows Filtering Platform (PMA) integrada en Windows Vista. Como resultado, se recomienda que los firewalls de terceros usen EL PMA para aplicar el modelo de seguridad teredo .

La implementación general del modelo de seguridad de Teredo requiere lo siguiente:

• Se debe registrar un firewall de host compatible con IPv6 con la aplicación Seguridad de Windows en el equipo. En ausencia de un firewall basado en host o la propia aplicación Seguridad de Windows, la interfaz Teredo no estará disponible para su uso. Este es el único requisito para recibir tráfico solicitado de Internet a través de la interfaz Teredo.
• Cualquier aplicación que reciba tráfico no solicitado de Internet a través de la interfaz Teredo debe registrarse con un firewall compatible con IPv6, como firewall de Windows, antes de recibir el tráfico no solicitado.

Una dirección Teredo quedará inactiva si el tráfico no se ha enviado o recibido a través de la interfaz Teredo durante una hora y si las aplicaciones que cumplen los criterios de seguridad necesarios para el tráfico no solicitado no se están ejecutando o no tienen sockets de escucha abiertos.

Después del reinicio de una máquina, o si la dirección teredo pierde sus calificaciones, Windows Vista calificará automáticamente la dirección y la pondrá a disposición de su uso en cuanto una aplicación se enlaza a sockets compatibles con IPv6. Es importante tener en cuenta que la opción "Recorrido perimetral" del Firewall de Windows establecida por una aplicación para permitir el tráfico no solicitado a través de Teredo es persistente en los reinicios.

Requisitos de firewall para Teredo

Los proveedores de firewall pueden incorporar fácilmente compatibilidad con Teredo en sus productos y proteger a sus usuarios mediante las funcionalidades de la Plataforma de filtrado de Windows. Esto se puede lograr mediante el registro del firewall compatible con IPv6 con la aplicación Seguridad de Windows, la adición de reglas adecuadas a la subcapa Teredo del PMA y el uso de API integradas en Windows para enumerar aplicaciones que podrían escuchar el tráfico no solicitado a través de Teredo. En situaciones en las que una aplicación no necesita escuchar el tráfico solicitado a través de Teredo, los firewalls no requieren reglas adicionales agregadas al PMA. Sin embargo, un registro de firewall compatible con IPv6 con la aplicación Seguridad de Windows sigue siendo un requisito para que la dirección teredo esté disponible para su uso.

Para admitir este escenario, el firewall debe ser compatible con IPv6 y estar registrado con la aplicación Seguridad de Windows. Además, el firewall no debe cambiar el estado de inicio o en ejecución del servicio de aplicaciones de Seguridad de Windows (wscsvc), ya que Teredo depende de la información de estado proporcionada a través de las API de WSC.

La API utilizada para registrar un firewall con la aplicación de Seguridad de Windows se puede obtener poniéndose en contacto con Microsoft en wscisv@microsoft.com. Se requiere un acuerdo de no divulgación (NDA) para la divulgación de esta API debido a problemas de seguridad.

En la siguiente documentación se detallan los filtros y excepciones utilizados para garantizar una compatibilidad óptima con Teredo:

• Implementación de filtros de firewall para Teredo
• Excepciones de firewall necesarias para Teredo
• Excepciones de plataforma de filtrado de Windows necesarias para Teredo

Requisitos de firewall para otras tecnologías de transición de IPv6

Para admitir otras tecnologías de transición IPv6 (como 6to4 e ISATAP), el producto de firewall de host debe ser capaz de procesar el tráfico IPv6. El protocolo IP 41 indica cuándo un encabezado IPv6 sigue un encabezado IPv4. Cuando un firewall de host encuentra el protocolo 41, debe reconocer que el paquete es un paquete encapsulado IPv6 y, como resultado, debe procesar el paquete correctamente y tomar las decisiones de aceptación y denegación basadas en las reglas IPv6 de su directiva.