Implémentation du modèle de sécurité Teredo

Le modèle de sécurité Teredo est basé sur la technologie de plateforme de filtrage Windows (PAM) intégrée à Windows Vista. Par conséquent, il est recommandé que les pare-feu tiers utilisent PAM pour appliquer le modèle de sécurité Teredo .

L’implémentation générale du modèle de sécurité Teredo nécessite les éléments suivants :

• Un pare-feu hôte compatible IPv6 doit être inscrit auprès de l’application Sécurité Windows sur l’ordinateur. En l’absence d’un pare-feu basé sur l’hôte ou de l’application Sécurité Windows elle-même, l’interface Teredo ne sera pas disponible. Il s’agit de la seule exigence pour recevoir le trafic sollicité à partir d’Internet via l’interface Teredo.
• Toute application qui reçoit du trafic non sollicité d’Internet via l’interface Teredo doit s’inscrire auprès d’un pare-feu compatible IPv6, comme le Pare-feu Windows, avant de recevoir le trafic non sollicité.

Une adresse Teredo devient inactive si le trafic n’a pas été envoyé ou reçu sur l’interface Teredo pendant une heure et si les applications qui répondent aux critères de sécurité requis pour le trafic non sollicité ne sont pas en cours d’exécution ou n’ont pas de sockets d’écoute ouverts.

Après le redémarrage d’une machine ou si l’adresse Teredo perd ses qualifications, Windows Vista qualifie automatiquement l’adresse et la rend disponible dès qu’une application se lie à des sockets compatibles IPv6. Il est important de noter que l’option « Edge Traversal » du Pare-feu Windows définie par une application pour autoriser le trafic non sollicité via Teredo est persistante lors des redémarrages.

Configuration requise du pare-feu pour Teredo

Les fournisseurs de pare-feu peuvent facilement intégrer la prise en charge de Teredo dans leurs produits et protéger leurs utilisateurs à l’aide des fonctionnalités de la plateforme de filtrage Windows. Pour ce faire, vous pouvez inscrire le pare-feu compatible IPv6 auprès de l’application Sécurité Windows, ajouter des règles appropriées dans la sous-couche Pam Teredo et utiliser les API intégrées dans Windows pour énumérer les applications susceptibles d’écouter le trafic non sollicité sur Teredo. Dans les situations où une application n’a pas besoin d’écouter le trafic sollicité sur Teredo, les pare-feu ne nécessitent pas d’ajout de règles supplémentaires au PAM. Toutefois, une inscription de pare-feu compatible IPv6 avec l’application Sécurité Windows est toujours nécessaire pour rendre l’adresse Teredo disponible pour l’utilisation.

Pour prendre en charge ce scénario, le pare-feu doit être compatible IPv6 et inscrit auprès de l’application Sécurité Windows. En outre, le pare-feu ne doit pas modifier l’état d’exécution ou de démarrage du service d’application Sécurité Windows (wscsvc), car Teredo dépend des informations d’état fournies via les API WSC.

L’API utilisée pour inscrire un pare-feu auprès de l’application Sécurité Windows peut être obtenue en contactant Microsoft à l’adresse wscisv@microsoft.com. Un accord de non-divulgation (NDA) est requis pour la divulgation de cette API en raison de problèmes de sécurité.

La documentation suivante détaille les filtres et exceptions utilisés pour garantir une compatibilité optimale avec Teredo :

• Implémentation de filtres de pare-feu pour Teredo
• Exceptions de pare-feu requises pour Teredo
• Exceptions de plateforme de filtrage Windows requises pour Teredo

Configuration requise du pare-feu pour les autres technologies de transition IPv6

Pour prendre en charge d’autres technologies de transition IPv6 (telles que 6to4 et ISATAP), le produit de pare-feu hôte doit être capable de traiter le trafic IPv6. Le protocole IP 41 indique quand un en-tête IPv6 suit un en-tête IPv4. Lorsqu’un pare-feu hôte rencontre le protocole 41, il doit reconnaître que le paquet est un paquet encapsulé IPv6 et, par conséquent, doit traiter le paquet de manière appropriée et prendre les décisions d’acceptation/refus en fonction des règles IPv6 de sa stratégie.