Condividi tramite

Implementazione del modello di sicurezza Teredo

  • Articolo

Il modello di sicurezza Teredo si basa sulla tecnologia Windows Filtering Platform (WFP) incorporata in Windows Vista. Di conseguenza, è consigliabile usare firewall di terze parti per applicare il modello di sicurezza Teredo.

L'implementazione generale del modello di sicurezza Teredo richiede quanto segue:

  • Un firewall host compatibile con IPv6 deve essere registrato con l'app Sicurezza di Windows nel computer. In assenza di un firewall basato su host o l'app Sicurezza di Windows stessa, l'interfaccia Teredo non sarà disponibile per l'uso. Questo è l'unico requisito per ricevere traffico richiesto da Internet tramite l'interfaccia Teredo.
  • Qualsiasi applicazione che riceve traffico non risolto da Internet tramite l'interfaccia Teredo deve registrarsi con un firewall compatibile con IPv6, ad esempio Windows Firewall, prima di ricevere il traffico non richiesto.

Un indirizzo Teredo diventerà inattivo se il traffico non è stato inviato o ricevuto nell'interfaccia Teredo per un'ora e se le applicazioni che soddisfano i criteri di sicurezza necessari per il traffico non richiesto non sono in esecuzione o non hanno socket in ascolto aperti.

Dopo il riavvio di un computer o se l'indirizzo di Teredo perde le proprie qualifiche, Windows Vista qualifica automaticamente l'indirizzo e lo rende disponibile per l'uso non appena un'applicazione si associa ai socket compatibili con IPv6. È importante notare che l'opzione "Attraversamento perimetrale" di Windows Firewall impostata da un'applicazione per consentire il traffico non richiesto tramite Teredo è persistente tra i riavvii.

Requisiti del firewall per Teredo

I fornitori di firewall possono incorporare facilmente Teredo supporto nei propri prodotti e proteggere gli utenti usando le funzionalità della piattaforma di filtro di Windows. Questa operazione può essere eseguita registrando il firewall compatibile con IPv6 con l'app Sicurezza di Windows, aggiungendo regole appropriate al sottostrato Teredo WFP e usando API predefinite in Windows per enumerare applicazioni che potrebbero ascoltare il traffico non richiesto in Teredo. In situazioni in cui un'applicazione non deve ascoltare il traffico richiesto su Teredo, i firewall non richiedono regole aggiuntive aggiunte al WFP. Tuttavia, una registrazione del firewall in grado di IPv6 con l'app Sicurezza di Windows è ancora un requisito per rendere disponibile l'indirizzo Teredo per l'uso.

Per supportare questo scenario, il firewall deve essere compatibile con IPv6 e registrato con l'app Sicurezza di Windows. Inoltre, il firewall non deve modificare lo stato in esecuzione o di avvio del servizio app Sicurezza di Windows (wscsvc), poiché Teredo dipende dalle informazioni sullo stato fornite tramite le API WSC.

L'API utilizzata per registrare un firewall con l'app Sicurezza di Windows può essere ottenuta contattando Microsoft all'indirizzo wscisv@microsoft.com. Per la divulgazione di questa API a causa di problemi di sicurezza, è necessario un contratto di non divulgazione (NDA).

La documentazione seguente illustra in dettaglio i filtri e le eccezioni usate per garantire la compatibilità ottimale con Teredo:

Requisiti del firewall per altre tecnologie di transizione IPv6

Per supportare altre tecnologie di transizione IPv6 (ad esempio 6to4 e ISATAP), il prodotto firewall host deve essere in grado di elaborare il traffico IPv6. Il protocollo IP 41 indica quando un'intestazione IPv6 segue un'intestazione IPv4. Quando un firewall host rileva il protocollo 41, deve riconoscere che il pacchetto è un pacchetto IPv6-incapsulato e, di conseguenza, deve elaborare il pacchetto in modo appropriato e prendere le decisioni accetta/nega in base alle regole IPv6 nel relativo criterio.