次の方法で共有

Teredoについて

Anonymous
2021-02-16T17:05:31+00:00

IPv6トンネリングのTeredoを有効化したままだと危険なのですか?似たようなもので6to4、 isatapなんかもあるようですが。

セキュリティー的な観点から無効にした方がいいと聞いたことがあるのですが具体的にどう危険なのでしょうか?

あとルーターのUpnp機能がオンだとTeredoがルーターのポートを開放するのですか?

たぶんほとんどのユーザーはTeredo有効化のまま使ってると思うので実際どうなのかわかりません。

とりあえずWindows8.1 とWindows 10 PCでオフライン環境でコマンドプロンプト→右クリから「管理者として実行」で「netsh interface teredo set state disabled」を入力して無効化してます。

家庭向け Windows | Windows 10 | インターネットと接続

ロックされた質問。 この質問は、Microsoft サポート コミュニティから移行されました。 役に立つかどうかに投票することはできますが、コメントの追加、質問への返信やフォローはできません。

0 件のコメント

質問作成者が受け入れた回答

Anonymous
2021-03-15T14:54:02+00:00

過去には、少なくともWindows 8.1ぐらいの時代まで、サードパーティのセキュリティソフトウェアがIPv6に対応していなかったものがほとんどだったという事実があります。Windowsのデフォルトのファイアウォールの方がIPv6に対応していたので、IPv4にしか対応していないサードパーティのセキュリティソフトウェアをインストールするとかえってセキュリティが悪化するといった笑えない話がありました。最近のものがIPv6に対応しているかどうかは各メーカーに確認してください。

ちなみにTeredoなどがデフォルトで無効になったのはWindows 10 ver.1803からです。

現在開発中の Windows 10 の機能 - Windows Deployment | Microsoft Docs

ISP提供のホームゲートウェイをルーターとして使っているのであれば、デフォルトでIPv6についても最低限のセキュリティ設定は行われています。IPv6でサーバーを公開したいとか、P2P系のコミュニティツールを使いたいとか、VPSでどこかのネットワークに接続したいなどでなければ、基本的には追加設定する必要はないはずです。

この回答は役に立ちましたか?

1 人がこの回答が役に立ったと思いました。
0 件のコメント

質問作成者が受け入れた回答

Anonymous
2021-02-17T00:33:06+00:00

まず、Windows 10の場合、最近のサポートが継続されているバージョンはデフォルトでTeredoや6to4、isatapといったプロトコルは無効になっています。意図的に有効にしていない限り無効になっています。Teredoや6to4、isatapといったプロトコルでIPv6での通信が可能になっても、多くの場合、通信性能的に速度は期待できません。

IPv4については、多くの場合NAPT経由になっていてUPnPなどでポートフォワーディングを設定していない限り、パソコンの待ち受けポートに直接外部からアクセスすることができなくなっています。そのため、ファイヤウォールの設定を特に気にする必要はありません。

IPv6については、リンクローカルなIPアドレス以外は基本的にグローバルアクセス可能なIPアドレスなので、各パソコンのプライベートファイヤウォールでしっかり保護する必要があります。直接IPv6で接続できる環境であれば、ルーターのファイヤウォールでまとめて制限することも可能ですが、Teredoや6to4、isatapでIPv6の通信を可能にした場合、各パソコンでプライベートファイヤウォールを設定して防御する必要があります。

Teredoに関しては、Teredoが有効な場合デフォルトでMicrosoftのTeredo サーバーに接続した後、Teredo リレーサーバーとパソコンとの間に通信用のトンネルが設置されます。この通信用のトンネルのためにUPnPでTeredo リレーサーバーに対してポートの開放が行われます。

IPv6でのプライベートファイヤウォールの設定を面倒がって、パラノイア的に危険だと騒いでいるというのが実態です。きちんと設定していれば基本的には問題ありません。ネイティブでIPv6で接続できるようにして、ルーターで一括して制御した方が楽なことは確かです。

もっとも、IPv6の128bitのアドレス空間を無作為にスキャンして何らかの機器が接続されているIPv6のIPアドレスを探し出して、そのうえでポートスキャンするなんて、どう考えても効率がいい話ではありません。総当たりスキャンするなんて、IPv4の32bitのアドレス空間ならともかく、IPv6では現実的ではないのです。むしろ、WebサーバーなどでアクセスしてきたクライアントのIPアドレスに対して攻撃を行った方が効率が良いぐらいなのです。そのため、特定のサイトにしかアクセスしないのであれば、神経質になるよりも割り切ったほうがいいでしょう。

この回答は役に立ちましたか?

1 人がこの回答が役に立ったと思いました。
0 件のコメント

1 件の追加の回答

並べ替え方法: 最も役に立つ
最も役に立つ 新しい順 古い順
  1. Anonymous
    2021-03-15T10:32:40+00:00

    >IPv6でのプライベートファイヤウォールの設定を面倒がって、パラノイア的に危険だと騒いでいるというのが実態です。きちんと設定していれば基本的には問題ありません。ネイティブでIPv6で接続できるようにして、ルーターで一括して制御した方が楽なことは確かです。

    自分はIPv4接続の契約だと思うんですけどますますIPv6敬遠しそう。

    理解は大体できましたが、私の力量では対処しようがないかも。PFWにしてもルーターのパケットフィルタリングにしても知識がないので弄れない。

    昔Microsoftのサイトの中にIPv6無効化とTeredo、isatap、6to4の無効化の仕方を書いたブログ?を見た気がしたんですけど見当たらない。

    一応各PCのイーサネットやWifiアダプターのインターネットプロトコルバージョン6(TCP/IPv6)のチェックは外して無効にはしてます。

    いろいろややこしいので8.1はTeredoだけコマンドで無効にして使います。

    10の最新バージョンは無効ならTeredo、isatap、6to4は何も気にせずそのまま使います。

    ただWindows 10はリカバリーメディア使うと古いバージョンに戻るので最新バージョンにするまでの間が若干不安なんですが ・・・

    >そのため、特定のサイトにしかアクセスしないのであれば、神経質になるよりも割り切ったほうがいいでしょう。

    ここでいうIPv6はTeredo、isatap、6to4を含めたものですか?

    特定のサイトにしかアクセスしないわけには行かないんですけど、カスペルスキーやノートンなどをインストールしてるだけじゃIPアドレスに対しての攻撃は防げないんですかね?

    この回答は役に立ちましたか?

    0 件のコメント