Teredo セキュリティ モデルの実装
Teredo セキュリティ モデルは、Windows Vista に組み込まれている Windows フィルタリング プラットフォーム (WFP) テクノロジに基づいています。 その結果、サードパーティのファイアウォールで WFP を使用して Teredo セキュリティ モデルを適用することをお勧めします。
Teredo セキュリティ モデルの一般的な実装には、次のものが必要です。
- IPv6 対応のホスト ファイアウォールは、コンピューター上のWindows セキュリティ アプリに登録する必要があります。 ホスト ベースのファイアウォール、またはWindows セキュリティ アプリ自体がない場合、Teredo インターフェイスは使用できません。 これは、Teredo インターフェイス経由でインターネットから要請されたトラフィックを受信するための唯一の要件です。
- Teredo インターフェイス経由でインターネットから未承諾のトラフィックを受信するアプリケーションは、未承諾のトラフィックを受信する前に、 Windows ファイアウォールなどの IPv6 対応ファイアウォールに登録する必要があります。
Teredo アドレスは、トラフィックが Teredo インターフェイス経由で 1 時間送受信されていない場合、および要求されていないトラフィックに必要なセキュリティ基準を満たすアプリケーションが実行されていない場合、またはリッスンしているソケットが開いていない場合に休止状態になります。
マシンの再起動後、または Teredo アドレスが修飾を失った場合、Windows Vista は自動的にアドレスを修飾し、アプリケーションが IPv6 対応ソケットにバインドされるとすぐに使用できるようにします。 Teredo 経由で未承諾のトラフィックを許可するようにアプリケーションによって設定された Windows ファイアウォール "Edge Traversal" オプションは、再起動後も永続的であることに注意してください。
Teredo のファイアウォール要件
ファイアウォール ベンダーは、製品に Teredo サポートを簡単に組み込み、Windows フィルタリング プラットフォームの機能を使用してユーザーを保護できます。 これを実現するには、IPv6 対応ファイアウォールを Windows セキュリティ アプリに登録し、WFP Teredo サブレイヤーに適切な規則を追加し、Windows の組み込み API を使用して Teredo 経由で未承諾のトラフィックをリッスンする可能性があるアプリケーションを列挙します。 アプリケーションが Teredo 経由で要請されたトラフィックをリッスンする必要がない場合、ファイアウォールでは WFP に追加の規則を追加する必要はありません。 ただし、Windows セキュリティ アプリでの IPv6 対応ファイアウォールの登録は、Teredo アドレスを使用できるようにするための要件です。
このシナリオをサポートするには、ファイアウォールが IPv6 対応で、Windows セキュリティ アプリに登録されている必要があります。 また、ファイアウォールは、wsc API を介して提供される状態情報に依存するWindows セキュリティ App Service (wscsvc) の実行中または起動状態を変更することはできません。
ファイアウォールをWindows セキュリティ アプリに登録するために使用される API は、 で wscisv@microsoft.comMicrosoft に問い合わせて取得できます。 セキュリティ上の懸念から、この API を開示するには、NDA (Non-Disclosure Agreement) が必要です。
次のドキュメントでは、Teredo との最適な互換性を確保するために使用されるフィルターと例外について詳しく説明します。
その他の IPv6 移行テクノロジのファイアウォール要件
他の IPv6 移行テクノロジ (6to4 や ISATAP など) をサポートするには、ホスト ファイアウォール製品が IPv6 トラフィックを処理できる必要があります。 IP プロトコル 41 は、IPv6 ヘッダーが IPv4 ヘッダーの後に続くタイミングを示します。 ホスト ファイアウォールでプロトコル 41 が検出された場合は、パケットが IPv6 カプセル化されたパケットであることを認識し、その結果、パケットを適切に処理し、ポリシー内の IPv6 規則に基づいて受け入れ/拒否の決定を行う必要があります。