Teredo 보안 모델 구현

Teredo 보안 모델은 Windows Vista에 기본 제공되는 WFP(Windows 필터링 플랫폼) 기술을 기반으로 합니다. 따라서 타사 방화벽은 WFP를 사용하여 Teredo 보안 모델을 적용하는 것이 좋습니다.

Teredo 보안 모델의 일반적인 구현에는 다음이 필요합니다.

• IPv6 지원 호스트 방화벽은 컴퓨터의 Windows 보안 앱에 등록해야 합니다. 호스트 기반 방화벽 또는 Windows 보안 앱 자체가 없는 경우 Teredo 인터페이스를 사용할 수 없습니다. Teredo 인터페이스를 통해 인터넷에서 요청된 트래픽을 수신하는 유일한 요구 사항입니다.
• Teredo 인터페이스를 통해 인터넷에서 원치 않는 트래픽을 수신하는 모든 애플리케이션은 원치 않는 트래픽을 수신하기 전에 Windows 방화벽과 같은 IPv6 지원 방화벽에 등록해야 합니다.

Teredo 주소는 트래픽이 1시간 동안 Teredo 인터페이스를 통해 전송되거나 수신되지 않았으며 원치 않는 트래픽에 필요한 보안 조건을 충족하는 애플리케이션이 실행되지 않거나 수신 대기 소켓이 열려 있지 않은 경우 휴면 상태가 됩니다.

컴퓨터를 다시 부팅하거나 Teredo 주소가 자격을 잃으면 Windows Vista는 자동으로 주소를 한정하고 애플리케이션이 IPv6 지원 소켓에 바인딩되는 즉시 사용할 수 있게 합니다. Teredo 통해 원치 않는 트래픽을 허용하도록 애플리케이션에서 설정한 Windows 방화벽 "에지 트래버스" 옵션은 다시 부팅 시 지속된다는 점에 유의해야 합니다.

Teredo 대한 방화벽 요구 사항

방화벽 공급업체는 Windows 필터링 플랫폼의 기능을 사용하여 제품에 Teredo 지원을 쉽게 통합하고 사용자를 보호할 수 있습니다. 이 작업은 IPv6 지원 방화벽을 Windows 보안 앱에 등록하고, WFP Teredo 하위 계층에 적절한 규칙을 추가하고, Windows의 기본 제공 API를 사용하여 Teredo 통해 원치 않는 트래픽을 수신 대기할 수 있는 애플리케이션을 열거하여 수행할 수 있습니다. 애플리케이션이 Teredo 통해 요청된 트래픽을 수신 대기할 필요가 없는 경우 방화벽에는 WFP에 추가된 추가 규칙이 필요하지 않습니다. 그러나 Windows 보안 앱을 사용한 IPv6 지원 방화벽 등록은 여전히 Teredo 주소를 사용할 수 있도록 설정해야 합니다.

이 시나리오를 지원하려면 방화벽이 IPv6 지원이며 Windows 보안 앱에 등록되어야 합니다. 또한 Teredo WSC API를 통해 제공되는 상태 정보에 따라 달라지기 때문에 방화벽은 Windows 보안 앱 서비스(wscsvc)의 실행 또는 시작 상태를 변경하지 않아야 합니다.

Windows 보안 앱에 방화벽을 등록하는 데 사용된 API는 에서 wscisv@microsoft.comMicrosoft에 문의하여 가져올 수 있습니다. 보안 문제로 인해 이 API를 공개하려면 NDA(비밀 유지 계약)가 필요합니다.

다음 설명서에서는 Teredo 최적의 호환성을 보장하기 위해 사용된 필터 및 예외에 대해 자세히 설명합니다.

• Teredo 대한 방화벽 필터 구현
• Teredo 대한 필수 방화벽 예외
• Teredo 필요한 Windows 필터링 플랫폼 예외

기타 IPv6 전환 기술에 대한 방화벽 요구 사항

다른 IPv6 전환 기술(예: 6to4 및 ISATAP)을 지원하려면 호스트 방화벽 제품이 IPv6 트래픽을 처리할 수 있어야 합니다. IP 프로토콜 41은 IPv6 헤더가 IPv4 헤더를 따르는 시기를 나타냅니다. 호스트 방화벽이 프로토콜 41을 발견하면 패킷이 IPv6 캡슐화된 패킷임을 인식해야 하며, 따라서 패킷을 적절하게 처리하고 정책의 IPv6 규칙에 따라 수락/거부 결정을 내려야 합니다.