Teredo – oder wie man Firewalls außer Funktion setzt

Microsoft führt mit Vista ein neues Tunnelprotokoll für IPv6 über IPv4 ein. Mit Sicherheitsproblemen.
Toredo hat gewissen Ähnlichkeit mit 6to4, die IPv6-Pakete werden dabei in UDP-Pakete eingewickelt (RFC 4380). Damit gehen sie ziemlich problemlos durch Firewalls und NAT-Router. In vielen Fällen sogar ohne Wissen des Administrators, denn oft wird bei Firewalls jeder TCP- und UDP-Verkehr von innen nach außen zugelassen. Und zwar auch aus Netzen mit RFC 1918-Adressen.

Anders als bei 6to4 wird der Tunnel aber nicht an der Firewall bzw. dem äußeren Router aufgebaut, sondern Peer-to-Peer, d.h. wer einen Vista-Windows-Rechner hat, hat schon – ohne es zu merken und vollautomatisch einen IPv6-Tunnel. Zudem verwendet Vista bevorzugt IPv6. Zudem sucht sich Toredo Router im Internet, über die der Verkehr abgewickelt wird.

Damit kann es passieren, daß man seinen privaten Datenverkehr unversehens über Router im Ausland führt, ohne sich dessen bewußt zu werden, und einen Tunnel ohne jede Filterfunktion der Firewall aufzubauen. Man steht also ungefiltert im Internet und führt seinen Verkehr über Auslands-Router.

ich hatte meine Bedenken im August mal auf Full Disclosure erwähnt. Gestern habe ich eine E-Mail eines Symantec-Forschers erhalten, der die Sache näher untersucht und seine Ergebnisse in seinem Blog und in einem Paper (Sorry, hatte im ursprünglichen Blog-Eintrag den falschen Link angegeben) niedergeschrieben hat.

Habs zwar bisher nur kurz überflogen, aber Symantec bestätigt die Sicherheitsprobleme, die ich da erwähnt habe. (Nur zitieren tun sie es nicht…)