Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O modelo de segurança Teredo baseia-se na tecnologia Windows Filtering Platform (WFP) incorporada no Windows Vista. Como resultado, recomenda-se que os firewalls de terceiros usem o WFP para impor o modelo de segurança Teredo.
A implementação geral do Teredo Security Model requer o seguinte:
- Um firewall de host compatível com IPv6 deve ser registrado no aplicativo Segurança do Windows no computador. Na ausência de um firewall baseado em host ou do próprio aplicativo de Segurança do Windows, a interface Teredo não estará disponível para uso. Este é o único requisito para receber tráfego solicitado da Internet através da interface Teredo.
- Qualquer aplicativo que receba tráfego não solicitado da Internet pela interface Teredo deve se registrar com um firewall compatível com IPv6, como Firewall do Windows, antes de receber o tráfego não solicitado.
Um endereço Teredo ficará inativo se o tráfego não tiver sido enviado ou recebido pela interface Teredo por uma hora e se os aplicativos que atendem aos critérios de segurança necessários para tráfego não solicitado não estiverem em execução ou não tiverem soquetes de escuta abertos.
Após a reinicialização de uma máquina, ou se o endereço Teredo perder suas qualificações, o Windows Vista qualificará automaticamente o endereço e o disponibilizará para uso assim que um aplicativo se ligar a soquetes compatíveis com IPv6. É importante notar que a opção "Edge Traversal" do Firewall do Windows definida por um aplicativo para permitir tráfego não solicitado via Teredo é persistente nas reinicializações.
Requisitos de firewall para Teredo
Os fornecedores de firewall podem facilmente incorporar o suporte a Teredo em seus produtos e proteger seus usuários usando os recursos da Plataforma de Filtragem do Windows. Isso pode ser feito registrando o firewall compatível com IPv6 com o aplicativo Segurança do Windows, adicionando regras apropriadas na subcamada Teredo do WFP e usando APIs internas no Windows para enumerar aplicativos que podem ouvir tráfego não solicitado no Teredo. Em situações em que um aplicativo não precisa ouvir o tráfego solicitado no Teredo, os firewalls não exigem regras adicionais adicionadas ao WFP. No entanto, um registro de firewall compatível com IPv6 com o aplicativo de Segurança do Windows ainda é um requisito para disponibilizar o endereço Teredo para uso.
Para dar suporte a esse cenário, o firewall deve ser compatível com IPv6 e registrado no aplicativo Segurança do Windows. Além disso, o firewall não deve alterar o estado de execução ou inicialização do serviço de aplicativo de Segurança do Windows (wscsvc), pois o Teredo depende das informações de estado fornecidas por meio das APIs do WSC.
A API utilizada para registrar um firewall com o aplicativo de Segurança do Windows pode ser obtida entrando em contato com a Microsoft em wscisv@microsoft.com. Um Acordo de Não Divulgação (NDA) é necessário para a divulgação desta API devido a preocupações de segurança.
A documentação a seguir detalha os filtros e exceções utilizados para garantir a compatibilidade ideal com o Teredo:
- Implementação de filtros de firewall para Teredo
- Exceções de Firewall Necessárias para Teredo
- Exceções Necessárias da Plataforma de Filtragem do Windows para Teredo
Requisitos de firewall para outras tecnologias de transição IPv6
Para suportar outras tecnologias de transição IPv6 (como 6to4 e ISATAP), o produto de firewall do host deve ser capaz de processar o tráfego IPv6. O Protocolo IP 41 indica quando um cabeçalho IPv6 segue um cabeçalho IPv4. Quando um firewall de host encontra o protocolo 41, ele deve reconhecer que o pacote é um pacote encapsulado em IPv6 e, como resultado, deve processar o pacote adequadamente e tomar as decisões de aceitação/negação com base nas regras IPv6 em sua política.