IPv6 – Teredo
A técnica de tunelamento automática Teredo, criada pela Microsoft e definida na RFC 4380, permite que nós localizados atrás de Network Address Translations (NAT), obtenham conectividade IPv6 utilizando tunelamento em IPv4, usando o protocolo UDP.
Sua utilização não é recomendada, dado que não é muito eficiente, tem alta taxa de falhas e algumas considerações de segurança. Contudo, é importante conhecê-la bem, já que está implementada e é utilizada de forma automática em algumas versões do Windows. A utilização de túneis automáticos implica que, mesmo a rede não tendo IPv6 implantado, usuários podem ter endereços IPv6 em seus dispositivos, inclusive com capacidade para receber conexões entrantes, contornando mecanismos e regras de segurança existentes no ambiente.
Existem dois elementos importantes no Teredo, o Servidor Teredo e o Relay Teredo. A conexão é realizada através de um Servidor Teredo, que a inicia após determinar o tipo de NAT usado na rede do cliente. Em seguida, caso o nó destino possua IPv6 nativo, um Relay Teredo é utilizado para criar uma interface entre o cliente e o nó destino. O Relay utilizado será sempre o que estiver mais próximo do nó destino e não o mais próximo do cliente.
Os Servidores Teredo utilizam a porta UDP 3544 para comunicar-se com os dispositivos. Bloquear pacotes IPv4 enviados de uma rede para a Internet nessa porta e na direção inversa, é uma forma efetiva para evitar a utilização indesejada, muitas vezes involuntária, desse tipo de túneis.
Por padrão, os Windows 7 e Vista já trazem o Teredo instalado e ativado por padrão, enquanto que no Windows XP, 2003 e 2008, ele vem apenas instalado. Quanto ao FreeBSD e ao Linux, ele não vem instalado. Caso seu uso seja desejado é possível utilizar um software chamado miredo.
Para iniciar o túnel, existe uma comunicação entre o cliente e o Servidor Teredo com a finalidade de identificar o tipo de NAT usado na rede. Para isso são usados dois IPs versão 4 no servidor. O Teredo é capaz de funcionar com NAT do tipo Cone, também chamado de NAT Estático e NAT Cone Restrito, também chamado de NAT Dinâmico, mas não funciona com NAT Simétrico. Foge ao escopo deste texto explicar o funcionamento de cada tipo de NAT.
Figura 42: Definição do tipo de túnel Teredo
Uma vez identificado o tipo de NAT, o cliente constrói seu endereço IPv6, conforme a figura a seguir:
Figura 43: Tradução de endereço IPv4 para IPv6 no Teredo
O prefixo é sempre 2001:0000::/32. As Flags servem para identificar o tipo de NAT.
A figura a seguir representa o estabelecimento do túnel Teredo na situação mais complexa possível, quando o cliente está numa rede com NAT Cone Restrito. Note que no estabelecimento do túnel, os primeiros pacotes fluem através do Servidor Teredo. Uma vez estabelecido o túnel, toda a comunicação é feita através do Relay, bidirecionalmente.
Figura 44: Estabelecimento de túnel Teredo
Além de bloquear a porta UDP 3544, para evitar a criação de túneis Teredo, estes podem ser desabilitados no próprio Windows. Para isso deve ser criada e configurada uma chave de registro, do tipo DWORD:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicestcpip6ParametersDisabledComponents
Ao fazer isso, a chave será criada com o valor 0×00. O bit 2 (do menos significativo para o mais significativo) deve ser mudado para 1, para desabilitar o Teredo. Ou seja, o valor da chave deve passar a ser 0×02. A função de todos os bits é descrita a seguir. Note que 0 é o valor padrão e significa que a função está ativa, 1 desativa a função:
bit 0: todos os túneis IPv6, incluindo ISATAP, 6to4 e Teredo;
bit 1: 6to4
bit 2: ISATAP
bit 3: Teredo
bit 4: interfaces IPv6 reais
bit 5: preferência por IPv4 e não IPv6
Assim como o 6to4, o Teredo possui questões de segurança. Através do encapsulamento ele pode permitir que tráfego que seria bloqueado em IPv4 consiga chegar ao destino. Ele vem instalado e habilitado por padrão no Windows. Recomenda-se que seja desabilitado em redes corporativas
