Teredo unter Windows - mehr Gefahr oder mehr Nutzen?

Automatisch IPv6 für jeden über Teredo

  • SUPER - warum macht Microsoft keine Werbung dafür?

    Votes: 0 0.0%
  • BRAUCHBAR - aber nur für den privaten Haushalt

    Votes: 1 25.0%
  • AAAAAH! - Eine neue Lücke in der Firewall :-/

    Votes: 2 50.0%
  • WEG DAMIT - das ist eine Vorzeige-Sicherheitslücke!

    Votes: 1 25.0%

  • Total voters
    4
  • Poll closed .

Lord Gurke

Nur echt mit 32 Zähnen
Hallo zusammen,

ich habe das heute schon im Büro diskutiert und nun würde mich mal die Meinung der Forenuser hier interessieren.

Unter Windows 7 und Vista wird ja beim direkten Anpingen einer IPv6-Adresse im Hintergrund automatisch versucht, über Teredo eine IPv6-Adresse zu erhalten, falls bei keinem Interface eine globale IPv6-Adresse gebunden ist.
Der Teredo-Tunnel wird über UDP aufgebaut und ermöglicht es dem Rechner dann über getunneltes IPv6 diese Adressen zu erreichen - ohne dass der Benutzer irgendwas manuell bestätigen müsste.

Die Tunnelbroker haben zwar eine Firewall vorgeschaltet und alle Ports dichtgemacht, damit niemand von außen auf diese IPv6-Adresse zugreifen kann - aber zumindest der Tunnelbroker könnte ja noch wenn er wollte.

Effektive Maßnahme dagegen ist natürlich, in der Firewall zumindest die Teredo-Ports zu schließen. Ebenso kann auf dem Client über den Gerätemanager der Teredo-Adapter deaktiviert werden.

Doch wie seht ihr das?
Ist das ein nettes Feature für alle IPv6-Losen Benutzer, die es benötigen oder stellt es für euch nur eine neue Möglichkeit dar, dass fremde Personen einfachen Zugriff auf den Rechner erhalten?
Ich habe die Antwortmöglichkeiten extra schwammig gehalten, viel mehr freue ich mich auf eure Meinung in Textform :)


Viele Grüße aus dem Tal
Max


Nachtrag: Wer das mal selbst probieren will, kann gerne mein IPv6-Gateway daheim missbrauchen...
2a02:a00:e000:b:8000::dead:beef
 
Last edited by a moderator:

Whistler

Blog Benutzer
Hm, fast ein Tag und noch kein Statement :confused:

Zunächstmal finde ich es gut, daß Microsoft mit auf den IPv6-Zug aufgesprungen ist.

Heute, wo das Ende der Verfügbarkeit neuer IPv4-Adressen (je nach Rechenmodell) nur noch 24 bis 2 Monate entfernt ist, steht damit auf allen großen Betriebssystemen IPv6 zur Verfügung, bei Microsoft sogar herunter bis Windows XP (mit Einschränkungen sogar unter 2000).

Andererseits nervt mich die Herangehensweise, jede neue Innovation jedem erstmal ungefragt auf's Auge zu drücken.
Wenn ich z.B. auf einem Windows-Rechner eine neue Netzwerkkarte einrichte, sind defaultmäßig erstmal alle irgendwie verfügbaren Protokolle gebunden, wie unsinnig es im konkreten Fall auch sein mag. Meist verbringt mann mehr Zeit damit diese Protokollbindungen erstmal zu lösen (bzw. riskiert Sicherheitslücken, wenn man es vergißt) als wenn man die wirklich benötigten Protokolle selbst eintragen würde.

Mit UPnP war es genauso, lange bevor die ersten sinnvollen Anwendungen existierten waren die ersten Sicherheitslücken bekannt und mußten gepatcht werden.

Leider macht man mit IPv6 den gleichen Fehler wieder. Die Enduser-Foren sind voll von Leuten, deren "IPv6-Konnektivität eingeschränkt" ist und die wissen wollen, ob das was schlimmes ist :)

Nicht nur, daß IPv6 standardmäßig eingeschaltet (und imo ab Vista auch nicht mehr deinstallierbar) ist, es werden ohne Sinn und Verstand Tunnelungsmechanismen von Isatap bis Teredo aktiviert.

"Tollerweise" ist auch noch der Privacy-Mode defaultmäßig eingeschaltet, was das Management in größeren Netzen nochmal zusätzlich erschwert, weil man einen Störer nochnichtmal anhand der MAC-Addresse identifizieren kann.

Nocmal: Ich finde es wirklich gut, daß Windows IPv6 unterstützen kann, finde es jedoch unmöglich, daß man quasi mit missionarischem Eifer zu seinem Glück gezwungen wird.
 

d4f

Müder Benutzer
Des einen Freud des anderen Leid. Microsoft muss man fairerweise vorhalten dass sie ab Vista versuchen dem Enduser so viel wie moeglich die Arbeit ab zu nehmen.
Stoepsel deine Billig-Webcam an, warte paar Sekunden und voila - ist direkt mit Originaltreiber versorgt und einsetzbar.
Steck dein Netzwerkstecker ein und Windows versucht direkt IPv6 zu benutzen.

Mit neuer Technik ist es immer so dass Ottonormal-Verbraucher sich nur zu was anderem bequemen wenn das aktuelle nicht funktioniert. Und "sein Internet" geht doch bei allen unbedarften Anwender ohne diesen IP...was?? Dingsbums den man doch "eh nicht braucht" da eben "doch alles geht" ;)
Kein Max Mustermann wird sich durch ein separat erhaeltliches Handbuch wuehlen um ein Protokoll zu installieren wo er noch nicht mal weiss was es ist und spontan mit einem Strafzettel verbindet...
Sysadmins hingegen regen sich ueber die standardmaessig eher auf benutzerfreundlich denn sicher getrimmten Einstellungen auf und raufen sich in Windows-Netzen mit unmanaged Machinen die letzten verbleibenden Haare aus ;)
 

Top