Anda di halaman 1dari 38

TEREDO

1. Pendahuluan
Transisi dari IPv6 ke IPv4 dapat memakai metode tunneling yang berjalan dengan cara
mengirimkan paket IPv6 sebagai muatan paket IPv4. Masalah dari metode 6to4 (R!"#$6%
adalah bah&a metode ini tidak bekerja ketika kandidat node IPv6 terisolasi di belakang
('(T% 'et&ork (ddress Translator. '(T biasanya tidak diprogram untuk mengi)inkan
transmisi jenis *payload+ atau muatan. 6to4 akan bekerja dengan '(T jika '(T dan router
dari 6to4 berada di dalam kotak yang sama. '(T tidak dapat diupgrade untuk memberikan
,ungsi router 6to4.
-ebuah cara yang mungkin dapat memecahkan hal tersebut adalah dengan mengandalkan
satu set . tunnel brokers.. 'amun/ ada batasannya seperti0 kualitas layanan mungkin terbatas/
karena lalu lintas mengikuti *dogleg route+ dari sumber ke broker lalu ke tujuan. 1roker
harus menyediakan kapasitas transmisi yang cukup untuk menyampaikan semua paket dan
mengakibatkan biaya tinggi. 2arena dua alasan ini/ maka dapat ditarik solusi yang
memungkinkan untuk .automatic tunneling./ yaitu/ membiarkan paket mengikuti jalur
langsung ke tujuan.
Re3uirement dari *automatic tunneling+ memang bertentangan dengan beberapa spesi,ikasi
'(T. Misalnya apabil dibangun jalur langsung/ maka kandidat node IPv6 dapat mengambil
alamat .globally routable. yang dihasilkan dari translasi alamat lokal oleh satu atau lebih
'(T. -elain itu/ kita dapat menemukan cara untuk mem4bypass berbagai .per destination
protections. yang diimplementasikan pada banyak '(T. 5alam memo ini/ kami akan
menjelaskan bagaimana kandidat IPv6 yang terletak di belakang '(T/ menggunakan .Teredo
server. untuk mempelajari .alamat global. mereka dan untuk mendapatkan konektivitas/
bagaimana mereka bertukar paket dengan native IPv6 host melalui .Teredo relay./ dan
bagaimana klien/ server/ dan relay dapat diatur dalam jaringan teredo.
-pesi,ikasi ini disusun sebagai berikut. 1agian 6 berisi de,inisi dari istilah yang digunakan
dalam memo ini. 1agian " menyajikan hipotesis tentang perilaku '(T digunakan dalam
desain/ serta persyaratan operasional yang harus ada. 1agian 4 menyajikan ,ormat alamat
IPv6 digunakan oleh Teredo. 1agian $ berisi ,ormat pesan dan spesi,ikasi protokol. 1agian 6
menyajikan pedoman untuk bekerja lebih lanjut tentang tunnel yang akan melengkapi
pendekatan saat ini. 1agian 7 berisi diskusi keamanan/ bagian 8 berisi diskusi tentang
unilateral 5iri (lamat (9'-(% isu4isu/ dan bagian : berisi pertimbangan I('( i;ing.
2. Definisi
6.<. Teredo -ervice
Transmisi paket4paket IPv6 melalui 95P/ sebagaimana dide,inisikan dalam memo ini.
6.6. Teredo !lient
-ebuah node yang memiliki beberapa akses ke Internet IPv4 dan ingin mendapatkan
akses ke Internet IPv6.
6.". Teredo -erver
-ebuah node yang memiliki akses ke Internet melalui alamat IPv4 routable secara global/
dan digunakan sebagai pembantu untuk menyediakan konektivitas IPv6 ke Teredo klien.
6.4. Teredo Relay
-ebuah router IPv6 yang dapat menerima lalu lintas ditujukan untuk Teredo !lient dan
meneruskannya menggunakan Teredo -ervice.
6.$. Teredo IPv6 -ervice Pre,i;
-ebuah pengalamatan pre,i; IPv6 yang digunakan untuk membangun alamat IPv6 dari
Teredo !lient.
6.6. =lobal Teredo IPv6 -ervice Pre,i;
-ebuah a&alan pengalamatan IPv6 yang nilainya 6##<0####0>"6.
6.7. Teredo 95P Port
'omor port 95P di mana Teredo -erver sedang menunggu paket. 'ilai port ini adalah
"$44.
6.8. Teredo 1ubble
Teredo 1ubble adalah paket IPv6 minimal/ terbuat dari header IPv6 dan muatan null.
?enis muatan diatur ke $:/ ada 'e;t @eader/ sesuai AR!646#B. Teredo !lient dan Relay
dapat mengirimkan bubble dalam rangka menciptakan pemetaan di '(T.
6.:. Teredo -ervice Port
Port dari Teredo !lient yang mengirimkan paket Teredo. Port ini melekat ke salah satu
alamat IPv4 klien. (lamat IPv4 mungkin routable secara global ataupun tidak/ sebagai
klien dapat terletak di belakang satu atau lebih '(T.
6.<#. Teredo -erver (ddress
(lamat IPv4 dari Teredo -erver yang dipilih oleh klien tertentu.
6.<<. Teredo Mapped (ddress and Teredo Mapped Port
-ebuah alamat IPv4 global dan port 95P yang dihasilkan dari translasi alamat IPv4 dan
port 95P dari klien Teredo -ervice oleh satu atau lebih '(T. 2lien mempelajari nilai4
nilai ini melalui protokol Teredo yang dijelaskan dalam memo ini.
6.<6. Teredo IPv6 !lient Pre,i;
-ebuah lingkup global IPv6 pre,i; yang terdiri dari Teredo IPv6 -ervice dan alamat
Teredo -erver.
6.<". Teredo 'ode Identi,ier
-ebuah identi,ier 644bit yang berisi port 95P dan alamat IPv4 di mana klien dapat
dicapai melalui Teredo -ervice/ serta ,lag yang menunjukkan jenis '(T melalui mana
klien mengakses Internet IPv4.
6.<4. Teredo IPv6 (ddress
-ebuah alamat Teredo IPv6 yang diperoleh dengan cara menggabungkan Teredo IPv6
client pre,i; dan Teredo node identi,ier.
6.<$. Teredo Re,resh Interval
Interval di mana alamat Teredo IPv6 diperkirakan akan tetap berlaku dalam ketiadaan
.re,resh. lalu lintas. 9ntuk klien terletak di belakang '(T/ interval tergantung pada
parameter kon,igurasi '(T lokal/ atau kombinasi dari '(T pada jalur ke Teredo -erver.
-ecara de,ault/ klien mengasumsikan nilai selang &aktu "# detik/ nilai dapat ditentukan
dengan tes lokal/ seperti diuraikan dalam bagian $.
6.<6. Teredo -econdary Port
-ebuah port 95P digunakan untuk mengirim atau menerima paket untuk menentukan
nilai yang sesuai dari re,resh interval/ tetapi tidak digunakan untuk memba&a lalu lintas
Teredo.
6.<7. Teredo IPv4 5iscovery (ddress
-ebuah alamat multicast IPv4 digunakan untuk menemukan Teredo !lient yang lain pada
subnet IPv4 yang sama. 'ilai alamat ini 664.#.#.6$".
3. Tujuan desain, Persyaratan, dan Model Operasi
-olusi yang diusulkan mengangkut paket IPv6 sebagai muatan paket 95P. @al ini
didasarkan pada pengamatan bah&a T!P dan 95P adalah satu4satunya protokol yang
terjamin untuk menyeberangi sebagian besar perangkat '(T. Tunneling packet melalui
T!P mungkin dapat terjadi/ tapi akan menghasilkan rendahnya kualitas pelayanan.
Cnkapsulasi atas 95P adalah pilihan yang lebih baik. 5esain solusi kami didasarkan pada
seperangkat hipotesis dan pengamatan terhadap perilaku '(T/ keinginan kami untuk
memberikan . IPv6 provider o, last resort./ dan da,tar persyaratan operasional. Ini
menghasilkan model operasi di mana layanan Teredo diakti,kan oleh satu set server dan
relay.
".<. @ipotesis tentang Perilaku '(T
Perangkat '(T biasanya menggabungkan beberapa dukungan untuk 95P/ dalam rangka
untuk memungkinkan pengguna dalam natted domain untuk menggunakan aplikasi
berbasis 95P. '(T biasanya akan mengalokasikan .pemetaan. ketika melihat sebuah
paket 95P datang melalui yang belum ada pemetaan. Penanganan 95P .sessions. oleh
perangkat '(T debedakan oleh dua parameter penting/ jenis dan durasi dari pemetaan.
?enis pemetaan dianalisis dalam AR!"48:B/ yang membedakan antara *cone '(T+/
*restricted cone '(T+/ *port restricted cone '(T+ dan .simetris '(T.. -olusi Teredo
memastikan konektivitas untuk klien terletak di belakang cone '(T/ terbatas cone '(T/
atau port restricted cone '(T.
Transmisi paket regular IPv6 hanya terjadi setelah pertukaran .bubble. antara para pihak.
Pertukaran ini akan sering gagal untuk klien di belakang '(T simetris/ karena rekan
mereka tidak dapat memprediksi nomor port 95P yang '(T harapkan.
2lien terletak di belakang '(T simetris hanya akan dapat menggunakan Teredo jika
mereka dapat entah bagaimana memprogram '(T dan memesan port layanan Teredo
untuk setiap klien/ misalnya/ menggunakan ,ungsi 5MD dari '(T. Ini jelas merupakan
persyaratan berat/ bertentangan dengan tujuan desain solusi otomatis. 'amun/ studi
dokumentasi telah menunjukkan bah&a/ setidaknya dalam praktisnya jaringan
.unmanaged./ 'at simetris merupakan minoritas kecil/ apalagi sepertinya model '(T
yang baru atau upgrade ,irm&are terbaru menghindari disain .simetris..
Investigasi terhadap kinerja AR!"48:B telah menunjukkan ,rekuensi relati, dari desain
'(T tertentu/ yang dapat kita sebut . port conserving.. 5alam desain ini/ '(T mencoba
untuk menjaga nomor port yang sama dalam dan di luar/ kecuali .outside. port number
yang sudah digunakan untuk pemetaan lain dengan host yang sama. Port conserving '(T
muncul sebagai .cone. atau . restricted cone '(T./ tetapi mereka akan berperilaku
sebagai .simetris '(T. ketika beberapa host internal menggunakan nomor port yang
sama untuk berkomunikasi dengan server yang sama.
Teredo 5esign meminimalkan risiko menghadapi perilaku .simetris. dengan menanyakan
beberapa host yang terletak di belakang '(T yang sama untuk menggunakan port
layanan Teredo berbeda.
Penyelidikan lain dalam perilaku '(T juga menguraikan perilaku .probabilistic re&rite..
1eberapa merek '(T akan memeriksa semua paket untuk .embedded addresses./ alamat
IP/ dan nomor port dalam muatan aplikasi. Mereka secara sistematis akan menggantikan
"64bit nilai4nilai yang sesuai dengan alamat lokal berdasarkan alamat yang dipetakan.
-pesi,ikasi Teredo termasuk prosedur .ob,uscation. untuk menghindari perilaku ini.
Terlepas dari jenis mereka/ pemetaan 95P tidak disimpan selamanya. (lgoritma yang
khas adalah untuk menghapus pemetaan jika tidak ada lalu lintas yang diamati pada port
tertentu untuk periode .li,etime.. Teredo !lient yang ingin mempertahankan pemetaan
terbuka pada '(T harus mengirim beberapa tra,,ic .keep alive. sebelum masa berakhir.
9ntuk itu/ dibutuhkan estimasi parameter .li,etime. yang digunakan dalam '(T. 2ami
mengamati bah&a pelaksanaan pengendalian li,etime dapat bervariasi dalam beberapa
cara.
2ebanyakan '(T menerapkan . minimum li,etime./ yang diatur sebagai parameter
pelaksanaan. Pengamatan kami dari berbagai kotak menunjukkan bah&a parameter ini
dapat bervariasi antara sekitar 4$ detik dan beberapa menit. 5alam banyak '(T/
pemetaan dapat disimpan untuk jangka &aktu yang melebihi minimum ini/ bahkan tanpa
adanya lalu lintas. 2ami menduga bah&a banyak pelaksanaan melakukan .garbage
collection. dari pemetaan yang tidak digunakan pada acara4acara khusus/ misalnya/
ketika jumlah keseluruhan pemetaan melebihi beberapa batas.
5alam beberapa kasus/ misalnya/ '(T yang mengelola Integrated -ervices 5igital
'et&ork (I-5'% atau koneksi dial4up/ pemetaan akan dilepaskan ketika koneksi
dilepaskan/ yaitu/ ketika tidak ada lalu lintas yang diamati pada sambungan selama
beberapa menit .
-etiap algoritma yang digunakan untuk memperkirakan masa pemetaan akan harus tahan
terhadap variasi ini.
5alam beberapa kasus/ klien terletak di belakang beberapa '(T. Teredo Procedure akan
memastikan komunikasi antara klien antara beberapa '(T dan klien .on the other side.
dari 'at ini. Mereka juga akan memastikan komunikasi ketika klien berada di subnet
tunggal di belakang '(T yang sama.
Prosedur tidak membuat hipotesis tentang jenis alamat IPv4 yang digunakan di belakang
'(T/ dan khususnya tidak menganggap bah&a ini adalah alamat pribadi dide,inisikan
dalam AR!<:<8B.
".6. IPv6 Provider o, East Resort
Teredo dirancang untuk memberikan .IPv6 access o, last resort. untuk node yang
membutuhkan konektivitas IPv6 tetapi tidak dapat menggunakan salah satu skema transisi
IPv6 lainnya. Tujuan desain ini memiliki beberapa konsekuensi ketika menggunakan
Teredo/ bagaimana program klien/ dan apa yang diharapkan dari server. 2onsekuensi lain
adalah bah&a kita berharap untuk melihat titik &aktu di mana teknologi Teredo berhenti
digunakan.
".6.<. 2apan Menggunakan Teredo
Teredo dirancang untuk mengakti,kan lalu lintas IPv6 melalui '(T/ dan the price o,
robustness adalah jumlah yang &ajar dari overhead/ karena enkapsulasi 95P dan
transmisi bubble. 'ode yang ingin terhubung ke Internet IPv6 @(R9- menggunakan
layanan Teredo sebagai .last resort. pilihan0 mereka @(R9- lebih condong
menggunakan konektivitas IPv6 langsung jika tersedia secara lokal/ jika disediakan oleh
router 6to4 co4located dengan lokal '(T/ atau jika disediakan oleh tunnel layanan yang
sudah dikon,igurasi dan mereka @(R9- lebih condong menggunakan 6to4 enkapsulasi
jika mereka dapat menggunakan alamat IPv4 global.
".6.6. (utonomous 5eployment
5alam jaringan IPv64enabled/ layanan IPv6 dikon,igurasi secara otomatis/ dengan
menggunakan mekanisme seperti IPv6 -tateless (ddress (utocon,iguration AR!6466B.
Tujuan desain adalah untuk mengkon,igurasi layanan Teredo seotomatis mungkin. 5alam
prakteknya/ bagaimanapun/ diperlukan klien yang mempelajari alamat IPv4 dari server
yang bersedia untuk melayani klien/ beberapa server juga mungkin memerlukan beberapa
bentuk kontrol akses.
".6.". 1eban Minimal Pada -erver
-elama puncak transisi/ akan ada persyaratan untuk menggunakan Teredo -erver yang
mendukung sejumlah besar Teredo klien. Meminimalkan beban pada server adalah cara
yang baik untuk mem,asilitasi penyebaran ini. 9ntuk mencapai tujuan ini/ server harus
se4stateless mungkin/ dan mereka juga tidak boleh diminta untuk memba&a lebih banyak
lalu lintas dari yang diperlukan. 9ntuk mencapai tujuan ini/ kita hanya memerlukan
server yang memungkinkan pertukaran paket antara klien/ tetapi kita tidak memerlukan
server untuk memba&a paket data aktual. Paket ini harus ditukar langsung antara klien
Teredo/ atau melalui tujuan yang dipilih menyampaikan untuk pertukaran antara Teredo
!lient dan klien IPv6 lainnya.
".6.4. (utomatic -unset
Teredo dimaksudkan sebagai solusi jangka pendek untuk masalah spesi,ik yang
menyediakan layanan IPv6 ke node terletak di belakang '(T. Perubahan .IPv4 '(T.
menjadi .router IPv6. dapat terselesaikan dengan berjalannya &aktu. @al ini dapat
dilakukan dalam satu dari dua cara0 upgrade '(T untuk menyediakan ,ungsi 6to4 atau
meng4upgrade koneksi Internet yang digunakan oleh '(T untuk layanan IPv6 asli/ dan
kemudian menambahkan IPv6 router ,ungsi di '(T. 5alam kedua kasus tersebut/ '(T
dapat hadir sendiri sebagai router IPv6 ke sistem di belakangnya. -istem ini akan mulai
menerima . router advertisements.. Mereka akan diperingatkan bah&a mereka memiliki
konektivitas IPv6 dan akan berhenti menggunakan Teredo.
".". Persyaratan Fperasional
".".<. Robustness Re3uirement
Teredo -ervice dirancang untuk ketahanan0 paket yang diba&a 95P untuk menyeberang
sebanyak mungkin '(T. -erver dirancang untuk menjadi stateless/ yang berarti bah&a
mereka dapat dengan mudah direplikasi. 2ami berharap memang menemukan banyak
server tersebut direplikasi di beberapa lokasi Internet.
".".6. -edikit 1iaya 5ukungan
Eayanan ini membutuhkan dukungan dari Teredo -erver dan ketertiban Teredo relays.
5alam rangka untuk mem,asilitasi penyebaran server dan relay/ prosedur Teredo
dirancang untuk meminimalkan jumlah yang diperlukan koordinasi antara server dan
relay.
Tujuan ini menyiratkan bah&a alamat Teredo akan menggabungkan alamat IPv4 dan port
95P di mana klien Teredo bisa dihubungi. @al ini menciptakan batas implisit pada
stabilitas alamat Teredo/ yang hanya dapat tetap berlaku selama alamat IPv4 yang
mendasari dan port 95P tetap berlaku.
".".". Perlindungan terhadap 5enial o, -ervice (ttacks
Teredo !lient memperoleh alamat yang dipetakan dan port dari Teredo server. Eayanan
ini harus dilindungi dari 5enial o, -ervice (ttacks di mana pihak ketiga men4spoo, server
Teredo dan mengirimkan in,ormasi yang tidak benar kepada klien.
".".4. Perlindungan terhadap 5istributed 5enial o, -ervice (ttacks
Teredo relay akan bertindak sebagai relay untuk paket IPv6. -ecara tidak sengaja paket
relay dirancang dapat digunakan oleh 5enial o, -ervice (ttacks untuk menyembunyikan
alamat mereka/ membuat serangan tidak bisa dilacak. Eayanan Teredo harus mencakup
perlindungan yang memadai terhadap penyalahgunaan tersebut.
".".$. !ompatibility &ith Ingress iltering
Router dapat melakukan ingress ,iltering dengan memeriksa bah&a alamat sumber dari
paket yang diterima pada antarmuka yang diberikan adalah .sah./ yaitu/ milik pre,iks
jaringan dari lalu lintas yang diharapkan pada antarmuka jaringan. Ingress ,iltering adalah
praktek yang disarankan/ karena menggagalkan penggunaan alamat sumber IP oleh
hacker/ terutama untuk menutupi jejak mereka selama 5o-. The -pesi,ikasi Teredo tidak
harus memaksa jaringan untuk menonakti,kan ingress ,iltering.
".4. Model o, Fperation
Fperasi Teredo melibatkan empat jenis node0 Teredo clients/ Teredo servers/ Teredo
relays/ and .plain. IPv6 nodes.
Teredo klien mulai beroperasi dengan berinteraksi dengan server Teredo/ melakukan
.prosedur kuali,ikasi.. -elama prosedur ini/ klien akan mengetahui apakah itu adalah itu
behind a cone/ restricted cone/ atau symmetric '(T. ?ika klien tidak terletak di belakang
'(T simetris/ prosedur akan berhasil dan klien akan mengkon,igurasi .alamat Teredo..
(lamat Teredo IPv6 meng4embed .mapped address and port. di mana klien dapat
menerima paket IPv4>95P paket encapsulasi IPv6. ?ika klien tidak terletak di belakang
cone '(T/ transmisi paket IPv6 biasa harus didahului dengan pertukaran .bubble. yang
akan menginstal pemetaan di '(T. 5okumen ini menentukan bagaimana bubble dapat
dipertukarkan antara Teredo !lient untuk memungkinkan transmisi sepanjang jalur
berlangsung.
Teredo !lient dapat menukar paket IPv6 dengan anode Pv6 biasa (misalnya node nativ
atau node 6to4% melalui Teredo relay. Teredo relay melihatkan kemampuan dalam
pencapaian dai pre,iks Teredo ke sebuah subset tertentu dari Internet IPv60 sebuah relay
dibentuk oleh sebuah I-P yang hanya akan melayani customer IPv6G sebuah relay
dibentuk untuk sebuah situs yang hanya akan melayani host IPv6 di situs tersebut. 5ual4
stack hosts bisa mengimplementasikan sebuah *local relayH/ membolehkan mereka untuk
berkomunikasi langsung dengan hosts teredo dengan mengirim paket IPv6 melalui 95P
dan IPv4 tanpa harus memperlihatkan alamat Teredo IPv6.
Teredo client mencari relay terdekat dengan IPv6 atau 6to4 untuk berkomunikasi. 9ntuk
mencegah spoo,ing/ Teredo client melakukan prosedur pencarian rela dengan mengirim
sebuah ICMP echo request ke native host. Pesannya memiliki ,ormat paket I!MP IPv6/
yang dienkapsulasi di 95P dan dikirim oleh client ke Teredo serverG server akan
mendekapsulasi pesan IPv6 dan meneruskan ke tujuan IPv6. 5i dalam echo request
terdapat bilangan random. Echo reply dikirim oleh peer ke alamat IPv6 klien/ dan
diteruskan melalui mekanisme routing IPv6 standar. Maka secara otomatis akan mencapai
Teredo relay terdekat dengan nativ atau 6to4/ dan akan diteruskan oleh relay
menggunakan mekanisme Teredo. 2lien akan mencari alamat IPv4 dan Port 95P yang
digunakan oleh relay untuk mengirim echo reply, dan akan mengirim paket IPv6 ke peer
dengan mengenkapsulasi ke dalam paket 95P yang dikirim ke alamat dan port IPv4.
1agaimanapun untuk mecegah spoo,ing/ Teredo clients harus memveri,ikasi bah&a di
dalam echo reply terdapat bilangan random.
Prosedur tersebut didesain agar Teredo server hanya bekerja saat prosedur kuali,ikasi dan
saat pertukaran bubbles dan ICMP echo requests. Teredo server tak pernah memba&a
data traffic. (da dua rasionalisasi untuk desain tersebut0 mengurangi Load pada server
untuk mengakti,kan saling, dan menghindari isu privasi ayan dapat terjadi jika sebuah
teredo server menjaga salinan dari paket data klien.
4. Teredo Addresses
Pengalamatan teredo terdiri dari $ komponen sebagai berikut0
4 Pre,iks 0 pre,iks "64bit Teredo -ervice
4 -erver IPv40 alamat IPv4 Teredo server
4 lag 0 <6 bit tipe dokumen dari address dan '(T
4 Port 0 Port 95P Teredo -ervice di klien (digelapkan> disembunyikan%
4 !lient IPv4 0 alamat IPv4 klien (digelapkan> disembunyikan%
Pada ,ormat tersebut/ Port 95P dan alamat IPv4 dari klien disembunyikan. Tiap bit pada
alamat dan Port dibalikG hal ini bisa diselesaikan dengan exclusive O dari <64bit nomor
Port dengan nilai heksadesimal #;.
(turan pengalamatan IPv6 ditetapkan bah&a *untuk semua pengalamatan unicast,
kecuali yang dia&ali dengan nilai biner ###/ Inter,ace I5s dibutuhkan agar menjadi 64
bit dan ddiekonstruksi dalam ,ormat Modified E!I"#$%. <6 bit yang harus cocok dengan
nilai valid dari <6 bit Modified E!I"#$ I& 0
5alam ,ormat tersebut 0
4 1it *9=+ harus diset *##+/ sebagai identi,ier unicast non4global
4 1it *!+ (Fne% harus diset < jika klien berada di belakang cone '(T/ # untuk
keadaan lainG
'ilai tersebut menentukan perbedaan kebiasaan server selama prosedur kuali,ikasi.
4 1it yang diidenti,ikasi dengan *)+ harus diset # dan abaikan pada penerimaan.
Terdapat dua nilai dari 'lags field0 *#;####+ (semua Euk% jika bit cone diset #/ *#;8###+
jika bit cone diset <.
. !pe"ifi"ation of #lients, !er$ers, and Relays
(eredo )ervice direalisasikan dengan memiliki klien4klien yang berinteraksi
dengan Teredo -erver melalui Teredo -ervice Protocol. 2lien juga apa menerima paket
IPv6 melalui Teredo relays. Client *ehavior akan dijelaskan pada poin $.6.
(eredo )erver didesain sebagai stateless. Maksudnya/ ia akan menunggu (eredo
equest dan untuk paket IPv6 pada Port Teredo 95PG pemrosesan request dengan
mengirim respons ke alamat dan Port yang tepatG meneruskan beberapa paket Teredo
IPv6 ke alamat dan Port 95P IPv4/ atau pasangan nativ IPv6 (eredo Clients. Precise
behavior of server akan dijelaskan pada poin $.".
elay behvior akan dijelaskan pada poin $.4. -edangkan implementasi sunset
prosedur akan dibahas di poin $.$.
.1 Messa%e &or'ats
.1.1 Teredo (P$) Pa"*et En"apsulation
Paket Teredo IPv6 dikirim sebagai paket 95P AR!768B dan IPv4
AR!7:<B. Pak dapat berasal satu dari dua ,ormat/ si+ple encapsulation dan
encapsulation ,lt origin indication.
2etika si+ple encapsulation digunakan/ paket memiliki ,ormat yang
simpel/ paket IPv6 diba&a sebagai payload dari datagram 95P 0
2etika beberapa paket yang direlay telah diterima dari ketiga bagian/
server menambahkan sebuah identi,ier khusus (origin indication% pada byte
pertama dari payload !&P-
Cnkapsulasi origin indication adalah sebuah elemen 84octet/ dengan
konten sebagai berikut0
5ua oktet pertama dari origin indocation diatas diset 1ullG ini diguakan
untuk membedakan antara si+pel encapsulation, dimana 4 bit pertama dari
paket mengandung indikasi dari protokol IPv6/ dan origin indication.
<6 bit berikutnya mengandung nilai Port yang digelapkan .obfuscated
value/ dari sumber pengiriman paket/ di 0et1or2s byte order. "6 bit setelahnya
mengandung alamat IPv4 yang digelapkan (IPv4 ob,uscated% dari sumber
pengirim/ di 0et1or2s byte order. Tiap bit pada alamat dan Port dibalikG hal ini
bisa diselesaikan dengan exclusive O dari <64bit nomor Port dengan nilai
heksadesimal #;/ dan sebuah exclusive O dari "64bit alamat dengan
nilai heksadesimal #;.
!ontoh/ jika Port 95P asli adalah ""7 (heksadesimal #<$<% dan alamat
IPv4 asli adalah <.6.".4 (heksadesimal #<#6#"#4%/ origin indication akan
mengandung nilai *####C(CC5!1+.
2etika menukar pesan outer )olicitation .)/ dan outer
,dvertise+ent .,/ antara klien dan server/ paket bisa mengandung parameter
autentication sebagai berikut 0
,uthentication encapsulation adalah sebuah elemen variabel yang
mengandung sebuah client identifier, authentication value, once value, dan
sebuah confir+ation byte.
'ilai oktet pertama dari authentication encapsulation diset 1ull/ dan
oktet kedua diset <G ini untuk membedakan antara paket IPv6 dan in,ormasi
indication encapsulation. Fktet ketiga merupakan panjang byte dari identi,ier
klienG oktet empat merupakan byte dari authentication value. -etelah
,uthentication value terdapat 84oktet nonce/ dan sebuah byte kon,irmasi. I54
len dan (94len dapat diset 1ull jika server tidak membutuhkan autentikasi
khusus dari klien.
Cnkapsulasi authentication dan origin indication kadang perlu
digabung. -ebagai contoh/ pada respons R( yang dikirim oleh server. Pada
kasus ini/ enkapslasi autentikasi harus menjadi elemen pertama pada !&P
Payload-
.1.2 Ma+i'u' Trans'ission ,nit
-ejak Teredo digunakan 95P sebagai Transport dasar/ Teredo
Ma;imum Transmission 9nit (MT9% dapat menjadi sebesar payload pada
valid 95P datagram (6$$#7 byte%. -ejak paket teredo dapat dile&atkan pada
jalur yang tidak diduga sebelumnya di Internet/ ini merupakan hal terbaik agar
MT9 menjadi berukuran kecil. Ein de,ault MT9 diasmsikan oleh sebuah host/
dan Ein MT9 disuplai oleh Teredo server.
Implementasi Teredo tidak harus mengeset bit &on3t 'rag+ent .&'/
pada enkapsulasi header IPv4.
.2 Teredo #lient !pe"ifi"ation
-ebelum menggunaan Teredo -ervice/ klien harus dikon,igurasi dengan0
4 (lamat IPv4 server
4 (lamat sekunder IPv4 server
?ika keamanan dibutuhkan/ klien juga harus dikon,igurasi dengan0
4 -ebuah identi,ier klien
4 'ilai rahasia/ hanya di share dengan server
4 -ebuah algoritma autentikasi/ hanya di share dengan server
Teredo client diharapkan menukar paket IPv6 melalui Port 95P/ itu Port
Teredo -ervice. 9ntuk mencegah masalah ketika beroperasi di belakang sebuah
*Port conserving+ '(T/ klien yang berbeda yang beroperasi di '(T yang sama
harus menggunakan nomor -ervice Port yang berbeda. @al ini dapat dicapai dengan
kon,igurasi tertentu atau pada absence of configuration/ dengan mengambil nomor
Port secara random.
2lien akan menjaga variabel berikut ini yang juga merupakn -tate dari
Teredo -ervice0
4 -tatus konektivitas Teredo/
4 Mapped address dan nomor Port yang disosiasikan dengan port Teredo
-ervice/
4 Pre,iks Teredo IPv6 diasosiasikan dengan Port Teredo -ervice/
4 (lamat teredo IPv6/ atau bisa jadi pengalamatan berasal dari pre,iks/
4 Lin2 local address
4 Iaktu dan tanggal interaksi terakhir dengan server Teredo/
4 (eredo efresh Interval,
4 ando+i4e efresh Interval,
4 5a,tar pasangan teredo terakhir.
-ebelum mengirimpket/ klien harus melakukan prosedur (eredo
5ualification, untuk menentukan status konektivitas teredo/ mapped address dan
nomor Port/ dan pre,iks Teredo IPv6. -etelah itu/ kemudian melakukan prosedur
cone 0,( deter+ination, untuk menentukan status cone '(T dan bisa saja untuk
mengubah nilai pre,iks. ?ika qualification berhasil/ klien boleh menggunakan Port
Teredo -ervice untuk mengirim dan menerima paket IPv6/ berdasarkan prosedur
trans+ission dan reception. Prosedur tersebut menggunakan *list o, recent peer+.
9ntuk tiap peer/ terdapat 0
4 (lamat pasangan IPv6/
4 Mapped IPv$ address dan +apped !&P Port pasangan/
4 -tatus dari +apped address, misalkan tepercaya atau tidak/
4 'ilai terakhir dari nonce yang dikirim ke peer/
4 Tanggal dan &aktu penerimaan terakhir dari peer,
4 Tanggal dan &aktu pengiriman terakhir ke peer,
4 ?umlah bubles yang terkirim ke peer.
List of peer tersebut digunakan untuk mengakti,kan transmisi paket IPv6
menggunakan direct path.
.2.1 -ualifi"ation Pro"edure
Tujuan dari 5ualification Procedure adalah untuk menentukan status dari
koneksi IPv4 lokal dan untuk menentukan pre,iks klien Teredo IPv6 pada
local teredo interface. Prosedurnya adalah sebagai berikut0
.2.2 !e"ure -ualifi"ation
Eevel pertama pengamanan adalah dengan mengecek apakah nilai dari
nonce yang ada di bagian respon cocok dengan nilai a&al saat dikirim oleh
klien. ?ika tidak cocok/ paket ditolak. ?ika tidak ada pengamanan lain yang
digunakan/ autentikasi payload tidak terisi identi,ier ataupun ,ield autentikasiG
I54len dan (94len diset dengan nilai null. 2etika keamanan yang lebih kuat
dibutuhkan/ autentikasi payload terdapat identi,ier dan location fields, akan
dijelaskan seperti berikut.
2on,irmasi byte diset # oleh klien. 'ilai 1ull dikembalikan oleh server
yang berarti bah&a 2ey klien masih validG nilai nun4null berarti klien harus
memasukan 2ey baru.
2etika otentikasi kuat disediakan/ klien dan server yang ditetapkan
dengan klien identi,ier/ rahasia bersama/ dan identi,ikasi algoritma otentikasi.
-ebelum transmisi/ nilai otentikasi dihitung sesuai dengan algoritma tertentuG
pada penerimaan/ algoritma yang sama digunakan untuk menghitung nilai
target dari isi menerima paket. Penerima menganggap otentikasi berhasil jika
dua nilai cocok. ?ika tidak/ paket @(R9- dibuang.
9ntuk memaksimalkan interoperabilitas/ spesi,ikasi ini mende,inisikan
algoritma de,ault di mana nilai otentikasi dihitung sesuai dengan spesi,ikasi
@M(! AR!6<#4B dan ,ungsi -@(< AIP-4<8#B. 2lien dan server mungkin
setuju untuk menggunakan @M(! dikombinasikan dengan ,ungsi yang
berbeda/ atau menggunakan algoritma yang berbeda sama sekali/ seperti
misalnya (C-4J!1!4M(!4:6 AR!"$66B.
(lgoritma otentikasi standar didasarkan pada algoritma @M(! sesuai
dengan spesi,ikasi sebagai berikut0
4 ungsi hash harus ,ungsi -@(< AIP-4<8#B.
4 'ilai rahasia akan menjadi rahasia bersama dengan klien yang telah
dikon,igurasi.
Teks yang jelas harus dilindungi meliputi0
4 'ilai 'once/
4 1yte kon,irmasi/
4 Indikasi asal enkapsulasi/ jika hadir/
4 Paket IPv6.
@M(! Prosedur diterapkan gabungan dari empat komponen/ tanpa
bantalan tambahan.
.2.3. Peneri'aan Pa*et
The Teredo klien menerima paket melalui antarmuka Teredo. Peran
prosedur penerimaan paket/ selain menerima paket/ adalah untuk menjaga
tanggal dan &aktu interaksi terakhir dengan server Teredo dan .da,tar rekan4
rekan baru4baru ini..
2etika sebuah paket 95P dikirimkan melalui port layanan Teredo/
klien Teredo memeriksa bah&a itu dikodekan sesuai dengan aturan
pengkodean paket dide,inisikan dalam Pasal $.<.</ dan bah&a hal itu berisi
baik paket IPv6 yang valid atau kombinasi indikasi asal valid enkapsulasi dan
paket IPv6 yang valid/ mungkin dilindungi oleh enkapsulasi otentikasi valid.
?ika hal ini tidak terjadi/ paket tersebut diam4diam dibuang.
-ebuah paket IPv6 dianggap sah jika sesuai dengan AR!646#B0
pengenal protokol harus menunjukkan paket IPv6 dan panjang payload harus
konsisten dengan panjang datagram 95P di mana paket dirumuskan. -elain
itu/ klien harus memeriksa bah&a alamat tujuan IPv6 sesuai dengan alamat
Teredo sendiri.
2emudian/ klien Teredo memeriksa alamat IPv4 sumber dan nomor
port 95P dari mana paket diterima. ?ika nilai4nilai ini sesuai dengan alamat
IPv4 dari server dan port Teredo/ update klien .tanggal dan &aktu interaksi
terakhir dengan server Teredo. untuk tanggal dan &aktuG jika indikasi asal
hadir/ klien harus melakukan .tes konektivitas IPv6 langsung. dijelaskan
dalam 1agian $.6.:.
?ika alamat IPv4 sumber dan nomor port 95P berbeda dari alamat
IPv4 dari server dan port Teredo/ klien memeriksa alamat sumber IPv6 paket0
<% ?ika ada sebuah entri untuk alamat IPv6 sumber dalam da,tar peers yang
statusnya dipercaya/ klien membandingkan alamat IPv4 dipetakan dan port
dipetakan dalam entri dengan alamat IPv4 sumber dan port sumber paket. ?ika
nilai cocok/ paket diterimaG tanggal dan &aktu penerimaan terakhir dari rekan
diperbarui.
6% ?ika ada sebuah entri untuk alamat IPv6 sumber dalam da,tar rekan4rekan
yang statusnya tidak dipercaya/ cek client apakah paket adalah gema balasan
I!MPv6. ?ika hal ini terjadi/ dan jika data I!MPv6 yg cocok dengan 'once
disimpan dalam entri sebaya/ paket harus diterimaG status entri harus diubah
menjadi .Ieb./ IPv4 dipetakan dan dipetakan pelabuhan di entri harus di set
ke alamat IPv4 sumber dan port sumber dari mana paket itu diterima/ dan
tanggal dan &aktu penerimaan terakhir dari peer harus diperbarui. -etiap paket
antri untuk rekan IPv6 ini (sebagaimana ditentukan dalam 1agian $.6.4% harus
de4antri dan diteruskan ke alamat IPv4 yang baru belajar dan port 95P.
"% ?ika alamat IPv6 sumber adalah alamat Teredo/ klien
membandingkan alamat IPv4 dipetakan dan port dipetakan dalam sumber
alamat dengan alamat IPv4 sumber dan port sumber paket. ?ika nilai cocok/
klien harus membuat entri sebaya untuk alamat sumber IPv6 dalam da,tar
teman sebayaG itu harus memperbarui entri jika salah satu sudah adaG alamat
IPv4 dipetakan dan port dipetakan dalam entri harus di set ke nilai dari mana
paket itu diterima/ dan status harus di set ke .Ieb.. ?ika entri baru dibuat/
tanggal transmisi last disetel "# detik sebelum tanggal saat ini/ dan jumlah
gelembung menjadi nol. ?ika paket adalah gelembung/ itu harus dibuang
setelah proses iniG sebaliknya/ paket harus diterima. 5alam semua kasus/ klien
harus de4antrian dan meneruskan paket antri untuk tujuan tersebut.
4% ?ika alamat tujuan IPv4 melalui mana paket itu diterima adalah Teredo IPv4
Penemuan (lamat/ alamat sumber adalah alamat Teredo valid/ dan alamat
tujuan adalah .semua node pada link. alamat multicast/ paket harus
diperlakukan sebagai lokal penemuan gelembung. ?ika tidak ada entri lokal
sudah ada untuk alamat sumber/ yang baru dibuat/ tetapi statusnya diatur ke
.tidak dipercaya.. 2lien @(R9- membalas dengan Teredo gelembung
unicast/ dikirim ke alamat IPv4 sumber dan port sumber gelembung penemuan
lokalG alamat sumber IPv6 gelembung akan ditetapkan ke alamat Teredo IPv6
lokalG alamat tujuan IPv6 gelembung harus di set ke alamat sumber IPv6
gelembung penemuan lokal. (2lien yang tidak menerapkan prosedur
penemuan lokal opsional tidak akan memproses gelembung penemuan lokal.%
$% ?ika alamat IPv6 sumber adalah alamat Teredo/ dan alamat IPv4 dipetakan
dan port dipetakan di alamat sumber tidak sama dengan alamat IPv4 sumber
dan sumber pelabuhan paket/ cek client apakah ada .lokal. entri yang ada
untuk itu alamat IPv6. ?ika ada entri tersebut/ dan jika alamat IPv4 lokal dan
port lokal ditunjukkan dalam entri yang sesuai dengan alamat IPv4 sumber
dan sumber pelabuhan paket/ update klien .lokal. entri/ yang statusnya harus
di set ke .Ieb. . ?ika paket adalah gelembung/ itu harus dibuang setelah
proses iniG sebaliknya/ paket harus diterima. 5alam semua kasus/ klien harus
de4antrian dan meneruskan paket antri untuk tujuan tersebut.
6% 5alam kasus lain/ paket dapat diterima/ tapi klien harus sadar bah&a alamat
sumber dapat palsuG sebelum memproses paket/ klien harus melakukan .tes
konektivitas IPv6 langsung. dijelaskan dalam 1agian $.6.:. (papun sumber
alamat IPv4 dan sumber port 95P/ klien yang menerima paket IPv6
M9'=2I' mengirim gelembung Teredo menuju target itu/ sebagaimana
ditentukan dalam 1agian $.6.6.
.2.4. Trans'isi Pa*et
2etika klien Teredo harus mengirimkan paket melalui antarmuka Teredo/ mengkaji
alamat IPv6 tujuan. 2lien memeriksa pertama jika ada entri untuk alamat IPv6 ini dalam
da,tar rekan4rekan Teredo baru4baru ini/ dan jika entri masih berlaku0 entri yang berhubungan
dengan rekan lokal berlaku jika tanggal penerimaan terakhir dan &aktu yang terkait dengan
entri da,tar kurang bah&a "# detik dari &aktu saat iniG entri terkait dengan rekan non4lokal
berlaku jika tanggal penerimaan terakhir dan &aktu yang terkait dengan entri da,tar kurang
bah&a "# detik dari &aktu saat ini. (Cntri rekan lokal hanya dapat hadir jika klien
menggunakan prosedur penemuan lokal dibahas dalam 1agian $.6.8.%
2lien kemudian melakukan berikut0
<% ?ika ada sebuah entri untuk alamat IPv6 dalam da,tar teman/ dan jika status masuk diatur
ke .Ieb./ paket IPv6 harus dikirim melalui 95P ke alamat IPv4 dan 95P port yang
ditentukan dalam entri. 9pdate 2lien tanggal transmisi terakhir dalam entri sebaya.
6% ?ika tujuan bukan alamat Teredo IPv6/ paket yang antri/ dan klien melakukan .tes
konektivitas IPv6 langsung. dijelaskan dalam 1agian $.6.:. Paket akan de4antri dan
diteruskan jika prosedur ini selesai dengan sukses. ?ika tes konektivitas IPv6 langsung gagal
untuk menyelesaikan dalam 6 detik time4out/ itu harus diulang sampai " kali.
"% ?ika tujuan adalah alamat IPv6 Teredo dari rekan lokal (yaitu/ alamat Teredo dari mana
gelembung penemuan lokal telah diterima dalam 6## detik terakhir%/ paket yang antri. 2lien
mengirimkan Teredo gelembung unicast ke alamat IPv4 lokal dan port lokal yang ditentukan
dalam entri/ dan gelembung Teredo lokal ke alamat penemuan Teredo IPv4.
4% ?ika tujuan adalah alamat IPv6 Teredo di mana bit kerucut diatur ke </ paket yang dikirim
melalui 95P ke alamat IPv4 dipetakan dan dipetakan 95P port diekstrak dari alamat IPv6.
$% ?ika tujuan adalah alamat IPv6 Teredo di mana bit kerucut diatur ke #/ paket diantrikan.
?ika klien tidak terletak di belakang cone '(T/ ia akan mengirimkan gelembung langsung ke
tujuan Teredo/ yaitu/ ke alamat IP yang dipetakan dan dipetakan pelabuhan tujuan. 5alam
semua kasus/ klien mengirimkan sebuah gelembung langsung ke tujuan Teredo/ mengirimnya
melalui 95P ke alamat server dan port Teredo. Paket akan de4antri dan diteruskan ketika
klien menerima gelembung atau paket lain langsung dari rekan Teredo ini. ?ika tidak ada
gelembung diterima dalam 6 detik time4out/ transmisi gelembung harus diulang sampai "
kali.
5alam kasus 4 dan $/ sebelum mengirim paket 95P/ klien harus memeriksa bah&a alamat
tujuan IPv4 adalah dalam ,ormat alamat unicast globalG jika hal ini tidak terjadi/ paket
@(R9- diam4diam dibuang. (Perhatikan bah&a paket sah dapat dikirim ke alamat unicast
non4global dalam kasus </ sebagai hasil dari prosedur penemuan lokal.%
(lamat cek global unicast dirancang untuk menggagalkan sejumlah serangan yang mungkin
di mana seorang penyerang mencoba untuk menggunakan host Teredo untuk menyerang baik
target IPv4 lokal tunggal atau satu set target tersebut.
9ntuk tujuan spesi,ikasi ini/ dan alamat IPv4 dianggap alamat unicast global jika bukan milik
atau pertandingan0
4 The .lokal. subnet #.#.#.# > 8/
4 The .loopback. subnet <67.#.#.# > 8/
4 The menangani rentang lokal <#.#.#.# > 8/
4 The menangani rentang <76.<6.#.#><6 lokal/
4 The menangani rentang <:6.<68.#.#><6 lokal/
4 Eink lokal blok <6:.6$4.#.#><6/
4 1lok disediakan untuk 6to4 alamat anycast <:6.88.::.#>64/
4 (lamat multicast blok 664.#.#.# > 4/
4 The .broadcast terbatas. alamat tujuan 6$$.6$$.6$$.6$$/
4 (lamat broadcast yang diarahkan sesuai dengan subnet yang host terpasang.
( list o, special4use IPv4 addresses is provided in AR!"""#B.
9ntuk alasan kehandalan/ klien M9'=2I' memutuskan untuk mengabaikan nilai bit
kerucut di bendera/ mele&atkan .2asus 4. uji dan selalu melakukan .kasus $./ yaitu/
memperlakukan semua rekan4rekan Teredo seolah4olah mereka berada di belakang non4
kerucut '(T. @al ini akan mengakibatkan beberapa peningkatan lalu lintas/ tetapi mungkin
menghindari masalah keandalan penentuan status '(T adalah untuk beberapa alasan yang
keliru. 9ntuk alasan yang sama/ klien juga M9'=2I' memutuskan untuk selalu mengirim
gelembung langsung dalam kasus $/ bahkan jika mereka tidak percaya bah&a mereka berada
di belakang '(T non4kerucut.
$.6.$. Maintenance
The Teredo client harus memastikan bah&a pemetaan yang menggunakan tetap berlaku. Ia
melakukannya dengan memeriksa bah&a paket secara teratur diterima dari server Teredo.
Pada interval reguler/ klien harus memeriksa .tanggal dan &aktu interaksi thelast dengan
server Teredo. untuk memastikan bah&a setidaknya satu paket telah diterima di terakhir (cak
Teredo -egarkan Interval. ?ika hal ini tidak terjadi/ klien @(R9- mengirim pesan router
solicitation ke server/ sebagaimana ditentukan dalam 1agian $.6.<G klien harus menggunakan
nilai yang sama dari bit kerucut yang mengakibatkan penerimaan dari R( selama prosedur
kuali,ikasi.
2etika iklan router diterima/ klien @(R9- memeriksa validitas sebagaimana ditentukan
dalam 1agian $.6.<G iklan tidak valid diam4diam dibuang. ?ika iklan tersebut valid/ klien
harus memeriksa bah&a alamat dipetakan dan port sesuai dengan alamat Teredo saat ini. ?ika
hal ini tidak terjadi/ pemetaan telah berubahG klien harus menandai alamat lama sebagai tidak
valid dan mulai menggunakan alamat baru.
.2.). Men%iri' Teredo .u//les
The Teredo klien mungkin harus mengirim gelembung terhadap klien Teredo lain/ baik
setelah penerimaan paket atau setelah transmissionattempt/ seperti dijelaskan dalam 1agian
$.6." dan $.6.4. (da dua jenis gelembung0 gelembung langsung/ yang dikirim langsung ke
alamat IPv4 themapped dan dipetakan 95P port dari rekan/ dan gelembung tidak langsung/
yang dikirim melalui server Teredo dari peer.
2etika klien Teredo mencoba untuk mengirim gelembung langsung/ itu ekstrak alamat IPv4
dipetakan dan dipetakan 95P port dari alamat Teredo IPv6 dari target. 2emudian memeriksa
apakah sudah ada sebuah entri untuk alamat IPv6 ini dalam da,tar saat ini rekan4rekan. ?ika
tidak ada entri/ klien harus membuat entri da,tar baru untuk alamat/ menetapkan tanggal
penerimaan terakhir dan tanggal transmisi terakhir untuk "# detik sebelum tanggal saat ini/
dan jumlah gelembung menjadi nol.
2etika klien Teredo mencoba untuk mengirim gelembung tidak langsung/ itu ekstrak alamat
IPv4 -erver Teredo dari Teredo pre,i; dari alamat IPv6 dari target (klien yang berbeda
mungkin menggunakan server yang berbeda%G gelembung (kan dikirim ke alamat IPv4 dan
port Teredo 95P.
1ubbles mungkin hilang dalam perjalanan/ dan masuk akal untuk meningkatkan keandalan
layanan Teredo dengan memungkinkan beberapa transmisiG 'amun/ gelembung juga akan
hilang secara sistematis dalam kon,igurasi '(T tertentu. 5alam rangka untuk mencapai
keseimbangan antara keandalan dan transmisi ulang yang tidak perlu/ kita tentukan sebagai
berikut0
4 2lien TI5(2 @(R9- mengirim gelembung jika tanggal transmisi terakhir dan &aktu
kurang dari 6 detik sebelum tanggal dan &aktuG
4 2lien TI5(2 @(R9- mengirim gelembung jika sudah mengirim 4 gelembung untuk peer
dalam "## detik terakhir tanpa menerima respon langsung.
5alam kasus lain/ klien M9'=2I' melanjutkan dengan transmisi gelembung. 2etika
transmisi gelembung/ klien harus memperbarui tanggal dan &aktu transmisi terakhir untuk
rekan/ dan juga harus kenaikan jumlah gelembung ditransmisikan.
.2.0. Optional Refresh (nter$al Deter'ination Pro"edure
-elain sumber daya klien reguler dijelaskan pada a&al bagian ini/ prosedur penentuan selang
penyegaran menggunakan port tambahan 95P/ port sekunder Teredo/ dan variabel4variabel
berikut0
4 Teredo -tatus konektivitas sekunder/
4 (lamat dan nomor port dipetakan dari port sekunder Teredo/
4 Teredo pre,i; IPv6 sekunder yang terkait dengan port sekunder/
4 (lamat IPv6 Teredo sekunder yang berasal dari a&alan ini/
4 Tanggal dan &aktu interaksi terakhir pada port sekunder/
4 Maksimum Teredo -egarkan Interval.
4 !alon Teredo -egarkan Interval.
-tatus konektivitas sekunder/ dipetakan alamat dan a&alan ditentukan dengan menjalankan
prosedur kuali,ikasi pada port sekunder. 2etika klien menggunakan prosedur penentuan
selang/ prosedur kuali,ikasi @(R9- dijalankan untuk port sekunder segera setelah
menjalankannya pada port layanan. ?ika kuali,ikasi sekunder gagal/ prosedur penentuan
interval yang tidak (kan digunakan/ dan interval nilai (kan tetap ke nilai de,ault/ "# detik.
?ika kuali,ikasi sekunder berhasil / re,resh interval maksimum diatur ke <6# detik / dan calon
Teredo menyegarkan Interval diatur ke 6# detik / yaitu / dua kali Teredo menyegarkan
interval. Prosedur ini kemudian dilakukan secara berkala/ sampai menyimpulkan0
<% Tunggu sampai calon re,resh interval yang berlalu setelah interaksi terakhir pada port
sekunder.
6% 2irim gelembung Teredo ke alamat IPv6 Teredo sekunder/ melalui port layanan.
"% Tunggu penerimaan gelembung pada port sekunder. ?ika timer 6 detik berlalu tanpa
penerimaan/ ulangi langkah 6 paling banyak tiga kali. ?ika masih belum ada penerimaan/
calon telah gagalG jika ada resepsi/ kandidat telah berhasil.
4% ?ika calon berhasil/ mengatur Teredo menyegarkan interval untuk nilai calon/ dan
menetapkan nilai kandidat baru untuk minimal dua kali re,resh interval baru/ atau rata4rata
re,resh interval dan re,resh interval maksimal.
$% ?ika calon gagal/ mengatur re,resh interval maksimum dengan nilai kandidat. ?ika re,resh
interval saat ini lebih besar dari atau sama dengan 7$K dari maksimum/ prosedur penentuan
telah menyimpulkanG sebaliknya/ menetapkan nilai kandidat baru dengan rata4rata interval
re,resh dan re,resh interval maksimal.
6% jika prosedur belum menyimpulkan/ lakukan prosedur pemeliharaan pada port sekunder/
yang akan mengatur ulang tanggal dan &aktu interaksi terakhir pada port sekunder/ dan dapat
mengakibatkan alokasi alamat IPv6 sekunder Teredo baruG ini tidak akan mempengaruhi
nilai4nilai re,resh interval/ selang kandidat/ atau re,resh interval maksimum.
Port sekunder TI5(2 @(R9- digunakan untuk tujuan lain selain prosedur penentuan
interval. Ini harus ditutup ketika prosedur ini selesai.
.2.1. Optional 2o"al #lient Dis"o$ery Pro"edure
@al ini diinginkan untuk memungkinkan komunikasi langsung antara klien Teredo yang
terletak di belakang '(T yang -ama/ tanpa memaksa relay sistematis melalui server Teredo.
-ulit untuk merancang solusi umum untuk masalah ini/ tapi kita dapat merancang solusi
parsial ketika klien Teredo terhubung melalui IPv4 ke link yang -ama.
-eorang klien Teredo yang ingin memungkinkan penemuan lokal @(R9- bergabung dengan
kelompok multicast IPv4 diidenti,ikasi oleh Teredo IPv4 Penemuan (lamat. 2lien @(R9-
menunggu penemuan gelembung yang (kan diterima pada Teredo IPv4 Penemuan (lamat.
2lien @(R9- mengirim gelembung penemuan lokal ke Teredo IPv4 Penemuan (lamat pada
interval &aktu yang acak/ merata antara 6## dan "## detik.
(local Teredo bubble memiliki karakteristik sebagai berikut0
4 IPv4 sumber alamat0 alamat IPv4 pengirim
4 IPv4 alamat tujuan0 the Teredo IPv4 Penemuan (lamat
4 Ttl IPv40 <
4 95P port sumber0 port layanan Teredo pengirim
4 95P port tujuan0 port 95P Teredo
4 95P payload0 paket IPv6 minimal/ sebagai berikut
4 IPv6 -umber0 alamat Teredo IPv6 global pengirim
4 IPv6 tujuan0 semua 4 node pada 4link alamat multicast
4 IPv6 jenis muatan0 $: (ada 'e;t @eader/ sesuai AR!646#B%
4 Panjang payload IPv60 #
4 IPv6 hop limit0 <
Prosedur Penemuan lokal memba&a risiko penolakan layanan/ sebagai node jahat bisa
mengirim gelembung palsu kepada pihak curiga/ dan dengan demikian menangkap lalu lintas
yang berasal dari partai4partai. Risiko ini diatasi dengan aturan penyaringan yang dijelaskan
dalam 1agian $.6.$/ dan juga dengan .link hanya. lingkup multicast dari Teredo IPv4
Penemuan (lamat/ yang menyiratkan bah&a paket yang dikirim ke alamat ini tidak (kan
diteruskan di seluruh router.
9ntuk mendapatkan keuntungan dari .link hanya multicast+ perlindungan/ klien harus diam4
diam menghancurkan semua gelembung penemuan lokal yang diterima melalui alamat
unicast. 9ntuk lebih mengurangi resiko penolakan layanan / klien diam4diam harus
membuang semua gelembung penemuan lokal yang sumber IPv6 alamat bukan alamat Teredo
IPv6 &ell4,ormed / atau yang sumber alamat IPv4 bukan milik subnet IPv4 lokalG klien
M9'=2I' memutuskan untuk diam4diam menghancurkan semua gelembung penemuan
lokal yang Teredo IPv6 address tidak menyertakan alamat IPv4 dipetakan sama sebagai
miliknya .
?ika gelembung diterima/ cek client apakah ada entri dalam da,tar rekan4rekan baru yang
sesuai dengan alamat IPv4 dipetakan dan dipetakan 95P port yang terkait dengan alamat
IPv6 sumber gelembung. ?ika ada entri seperti itu/ klien harus memperbarui alamat rekan
lokal dan parameter port rekan lokal untuk mencerminkan alamat IPv4 sumber dan port
sumber 95P gelembung. ?ika tidak ada entri / klien harus membuat satu / menetapkan alamat
rekan lokal dan parameter port rekan lokal untuk mencerminkan alamat IPv4 sumber dan port
95P sumber gelembung / tanggal penerimaan terakhir untuk tanggal dan &aktu / transmisi
terakhir tanggal "# detik sebelum tanggal saat ini / dan jumlah gelembung menjadi nol .
2eadaan masuk diatur ke *tidak dipercaya *. -etelah penerimaan gelembung penemuan/ klien
menja&ab dengan gelembung unicast sebagaimana ditentukan dalam 1agian $.6.".
.2.3. Dire"t (P$) #onne"ti$ity Test
The Teredo prosedur yang dirancang untuk memungkinkan koneksi langsung antara host dan
Teredo relay Teredo. Teredo host terletak di belakang '(T kerucut akan menerima paket
langsung dari relayG host lain Teredo akan mempelajari alamat asli dan port 95P dari pihak
ketiga melalui server Teredo lokal. 5alam semua kasus ini/ ada risiko bah&a alamat IPv6 dari
sumber akan palsu ketika klien yang berbeda menggunakan Teredo belakang simetris '(T
tunggal/ masing4masing klien harus memesan dan menggunakan port layanan yang berbeda.
.3. Teredo !er$er !pe"ifi"ation
The Teredo server dirancang untuk menjadi stateless. The Teredo server yang menunggu
untuk paket 95P yang masuk di Teredo Port/ menggunakan alamat IPv4 yang telah dipilih
untuk layanan ini. -elain itu/ server dapat menerima dan mengirimkan beberapa paket
menggunakan alamat IPv4 yang berbeda dan nomor port yang berbeda.
The Teredo server yang bertindak sebagai router IPv6. 5engan demikian/ ia akan menerima
pesan -olicitation Router/ yang akan merespon dengan pesan Router (dvertisement seperti
yang dijelaskan dalam 1agian $.".6. @al ini juga dapat menerima paket lain/ misalnya/ pesan
I!MPv6 dan Teredo gelembung/ yang diproses sesuai dengan spesi,ikasi IPv6. -ecara
de,ault/ ,ungsi routing server Teredo terbatas. Teredo server diharapkan untuk relay Teredo
gelembung/ permintaan I!MPv6 Ccho/ dan balasan I!MPv6 Ccho/ tetapi mereka tidak
diharapkan untuk relay jenis paket IPv6. Fperator mungkin/ bagaimanapun/ memutuskan
untuk menggabungkan ,ungsi server .Teredo. dan .Teredo Relay./ seperti yang dijelaskan
dalam 1agian $.4.
.3.1. Pro"essin% of Teredo (P$) Pa"*ets
-ebelum pengolahan paket/ server Teredo harus memeriksa validitas alamat IPv6
dienkapsulasi sumber/ alamat sumber IPv4/ dan port sumber 95P0
<% ?ika konten 95P tidak &ell4,ormed paket Teredo IPv6/ sebagaimana disebutkan dalam
Pasal $.<.</ paket @(R9- diam4diam dibuang.
6% ?ika paket 95P tidak gelembung Teredo atau pesan I!MPv6/ itu @(R9- dibuang. (Paket
ini dapat diproses jika server Teredo juga beroperasi sebagai relay Teredo/ seperti yang
dijelaskan dalam 1agian $.4.%
"% ?ika alamat sumber IPv4 tidak dalam ,ormat alamat unicast global/ paket @(R9- diam4
diam dibuang (lihat 1agian $.6.4 untuk de,inisi alamat unicast global%.
4% ?ika alamat sumber IPv6 adalah alamat link4local IPv6/ alamat tujuan IPv6 adalah ruang
lingkup link4local address semua router multicast (#600 6 % / dan paket berisi pesan
-olicitation I!MPv6 Router / paket @(R9- diterima . Ini harus dibuang jika server
memerlukan kuali,ikasi aman dan enkapsulasi otentikasi tidak hadir atau veri,ikasi gagal.
berasal dari alamat IPv4 dari -erver dan dari port Teredo / sebagaimana ditentukan dalam
1agian 4 G kerucut bit diatur ke <. (lamat tujuan IPv6 diatur ke IPv6 alamat sumber dari R-
. Pesan iklan router harus dikirim melalui 95P ke alamat Teredo yang dipetakan dan router
klien Teredo yang dipetakanG alamat IPv4 sumber dan port sumber 95P
$ % ?ika alamat sumber IPv6 adalah alamat IPv6 Teredo / dan jika alamat IPv4 dan 95P
port tertanam dalam alamat yang cocok dengan alamat sumber dari IPv4 dan port sumber
95P / paket @(R9- diterima .
6 % ?ika alamat sumber IPv6 bukan alamat Teredo IPv6 / dan jika alamat tujuan IPv6 adalah
alamat teredo dialokasikan melalui server ini / paket @(R9- diterima .
7 % Pada kasus yang lain / paket @(R9- diam4diam dibuang .
Teredo -erver kemudian akan memeriksa alamat tujuan IPv6 dari paket IPv6 yang telah
dikemas 0
?ika alamat tujuan IPv6 adalah ruang lingkup link4 lokal semua router alamat multicast
( #6 00 6 % / atau alamat link4local server / Teredo server memproses paket G mungkin
harus memproses Router Pesan ajakan dan pesan I!MPv6 Ccho Re3uest .
?ika alamat IPv6 tujuan bukan alamat IPv6 lingkup global / paket TI5(2 @(R9-
diteruskan .
?ika alamat tujuan bukan alamat Teredo IPv6 / paket harus disampaikan ke Internet IPv6
menggunakan IPv6 routing yang biasa.
?ika alamat tujuan IPv6 adalah alamat IPv6 Teredo maka berlaku sebagaimana yang
dide,inisikan dalam 1agian 6.<" / Teredo -erver harus memeriksa bah&a alamat dari IPv4
yang diperoleh dari alamat IPv6 ini adalah dalam ,ormat global alamat unicast G jika hal ini
tidak terjadi / paket @(R9- diam4diam dibuang .
?ika alamat tersebut valid / server Teredo IPv6 yang merangkum paket dalam datagram
95P baru / di mana parameter berikut berupa 0
4 Tujuan alamat IPv4 berasal dari tujuan IPv6 .
4 -umber alamat IPv4 adalah server alamat IPv4 Teredo .
4 Tujuan port 95P berasal dari tujuan IPv6 .
4 -umber port 95P diatur ke Port 95P Teredo.
?ika tujuan alamat IPv6 adalah klien Teredo yang alamatnya dilayani oleh server tertentu /
server harus menyisipkan asal indikasi dalam byte pertama dari payload 95P / sebagaimana
ditentukan dalam 1agian $.<.< . ( 9ntuk memveri,ikasi bah&a klien dilayani oleh server ini/
server membandingkan bit "646" dari alamat IPv6 Teredo klien untuk alamat IPv4 server.%
$.".6 . Proses Permintaan 5ari Router
2etika server Teredo menerima Pesan Permintaan Router ( A R!646< B % /
mempertahankan alamat IPv4 dan 95P port dari mana ajakan diterima G ini menjadi alamat
teredo dipetakan dan Teredo dipetakan ke port dari klien . Router menggunakan nilai4nilai
ini untuk menyusun asal indikasi enkapsulasi yang akan dikirim dengan respon terhadap
ajakan .
Teredo server merespon dengan ajakan router dengan mengirimkan Pesan Iklan Router
AR!646< B . Iklan router @(R9- mengiklankan a&alan Teredo IPv6 terdiri dari layanan
a&alan dan alamat IPv4 server . (lamat sumber IPv6 harus diatur ke link 4 lokal alamat
server Teredo terkait dengan lokal antarmuka G alamat ini harus ditetapkan ke alamat IPv4
server dan Teredo Port. ?ika bit kerucut dari alamat IPv6 klien diatur ke < / R( harus
dikirim dari alamat sumber IPv4 yang berbeda dari alamat server melalui dimana R-
diterima G jika bit kerucut diatur ke nol / respon harus dikirim kembali dari alamat yang
sama .
-ebelum mengirim paket / server Teredo harus memeriksa bah&a IPv4 yang alamat tujuan
dalam ,ormat alamat unicast globalG jika ini tidak terjadi / paket @(R9- diam4diam
dibuang (lihat 1agian $.6.4 untuk de,inisi alamat unicast global% .
?ika kuali,ikasi aman diperlukan / server @(R9- menyisipkan valid parameter otentikasi
dalam paket 95P memba&a router iklan . 2lien identi,ier dan sebuah nilai digunakan
dalam parameter otentikasi @(R9- identi,ier yang sama dan nilai tersebut untuk diterima
dalam permohonan router . 1yte kon,irmasi @(R9- diatur ke nol jika klien identi,ier
masih berlaku/ dan non Lnull nilai sebaliknyaG nilai otentikasi @(R9- dihitung dengan
menggunakan rahasia yang sesuai dengan klien identi,ier .
$.4 . Menyampaikan -pesi,ikasi Teredo
Teredo menyampaikan router IPv6 yang mengiklankan jangkauan dari Teredo layanan
pre,i; IPv6 melalui protokol routing IPv6 . ( ( minimal Teredo Relay dapat melayani hanya
host lokal / dan tidak akan mengiklankan a&alan di luar tuan rumah ini . % Teredo relay akan
menerima Paket IPv6 terikat Teredo klien . penyampaian Teredo harus mampu untuk
menerima paket yang dikirim melalui IPv4 dan 95P oleh Teredo klien G mereka mungkin
menerapkan aturan penyaringan / misalnya / hanya menerima paket4paket dari klien Teredo
jika mereka sebelumnya telah mengirim lalu lintas ke klien Teredo ini .
(turan menerima dan mengirim digunakan oleh Teredo relay sangat mirip dengan Teredo
klien . Teredo relay harus menggunakan Teredo port layanan untuk mengirimkan paket ke
Teredo klien G mereka harus mempertahankan . da,tar teman . / identik dengan da,tar rekan4
rekan dipertahankan oleh Teredo klien .
$.4.< . Transmisi dengan Relay Teredo ke 2lien
2etika relay Teredo harus mengirimkan paket ke klien Teredo / itu memeriksa alamat IPv6
tujuan . Menurut de,inisi/ Teredo relay hanya akan mengirim lebih dari paket 95P IPv6 IPv6
yang tujuan alamat adalah alamat IPv6 Teredo valid.
-ebelum memproses paket tersebut/ Teredo Relay harus memeriksa bah&a (lamat tujuan
IPv4 tertanam dalam alamat IPv6 Teredo adalah di ,ormat alamat unicast globalG jika hal ini
tidak terjadi/ paket @(R9- diam4diam dibuang ( lihat 1agian $.6.4 untuk de,inisi alamat
unicast global% .
Relay kemudian memeriksa apakah ada sebuah entri untuk alamat IPv6 ini di da,tar rekan4
rekan Teredo baru4baru ini / dan jika entri masih berlaku . Relay kemudian melakukan hal
berikut 0
< % ?ika ada sebuah entri untuk alamat IPv6 dalam da,tar teman sebaya/ dan jika status masuk
diatur ke . dipercaya . / paket IPv6 harus dikirim melalui 95P ke alamat IPv4 dipetakan dan
dipetakan 95P pelabuhan entri. 9pdate relay tanggal transmisi lalu dalam entri sebaya .
6 % ?ika tidak ada entri yang terpercaya dalam da,tar teman / dan jika tujuan adalah alamat
IPv6 Teredo di mana bit kerucut diatur ke < / paket itu dikirim melalui 95P ke alamat IPv4
dipetakan dan dipetakan 95P port diekstrak dari alamat IPv6 .
" % ?ika tidak ada entri yang terpercaya dalam da,tar teman / dan jika tujuan adalah alamat
IPv6 Teredo di mana bit kerucut diatur ke # / relay Teredo menciptakan gelembung yang
alamat sumber diatur ke alamat IPv6 lokal / dan alamat tujuan yang diatur ke (lamat Teredo
IPv6 dari tujuan paket . =elembung dikirim ke alamat server yang sesuai dengan tujuan
Teredo . itu entri menjadi Ieb ketika gelembung atau paket lain diterima dari alamat IPv6
iniG jika tidak ada paket tersebut diterima sebelum &aktu 4 dari 6 detik / relay Teredo dapat
mengulang gelembung / sampai tiga kali. ?ika relay gagal menerima gelembung setelah ini
pengulangan / entri dihapus dari da,tar teman . relay M9'=2I' antrian paket terikat untuk
entri dipercaya G paket antri @(R9- de4 antri dan diteruskan ketika entri menjadi dipercaya G
mereka @(R9- dihapus jika entri akan dihapus . 9ntuk menghindari penolakan serangan
layanan / relay @(R9- membatasi jumlah paket dalam antrian tersebut .
5alam kasus 6 dan " / relay Teredo harus membuat entri sebaya untuk (lamat IPv6 G status
entri ditandai sebagai dipercaya dalam kasus 6 ( kerucut '(T % dan tidak dipercaya dalam
kasus " . 5alam kasus " / jika relay teredo kebetulan terletak di belakang '(T non 4 kerucut /
juga harus mengirim gelembung langsung ke alamat IPv4 dipetakan dan nomor port
dipetakan dari tujuan Teredo . Ini akan . membuka jalan . untuk kembali gelembung dari
klien Teredo .
9ntuk alasan reliabilitas / relay M9'=2I' memutuskan untuk mengabaikan nilai kerucut bit
dalam bendera / dan selalu melakukan .kasus " . / yaitu / mengobati semua rekan4rekan
Teredo seolah4olah mereka berada di belakang non 4 cone '(T . ini akan mengakibatkan
beberapa peningkatan lalu lintas / namun dapat menghindari masalah keandalan jika
penentuan status '(T adalah untuk beberapa alasan yang salah . 9ntuk alasan yang sama /
relay juga M9'=2I' memutuskan untuk selalu mengirim gelembung langsung ke alamat
IPv4 dipetakan dan dipetakan nomor port dari tujuan Teredo / bahkan jika mereka tidak
percaya bah&a mereka berada di belakang '(T non 4 kerucut .
$.4.6 . Penerimaan dari Teredo 2lien
Teredo Relay dapat menerima paket dari Teredo klien G paket harus biasanya hanya dapat
dikirim oleh klien yang relay sebelumnya paket dikirim/ yaitu / klien yang alamat IPv6 hadir
dalam da,tar rekan4rekan . Relay / seperti klien / menggunakan penerimaan paket prosedur
untuk menjaga tanggal dan &aktu interaksi terakhir dengan server Teredo dan . da,tar rekan4
rekan baru4baru ini . .
2etika sebuah paket 95P dikirimkan melalui port layanan Teredo / yang !ek esta,et Teredo
yang berisi paket IPv6 yang valid sebagaimana ditentukan dalam A R!646# B . ?ika hal ini
tidak terjadi / paket tersebut diam4diam dibuang .
2emudian / relay Teredo memeriksa apakah alamat sumber IPv6 adalah alamat Teredo valid
dan jika alamat IPv4 dipetakan dan port dipetakan cocok dengan alamat IPv4 sumber dan
nomor port dari mana paket diterima . ?ika hal ini tidak terjadi / paket tersebut diam4diam
dibuang .
Teredo Relay kemudian memeriksa apakah ada entri untuk IPv6 alamat sumber dalam da,tar
rekan4rekan baru4baru ini . ?ika hal ini tidak terjadi/ paket mungkin diam4diam dibuang . ?ika
hal ini terjadi/ entri -tatus diatur ke . terpercaya . G update relay .tanggal dan &aktu interaksi
terakhir . dengan tanggal dan &aktu .
(khirnya / relay memeriksa alamat IPv6 tujuan . ?ika tujuan milik kisaran alamat IPv6
dilayani oleh relay / paket @(R9- diterima dan diteruskan ke tujuan . di kasus lain / paket
@(R9- diam4diam dibuang .
$.4." . Perbedaan antara Teredo Relay dan Teredo -erver
2arena server Teredo dapat menyampaikan paket Teredo atas IPv6 / semua Teredo server
harus mampu bersikap seperti Teredo relay . (da / 'amun / ada persyaratan yang berperilaku
Teredo relay sebagai server Teredo .
Peran ganda server dan relay menyiratkan kompleksitas tambahan untuk pemrograman
server 0 pengolahan paket yang datang harus merupakan kombinasi dari aturan pemrosesan
server dide,inisikan dalam 1agian $.".< / dan aturan pemrosesan esta,et dide,inisikan dalam
1agian $.4.6 . ( 1agian $." hanya menetapkan aturan dilaksanakan oleh murni server/ bukan
kombinasi esta,et M -erver . %
$.$ . Pelaksanaan Ftomatis -unset
Teredo dirancang sebagai mekanisme transisi sementara / dan itu adalah penting bah&a hal
itu tidak boleh digunakan lebih lama dari yang diperlukan . itu . sunset . prosedur akan
dilaksanakan oleh Teredo klien / server / dan relay / sebagaimana ditentukan dalam bagian ini
.
'ode Teredo berkemampuan TI5(2 @(R9- berperilaku seperti Teredo klien jika mereka
sudah memiliki konektivitas IPv6 melalui cara lain / seperti konektivitas IPv6 asli . -ecara
khusus/ node yang memiliki global (lamat IPv4 @(R9- mendapatkan konektivitas melalui
layanan 6to4 bukan melalui layanan Teredo . (lasan klasik mengapa simpul yang tidak
membutuhkan konektivitas masih akan memungkinkan Teredo layanan untuk menjamin
kinerja yang baik ketika berinteraksi dengan Teredo klien G 'amun / node Teredo 4 mampu
yang memiliki konektivitas IPv4 dan yang telah mendapat konektivitas IPv6 di luar layanan
Teredo M9'=2I' memutuskan untuk berperilaku seperti relay Teredo / dan masih
mendapatkan baik kinerja ketika berinteraksi dengan klien Teredo .
The Teredo server diharapkan untuk berpartisipasi dalam matahari terbenam prosedur
dengan mengumumkan tanggal di mana mereka akan berhenti memberikan layanan . Tanggal
ini tergantung pada ketersediaan alternati, solusi untuk klien mereka / seperti . dual4mode .
gate&ay yang berperilaku secara bersamaan sebagai 'at IPv4 dan IPv6 router . 2ebanyakan
server Teredo tidak akan diharapkan untuk beroperasi lebih dari beberapa tahun . teredo relay
diharapkan memiliki masa hidup yang sama seperti server Teredo .
6. -tudi lebih lanjut/ Penggunaan Teredo untuk Melaksanakan -ervice Tunnel
Teredo mende,inisikan solusi '(T traversal yang dapat diberikan dengan menggunakan
sangat sedikit sumber daya pada server. 5iskusi yang sedang berlangsung ICT memiliki
diuraikan kebutuhan baik solusi seperti Teredo dan lebih dikendalikan solusi '(T traversal/
menggunakan tero&ongan dikon,igurasi untuk sebuah penyedia layanan AR!":#4B. 1agian
ini memberikan sebuah tentati, analisis tentang bagaimana Teredo dapat diperpanjang untuk
juga mendukung dikon,igurasi layanan tero&ongan.
5imungkinkan untuk merancang sebuah server protokol tero&ongan yang kompatibel dengan
Teredo/ dalam arti bah&a klien yang sama bisa digunakan dalam layanan Teredo atau dengan
layanan tero&ongan. 1ahkan/ ini dapat dilakukan dengan mengkon,igurasi klien dengan0
4 (lamat IPv4 dari server Teredo yang bertindak sebagai broker tero&ongan
4 -ebuah klien identi,ier
4 -ebuah rahasia bersama dengan server yang
4 -ebuah disepakati algoritma otentikasi.
The Teredo client akan menggunakan prosedur kuali,ikasi aman/ karena ditentukan dalam
1agian $.6.6. (lih4alih mengembalikan pre,i; teredo di iklan router/ server akan
mengembalikan routable secara global IPv6 pre,i;G a&alan ini bisa permanen ditugaskan ke
klien/ yang akan menyediakan klien dengan alamat stabil. -erver harus menjaga negara/
yaitu/ mengha,al hubungan antara a&alan ditugaskan ke klien dan alamat IPv4 dipetakan dan
dipetakan 95P port dari klien.
The Teredo server yang akan beriklan reachability dari a&alan client ke IPv6 Internet. -etiap
paket terikat untuk a&alan yang akan ditransmisikan ke alamat IPv4 dipetakan dan dipetakan
95P port dari client.
The Teredo client/ ketika menerima a&alan/ akan melihat bah&a a&alan ini a&alan IPv6
global/ bukan dalam bentuk Teredo a&alan. 2lien akan pada saat itu mengakui bah&a
seharusnya beroperasi dalam mode tunnel. -eorang klien yang beroperasi dalam mode tunnel
akan melaksanakan prosedur transmisi yang lebih sederhana0 ia akan meneruskan paket yang
dikirim ke antarmuka Teredo ke alamat IPv4 dan Teredo 95P port server.
The Teredo client harus melakukan prosedur pemeliharaan dijelaskan dalam 1agian $.6.$.
-erver akan menerima router ajakan/ dan bisa melihat perubahan yang mungkin dari IPv4
dipetakan alamat dan dipetakan 95P port yang dapat dihasilkan dari rekon,igurasi pemetaan
dalam '(T. -erver harus terus iklan pre,i; IPv6 yang sama untuk klien/ dan harus
memperbarui alamat IPv4 dipetakan dan dipetakan 95P port terkait dengan ini pre,i;/ jika
perlu.
(da belum ada konsensus bah&a perpanjangan tero&ongan4mode untuk Teredo harus
dikembangkan. 1agian ini hanya ditujukan untuk memberikan saran untuk pengembang masa
depan layanan tersebut. 1anyak rincian mungkin akan harus bekerja sebelum perpanjangan
tero&ongan4mode akan disepakati.
7. Pertimbangan 2eamanan
Tujuan utama dari Teredo adalah untuk memberikan node terletak di belakang '(T dengan
alamat IPv6 global routable. The Teredo node dapat menggunakan IP keamanan (IPsec%
layanan seperti Internet 2ey C;change (I2C%/ (uthentication @eader ((@%/ atau
Cncapsulation -ecurity Payload (C-P% AR!4"#6/ R!4"#6/ R!4"#"B/ tanpa pembatasan
kon,igurasi masih hadir dalam .'egosiasi '(T4Traversal di I2C. AR!":47B. 5engan
demikian/ kita dapat mengatakan bah&a layanan ini memiliki e,ek positi, pada keamanan
jaringan. 'amun/ analisis keamanan juga harus membayangkan e,ek negati, dari layanan
Teredo/ yang kita dapat mengelompokkan dalam empat kategori0 risiko keamanan langsung
menghubungkan node ke IPv6 Internet/ spoo,ing server Teredo untuk mengakti,kan man4in4
the4 midle serangan/ serangan potensial bertujuan untuk menyangkal layanan Teredo ke klien
Teredo/ dan penolakan serangan layanan terhadap non4Teredo berpartisipasi node yang akan
diakti,kan oleh layanan Teredo.
1erikut ini/ kami meninjau secara rinci empat jenis masalah/ dan kami menyajikan strategi
mitigasi untuk masing4masing.
7.<. Membuka Eubang di '(T
Tujuan yang sangat dari layanan Teredo adalah untuk membuat mesin terjangkau melalui
IPv6. Menurut de,inisi/ mesin menggunakan layanan ini akan memberikan up ,ire&all
apapun layanan yang tersedia di kotak '(T/ namun terbatas layanan ini mungkin AR!6::"B.
Eayanan yang mendengarkan alamat Teredo IPv6 akan menjadi target potensial serangan dari
seluruh IPv6 Internet. @al ini mungkin terdengar menakutkan/ tetapi ada tiga ,aktor yang
meringankan.
aktor yang meringankan pertama adalah kemungkinan untuk membatasi beberapa layanan
untuk hanya menerima lalu lintas dari tetangga lokal/ misalnya/ menggunakan alamat link4
local. Teredo tidak mendukung komunikasi menggunakan alamat link4local. Ini berarti bah&a
layanan link4lokal tidak akan diakses melalui Teredo/ dan akan dibatasi untuk apa pun yang
lain 2onektivitas IPv6 mungkin tersedia/ misalnya/ lalu lintas langsung dengan tetangga di
link lokal/ di belakang '(T.
aktor yang meringankan kedua adalah kemungkinan penggunaan .lokal ,ire&all . solusi /
yaitu / sebuah so,t&are yang melakukan secara lokal jenis pemeriksaan dan penyaringan yang
sebaliknya dilakukan dalam perimeter ,ire&all . Menggunakan perangkat lunak tersebut
dianjurkan .
aktor yang meringankan ketiga adalah ketersediaan IP keamanan ( IPsec % layanan seperti
I2C / (@ / C-P atau A R!4"#6 / R!4"#6 / R!4"#" B. Menggunakan layanan ini dalam
hubungannya dengan Teredo adalah kebijakan yang baik / seperti akan melindungi klien dari
kemungkinan serangan di antara server seperti '(T / server Teredo / atau relay Teredo.
('amun / layanan ini hanya dapat digunakan jika para pihak dalam komunikasi dapat
menegosiasikan kunci / yang membutuhkan menyetujui beberapa kredensial G ini dikenal
sebagai masalah yang sulit . %
7.6 . Menggunakan Eayanan Teredo untuk -erangan 4 Man 4 in4the4 Midle
Tujuan dari layanan Teredo adalah untuk menyediakan host terletak di belakang '(T dengan
alamat IPv6 dicapai secara global . (da kemungkinan kelas serangan terhadap layanan ini di
mana seorang penyerang entah bagaimana penyadapan permohonan router / merespon
dengan router palsu iklan/ dan menyediakan klien Teredo dengan benar alamat . Penyerang
mungkin memiliki salah satu dari dua tujuan 0 mungkin mencoba untuk menolak layanan
kepada klien Teredo dengan menyediakan dengan alamat yang sebenarnya tidak terjangkau /
atau mungkin mencoba untuk memasukkan dirinya sebagai menyampaikan untuk semua
komunikasi klien / secara e,ekti, memungkinkan varietas dari . man4in 4the4middle .
serangan .
7.6.< . Penyerang -poo,ing the Teredo -erver
Prosedur veri,ikasi 'once sederhana dijelaskan dalam 1agian $.6.6 menyediakan tingkat
pertama perlindungan terhadap serangan di mana ketiga pihak mencoba untuk menipu server.
5alam prakteknya / prosedur 'once bisa dikalahkan hanya jika penyerang adalah . di jalan
. .
?ika klien dan server berbagi rahasia dan menyepakati otentikasi algoritma / prosedur
kuali,ikasi aman dijelaskan dalam 1agian $.6.6 memberikan perlindungan lebih lanjut. 9ntuk
mengalahkan perlindungan ini/ penyerang bisa mencoba untuk mendapatkan salinan rahasia
bersama antara klien dan server . !ara yang paling mungkin untuk mendapatkan rahasia
bersama adalah untuk mendengarkan lalu lintas dan me4mount serangan kamus o,,lineG untuk
melindungi terhadap serangan ini / rahasia dibagi antara klien dan server harus mengandung
cukup entropi . ( Ini mungkin membutuhkan beberapa prosedur otomatis untuk pengadaan
rahasia bersama dan algoritma . %
?ika rahasia bersama mengandung entropi yang cukup / penyerang akan harus mengalahkan
,ungsi satu 4 cara yang digunakan untuk menghitung nilai otentikasi . -pesi,ikasi ini
menunjukkan algoritma standar menggabungkan @M(! M5$ dan . ?ika perlindungan yang
diberikan oleh M5$ tidak dianggap cukup / klien dan server dapat setuju untuk menggunakan
algoritma yang berbeda / misalnya / -@(<.
!ara lain untuk mengalahkan perlindungan yang diberikan oleh otentikasi Prosedur adalah
untuk me4mount serangan yang kompleks / sebagai berikut 0
< % 2lien mempersiapkan router ajakan / termasuk otentikasi enkapsulasi .
6 % Penyerang penyadapan ajakan/ dan entah bagaimana berhasil mencegahnya dari
mencapai server / misalnya / dengan me4mount durasi pendek serangan 5o- terhadap server .
" % Penyerang menggantikan alamat IPv4 sumber dan sumber 95P port dari permintaan oleh
salah satu alamat dan port sendiri / dan meneruskan dimodi,ikasi permintaan ke server .
4 % -erver patuh mencatat alamat IPv4 dari mana paket tersebut menerima / memveri,ikasi
bah&a enkapsulasi (uthentication benar / mempersiapkan iklan router / tanda4tanda itu / dan
mengirimkannya kembali ke alamat masuk / yaitu / penyerang .
$ % Penyerang menerima iklan / mengambil catatan dari pemetaan/ menggantikan alamat
IPv4 dan port 95P oleh nilai4nilai asli di dicegat pesan / dan mengirim respon ke klien .
6 % 2lien menerima iklan / mencatat bah&a otentikasi header hadir dan benar / dan
menggunakan a&alan yang diusulkan dan alamat dipetakan dalam enkapsulasi indikasi asal .
(kar penyebab masalahnya adalah bah&a '(T adalah/ dalam dirinya sendiri / manusia La in4
the4middle attack . Ftentikasi enkapsulasi meliputi dikemas paket IPv6 / tetapi tidak menutup
IPv4 encapsulating header dan header 95P . @al ini sangat sulit untuk menyusun e,ekti,
skema otentikasi / karena penyerang tidak melakukan apa4apa lagi dari apa '(T secara
hukum tidakN
'amun/ ada beberapa ,aktor yang meringankan yang memba&a kita untuk menghindari
kha&atir terlalu banyak tentang serangan ini . 5alam prakteknya / keuntungan dari serangan
adalah baik untuk menolak layanan kepada klien atau untuk mendapatkan . man 4 in4 the4
middle . posisi . 'amun/ dalam rangka untuk me4mount serangan itu/ Penyerang harus
mampu menekan lalu lintas yang berasal dari klien / yaitu / memiliki penolakan kemampuan
layanan G penyerang harus juga dapat mengamati lalu lintas dipertukarkan antara klien dan
menyuntikkan lalu lintas sendiri dalam campuran / yaitu / memiliki man4in 4 the4middle
kapasitas. -ingkatnya / serangan itu sangat sulit untuk me4mount / dan keuntungan untuk
penyerang dalam hal . ketinggian hak istime&a . adalah minimal.
-erangan serupa dijelaskan secara rinci di bagian keamanan A R!"48: B .
7.6.6 . Penyerang -poo,ing a Teredo Relay
-eorang penyerang dapat mencoba menggunakan Teredo baik untuk lulus diri untuk yang
lain @ost IPv6 atau untuk menempatkan dirinya sebagai man4in 4 the4middle antara Teredo
tuan rumah dan sejumlah asli IPv6 . Penyerang akan me4mount serangan tersebut oleh
spoo,ing Teredo relay / yaitu / dengan meyakinkan tuan rumah yang Teredo paket terikat ke
host IPv6 asli harus disampaikan ke IPv4 yang alamat penyerang .
2emungkinan serangan berasal dari tidak adanya hubungan algoritmik antara alamat IPv4
dari relay dan alamat IPv6 native dilayani oleh esta,et ini . -ebuah host Teredo tidak bisa
memutuskan hanya dengan melihat IPv4 encapsulating dan 95P header apakah atau tidak
relay adalah sah . ?ika sebuah host Teredo memutuskan untuk hanya mempercayai lalu lintas
masuk / itu akan mudah menjadi mangsa -erangan esta,et 4 spoo,ing .
-erangan ini diatasi dengan . tes konektivitas IPv6 langsung . ditentukan dalam 1agian $.6.:
. Tes menentukan penemuan esta,et Prosedur dijamin dengan 'once a . 'once yang
ditransmisikan dari Teredo host ke tujuan melalui server Teredo / yang klien biasanya percaya
. Tanggapan tiba melalui . alam . relay/ yaitu relay terdekat ke tujuan IPv6 . mengirim lalu
lintas ke esta,et ini akan menempatkannya di luar jangkauan penyerang yang tidak berada
pada jalur langsung antara Teredo host dan rekan IPv6 nya .
Perlindungan keamanan end 4 to4end yang diperlukan untuk mempertahankan diri serangan
spoo,ing jika penyerang berada pada jalur langsung antara Teredo host dan rekan4nya .
0.2.3 End4to4end !e"urity
=aris yang e,ekti, pertahanan klien Teredo mungkin tidak mencoba untuk
mengamankan layanan teredo sendiri 0 bahkan jika pemetaan dapat dengan aman diperoleh/
penyerang masih bisa mendengarkan tra,,ic dan mengirim paket palsu. -ebaliknya/ klien
Teredo harus menyadari bah&a/ karena terletak di belakang '(T/ itu adalah dalam situasi
kerentanan/ melainkan secara sistematis harus mencoba untuk mengenkripsi tra,,ic IPv6/
menggunakan IPsec. 1ahkan jika header IPv4 dan 95P rentan/ penggunaan IPsec secara
e,ekti, akan mencegah spoo,ing dan mendengarkan dari paket IPv6 oleh pihak ketiga.
5engan memberikan masing4masing client dengan alamat IPv6 global/ Teredo
memungkinkan penggunaan IPsec tanpa pembatasan kon,igurasi masih hadir dalam
.'egotiation o, '(T4Traversal in the I2C .AR!":47B dan pada akhirnya meningkatkan
keamanan klien ini.
0.3. Denial of the Teredo ser$i"e
(nalisis kami menguraikan lima cara untuk attack Teredo service. (da penanggulangan
untuk setiap serangan ini.
0.3.1. Denial of !er$i"e /y a Ro%ue Relay
-ebuah serangan dapat dipasang di sisi IPv6 layanan dengan menetapkan up a rogue relay
dan membiarkan relay yang advertise a route ke a&alan Teredo IPv6. Ini merupakan
serangan terhadap Routing IPv6/ yang juga dapat dikurangi dengan jenis yang sama dari
prosedur yang digunakan untuk menghilangkan iklan rute palsu. 5ual4stack node yang
menerapkan .host local. Teredo relay tahan terhadap serangan ini.
0.3.2. Denial of !er$ise /y !er$er spoofin%.
Pada 1agian 7.6/ kita membahas penggunaan router advertisements palsu untuk
memasukkan seorang penyerang di tengah4tengah percakapan Teredo. Router advertisements
palsu itu juga dapat digunakan untuk penyediaan klien dengan alamat yang salah/ menunjuk
ke salah satu IPv4 non4ada alamat atau alamat IPv4 dari pihak ketiga.
Teredo klien akan mendeteksi serangan ketika gagal untuk menerima tra,,ic melalui
alamat Ipv6 yang baru diperoleh. -erangan dapat dikurangi dengan menggunakan
enkapsulasi otentikasi.
0.3.3 Denial of !er$i"e /y E+"eedin% the 5u'/er of Peers
2lien Teredo mengelola cache o, recently used peers/ yang membuat itu state,ul. @al ini
dimungkinkan untuk me4mount serangan terhadap klien oleh memprovokasi untuk merespon
paket yang muncul datang dari besar jumlah Teredo peers/ sehingga mencemari cache dan
e,ekti, penggunaan komunikasi langsung antara bet&een peers. e,eknya akan berlangsung
hanya selama serangan berkelanjutan.
0.3.4. Atta"*s a%ainst the 2o"al Dis"o$ery Pro"edure
(da kemungkinan penolakan service attack terhadap local peer discovery procedure/ jika
penyerang dapat mengatur untuk mengirim local discovery bubbles palsu kepada klien
Teredo. 5ijelaskan dalam. 1agian $.6.8 mengurangi serangan ini. 2lien yang lebih tertarik
dalam keamanan daripada kinerja bisa memutuskan untuk menonakti,kan lokal prosedur
penemuan/ namun jika penemuan lokal dinonakti,kan/ lalu lintas antara node lokal akan
berakhir disampaikan melalui server eksternal ke jaringan lokal/ yang memiliki implikasi
keamanan.
0.3.. Atta"*in% the Teredo !er$ers and Relays
@al ini dimungkinkan untuk me4mount brute ,orce denial o, service serangan layanan
terhadap Teredo server dengan mengirimkan jumlah yang sangat besar paket. -erangan ini
akan menjadi keras/ karena server adalah stateless/ dan dapat dirancang untuk memproses
semua paket yang dikirim on line akses mereka.
-erangan brute ,orce terhadap server Teredo diminimalisir jika klien siap untuk
.,ailover. ke server lain. Menjatuhkan server akan/ bagaimanapun/ memaksa klien yang
mengubah server untuk nomor baru alamat Teredo mereka.
@al ini juga memungkinkan untuk me4mount serangan brute ,orce terhadap Teredo.
-erangan ini diatasi jika relay diserang berhenti mengumumkan reachability dari Teredo
layanan a&alan untuk IPv6 jaringan0 lalu lintas akan dijemput oleh relay berikutnya.
-ebuah serangan serupa dengan yang dijelaskan dalam 1agian 7.".6 dapat dipasang
terhadap relay. -ebuah host IPv6 dapat mengirimkan paket IPv6 ke besar jumlah Teredo
tujuan/ memaksa relay untuk mendirikan negara untuk masing4masing tujuan tersebut.
Teredo relay dapat memperoleh beberapa perlindungan dengan membatasi berbagai klien
IPv6 yang mereka layani/ dan dengan membatasi jumlah negara yang digunakan untuk .baru.
rekan4rekan.
0.4. Denial of !er$i"e a%ainst 5on4Teredo 5odes
(da kekha&atiran luas menyatakan bah&a mekanisme transisi tersebut sebagai Teredo dapat
digunakan untuk me4mount serangan denial o, service/ oleh menyuntik lalu lintas di lokasi di
mana tidak diharapkan. Ini serangan jatuh dalam tiga kategori0 menggunakan server Teredo
sebagai re,lektor dalam denial o, service attack/ menggunakan server teredo ke memba&a
penolakan serangan layanan terhadap node IPv6/ dan menggunakan Teredo relay untuk
memba&a penolakan serangan layanan terhadap node IPv4. (nalisis serangan ini berikut.
aktor yang meringankan umum di semua kasus adalah .keteraturan. lalu lintas Teredo/ yang
berisi pola yang sangat spesi,ik seperti port Teredo 95P/ atau Teredo Pre,i; IPv6. 5alam
kasus serangan/ pola4pola ini dapat digunakan untuk cepat menginstal ,ilter dan menghapus
lalu lintas menyinggung. 2ami juga harus dicatat bah&a tidak ada kemungkinan yang
tercantum mena&arkan aplikasi.
0.4.1. 2aunderin% Do! atta"*s fro' (P$4 to (p$)
-eorang penyerang dapat menggunakan server Teredo sebagai re,lektor dalam
penolakan serangan layanan yang ditujukan untuk target IPv4. Penyerang dapat melakukan
hal ini dalam salah satu dari dua cara. !ara pertama adalah untuk membangun sebuah Router
-olicitation
Pesan dan dikirim ke server Teredo/ menggunakan sebagai alamat sumber IPv4 alamat
palsu dari target/ server Teredo kemudian akan mengirim Pesan iklan Router ke target. !ara
kedua adalah dengan membangun alamat Teredo IPv6 menggunakan a&alan Teredo/ alamat
dari server yang dipilih/ IPv4 dari target/ dan 95P port/ dan kemudian mengirim paket ke
alamat yang terikat ke dipilih -erver Teredo.
-erangan re,lektor dibahas dalam ARCEC!TB/ yang menguraikan berbagai teknik
terhadap serangan mitigasi tersebut. -alah satu mitigasi ini adalah untuk mengamati bah&a
.lalu lintas yang dihasilkan oleh re,lektor AmemilikiB keteraturan yang cukup dan semantik
yang dapat disaring dekat korban tanpa penyaringan itu sendiri merupakan suatu denial4o,4
service kepada korban (Ocollateral damageO% .. lalu lintas yang dipantulkan oleh server Teredo
memenuhi kondisi ini0 itu jelas dikenali/ karena berasal dari Teredo 95P port/ bisa disaring
dengan aman jika target itu sendiri bukan pengguna Teredo. di -elain itu/ paket4paket
diteruskan oleh server akan memba&a (sal indikasi enkapsulasi/ yang akan membantu
menentukan sumber serangan.
0.4.2. Do! Atta"*s fro' (P$4 to (p$)
-eorang penyerang dapat menggunakan server Teredo untuk meluncurkan serangan.
-erangan tujuan terhadap IPv6. Penyerang akan membangun sebuah paket IPv6 menuju
target dan akan mengirimkan paket yang ke alamat IPv4 dan 95P port dari server Teredo/
yang akan disampaikan dari sana ke target lebih IPv6.
(lamat yang ditentukan dalam bagian $.".< memberikan perlindungan terhadap
serangan ini/ karena mereka memastikan bah&a alamat sumber IPv6 akan konsisten dengan
sumber alamat IPv4 dan sumber port 95P digunakan oleh penyerang. ?ika penyerang tidak
dapat spoo, sumber IPv4 alamat/ target akan dapat menentukan asal serangan.
Pemeriksaan alamat memastikan bah&a alamat sumber paket IPv6 diteruskan oleh
server akan mulai dengan a&alan IPv6 Teredo. ini adalah ,aktor yang meringankan/ karena
situs diserang bisa menggunakan ini untuk menyaring semua paket yang bersumber dari
pre,i; during an attack. @al ini akan mengakibatkan hilangnya sebagian layanan/ sebagai
target tidak akan dapat untuk berkomunikasi dengan Teredo host yang menggunakan a&alan
yang sama.
'amun/ komunikasi dengan host lain IPv6 akan tetap terpengaruh/ dan komunikasi
dengan Teredo host akan dapat dilanjutkan bila serangan itu telah berhenti.
0.4.3. Do! Atta"*s fro' (p$) to (p$4
-eorang penyerang dengan konektivitas IPv6 dapat menggunakan relay teredo ke
meluncurkan denial o, service attack terhadap IPv4. Penyerang akan menulis alamat Teredo
IPv6 menggunakan a&alan Teredo/ sebuah .cone. ,lag set ke </ alamat IPv4 yang sasaran/
dan port 95P se&enang4&enang. P
5alam variasi sederhana dari serangan ini/ penyerang mengirimkan IPv6 paket ke
tujuan menggunakan Teredo IPv6 routing yang biasa. Paket yang diambil oleh relay terdekat/
yang akan meneruskannya ke alamat IPv4 dari target. 5alam varian yang lebih rumit/ yang
trik penyerang Teredo mengirimkan paket ke target/ baik dengan mengirimkan paket pertama
dengan alamat IPv6 palsu dan membiarkan Teredo host balasan atau dengan mempublish
alamat IPv6 palsu dalam nama layanan.
(da tiga jenis alamat IPv4 bah&a seorang penyerang dapat menanamkan dalam alamat
Teredo palsu tersebut. Ini mungkin menanamkan multicast atau broadcast alamat/ alamat
unicast lokal/ atau alamat unicast global.
5engan multicast atau broadcast alamat/ penyerang dapat menggunakan mengalikan
e,ek multicast routing. 5engan mengirimkan satu paket/ hal itu dapat mempengaruhi
sebagian besar host/ dengan cara mengingatkan .-mur,. menyerang.
5engan menggunakan alamat lokal/ penyerang dapat mencapai host yang tidak
biasanya dapat diraih dari internet/ misalnya/ host terhubung ke Teredo relay oleh subnet
private. @al ini menciptakan eksposur untuk/ minimal/ denial o, service attack terhadap host/
jika host tidak dilindungi. @al ini mirip dengan varian serangan menggunakan sumber routing
untuk menembus parameter.
(lamat yang ditentukan dalam bagian $.6.4/ $.".</ $.4.< dan memveri,ikasi bah&a
paket yang diteruskan hanya ke alamat IPv4 global. Mereka dirancang untuk menghilangkan
kemungkinan menggunakan broadcast/ alamat multicast atau lokal dalam denial o, service
atau serangan lainnya. 2ita hanya akan mempertimbangkan serangan yang menargetkan
secara global alamat unicast terjangkau.
-erangan dapat ditargetkan pada 95P port/ seperti/ Misalnya/ port 5'- server. The
95P payload harus membentuk paket IPv6/ dan dengan demikian tidak mungkin diterima
oleh layanan 95P/ dalam banyak kasus/ satu4satunya e,ek dari serangan itu akan membebani
target dengan tra,,ic acak.
-ebuah kasus khusus terjadi jika serangan itu diarahkan ke layanan echo. Eayanan ini
akan echo paket. 2arena layanan gema melihat permintaan yang datang dari alamat IPv4 dari
relay/ ja&aban gema akan dikirim kembali ke relay sama. Menurut aturan ditentukan dalam
1agian $.4/ paket ini akan dibuang oleh Teredo relay. Ini bukan serangan yang sangat e,isien
terhadap Teredo relay 4 membangun sesi dengan Teredo sebenarnya host akan menciptakan
lebih banyak lalu lintas.
Paket IPv6 dikirim ke target berisi alamat IPv6 digunakan oleh penyerang. ?ika ingress
,iltering digunakan dalam jaringan IPv6/ alamat ini akan sulit untuk menipu. ?ika ingress
,iltering tidak digunakan/ penyerang dapat ditelusuri jika router IPv6 menggunakan
mekanisme mirip dengan I!MP Traceback. Pesan I!MP biasanya akan dikumpulkan oleh
relay sama yang meneruskan lalu lintas dari penyerangG relay dapat menggunakan pesan ini
untuk mengidenti,ikasi sumber serangan yang sedang berlangsung. Rincian solusi ini harus
dikembangkan lebih lanjut.
1. (A. #onsiderations
I(1 telah mempelajari masalah tentang . 9nilateral -el, (ddress i;ing. (9'-(%/ yang
merupakan proses umum dimana upaya klien untuk menentukan alamat di sisi lain dari '(T
melalui mekanisme re,leksi protokol kolaborati, AR!"464B. Teredo adalah contoh dari
protokol yang melakukan ,ungsi. I(1 telah memberi perintah bah&a setiap protokol yang
dikembangkan untuk dokumen tujuan spesi,ik yang mengatur pertimbangan. 1agian ini telah
memenuhi kebutuhan tersebut.
1.1. Pro/le' Definition
5ari AR!"464B/ setiap usulan 9'-( harus memberikan de,inisi yang tepat dan
speci,ic/ masalah terbatas lingkup yang harus diselesaikan dengan usulan 9'-(.
Memperbaiki jangka pendek tidak boleh digeneralisasi untuk memecahkan masalah lain/
mengapa . short term ,i;es usually arenOt..
Masalah spesi,ik yang diselesaikan dengan Teredo adalah penyediaan koneksi IPv6
untuk host yang tidak bisa mendapatkan koneksi IPv6 native dan tidak dapat menggunakan 6
to 4 karena adanya '(T bet&een dan relay 6to4.
1.2. E+it !trate%y
5ari AR!"464B/ setiap usulan 9'-( harus memberikan deskripsi dari
strategy>transition planing. Perbaikan jangka pendek yang lebih baik secara naturally akan
melihat kekurangan dan kurang tepat digunakan sebagai Teknologi ini.
Teredo dilengkapi dengan built4in e;it strategy0 setelah klien memperoleh koneksi IPv6
dengan cara lain/ baik 6to4 atau native IPv6/ dapat berhenti menggunakan Teredo service.
-ecara khusus/ kami berharap bah&a generasi berikutnya dari home router akan memberikan
IPv6 service di melengkapi dengan IPv4 '(T/ misalnya/ dengan menyampaikan koneksi
yang diperoleh dari I-P/ atau dengan menggunakan dikon,igurasi atau automatic tunnel
service.
-elama Teredo digunakan/ akan ada kebutuhan untuk mendukung Teredo relay
sehingga tersisa Teredo host yang dapat berkomunikasi dengan native IPv6 host. Teredo di
penggunaan beban tra,,ic pada relay akan menurun. -eiring &aktu/ para manajer akan
mengamati tra,,ic yang berkurang/ beban pada relay mereka/ dan akan mematikannya.
Meningkatkan tekanan pada Teredo yang tersisa host untuk meng4upgrade ke bentuk koneksi
lain.
C;it -trategi di,asilitasi oleh si,at Teredo/ yang menyediakan solusi IP4level. (plikasi
IPv64 tidak diperbarui untuk menggunakan atau tidak menggunakan Teredo. Tidak adanya
dampak pada aplikasi/ membuat lebih mudah untuk bermigrasi dari Teredo0 net&ork
connectivity su,,ices.
(kan muncul alasan mengapa implementasi teredo mungkin memutuskan untuk
melanjutkan penggunaan Teredo service bahkan jika itu sudah memiliki diperoleh koneksi
dengan cara lain/ misalnya0
<. 2etika klien dual home/ dan keinginan untuk meningkatkan layanan. 2etika
berkomunikasi dengan host Teredo lainnya yang .nearby. pada ?aringan IPv4. ?ika
klien hanya menggunakan layanan IPv6 asli/ Teredo host akan dicapai hanya
melalui relay. 5engan mempertahankan Teredo. @ost Teredo dapat dicapai dengan
transmisi langsung atas IPv4
6. ?ika/ untuk beberapa alasan/ link Teredo menyediakan klien dengan layanan yang
lebih baik daripada link asli IPv6/ dalam hal band&idth/ packet loss/ dll
5esain teredo meringankan dual4homing. -ebuah host yang ingin untuk berkomunikasi
dengan Teredo peer dapat menerapkan .host4based relay ./ yang secara e,ekti, antarmuka
Teredo unnumbered. -ebagai dual4homed host akan mendapatkan koneksi Teredo dengan
host4host yang harus menggunakan Teredo/ tetapi secara tidak sengaja mendorong dual4
homed host lain untuk tetap menggunakan Teredo service.
1ubbles dan enkapsulasi 95P digunakan oleh teredo untuk memperkenalkan overhead
yang signi,ikan. Ini akan mengambil keadaan bagus untuk teknologi asli untuk menyediakan
layanan yang lebih rendah dibandingkan Teredo. (lasan yang tak terduga lainnya/ dapat
menyebabkan host untuk tetap menggunakan layanan Teredo meskipun ketersediaan koneksi
IPv6 asli. 'amun/ keadaan ini cenderung menjadi jarang. (palagi jika alasan utama untuk
menggunakan Teredo memudar/ seseorang dapat mengharapkan bah&a Teredo relay akan
semakin dimatikan dan bah&a kualitas layanan Teredo akan semakin menurunkan/
mengurangi motivasi untuk menggunakan layanan Teredo.
1.3. .rittleness (ntrodu"ed /y Teredo
5ari AR!"464B/ setiap usulan 9'-( harus melakukan diskusi tentang isu4isu
spesi,ik yang dapat membuat sistem yang lebih .brittle.. -ebagai contoh/ pendekatan yang
melibatkan menggunakan data pada beberapa lapisan jaringan membuat dependensi yang
lebih banyak/ meningkatkan tantangan debugging/ dan membuat lebih sulit untuk transisi.
Teredo memperkenalkan brittleness ke dalam sistem dalam beberapa cara0 proses
penemuan mengasumsikan klasi,ikasi tertentu devices based pada perlakuan terhadap 95P/
pemetaan harus terus menerus re,resh/ dan menangani struktur dapat menyebabkan beberapa
host yang terletak di belakang '(T umum untuk menjadi terjangkau dari satu sama lain.
(da banyak kesamaan antara titik4titik ini dan mereka diperkenalkan oleh Traversal
-ederhana Protokol 95P melalui '(T (-T9'% AR!"48:B. 'amun/ Teredo mungkin agak
kurang brittle dari -T9'. itu alasannya adalah bah&a semua paket Teredo dikirim dari lokal
IPv4 Teredo service port/ termasuk penemuan/ bubbles/ dan aktual paket. @al ini berbeda
dengan -T9'/ di mana jenis '(T deteksi dan mengikat penggunaan alokasi port lokal yang
berbeda.
Teredo mengasumsikan klasi,ikasi tertentu devices based pada treatment 95P
(misalnya/ cone/ protected cone and symmetric%. di sana bisa menjadi perangkat yang tidak
akan masuk ke dalam salah satu dari cetakan tersebut/ dan akan benar diklasi,ikasikan oleh
Teredo.
1inding dialokasikan dari '(T harus terus menerus re,resh. 2arena timeout untuk
binding ini sangat spesi,ik/ re,resh interval tidak dapat dengan mudah ditentukan. 2etika
binding tidak sedang akti, digunakan untuk menerima tra,,ic/ tetapi untuk menunggu pesan
masuk/ binding re,resh akan sia4sia mengkonsumsi band&idth jaringan.
Penggunaan server Teredo sebagai elemen jaringan tambahan memperkenalkan titik
lain dari potential security attack. -erangan ini sebagian besar dicegah dengan langkah4
langkah keamanan yang disediakan oleh Teredo/ tapi tidak sepenuhnya.
Penggunaan server Teredo sebagai elemen jaringan tambahan memperkenalkan titik
lain kegagalan. ?ika klien tidak dapat menemukan -erver Teredo/ atau jika server harus
tersedia karena kegagalan/ klien Teredo tidak akan dapat memperoleh koneksi IPv6.
2omunikasi dengan non4Teredo host bergantung pada ketersediaan Teredo relay.
Teredo desain mengasumsikan bah&a ada beberapa Teredo relay/ layanan Teredo akan
menemukan relay paling dekat dengan non4Teredo peer. ?ika relay menjadi tidak tersedia/
atau misbehaving/ komunikasi antara host Teredo dan peers close dengan relay yang akan
gagal. Masalah keandalan ini agak dikurangi dengan kemungkinan untuk menyebarkan
banyak relay/ arbitrarily close dari host IPv6 asli yang memerlukan koneksi dengan Teredo
peers.
Teredo memaksakan beberapa pembatasan terhadap topologi jaringan untuk tepat
operasi. -ecara khusus/ jika '(T yang sama di jalan antara dua klien dan server Teredo/ klien
ini hanya akan dapat beroperasi jika mereka terhubung ke link yang sama/ atau jika umum
'(T mampu .hairpinning./ yaitu/ .looping. paket yang dikirim oleh salah satu klient yang
lain.
(da juga poin tambahan dari brittleness yang layak untuk disebutkan0
- Eayanan Teredo tidak akan bekerja melalui 'at dari berbagai simetris.
- Eayanan Teredo tergantung pada server Teredo berjalan pada jaringan yang
merupakan common ancestor untuk semua klien Teredo/ biasanya/ ini adalah Internet
publik. ?ika server Teredo itu sendiri di belakang '(T/ Eayanan Teredo tidak akan
bekerja dengan peers tertentu.
- Teredo memperkenalkan jitter ke layanan IPv6/ karena antrian paket sementara
pertukaran bubble berlangsung. ?itter ini dapat berdampak negati, pada aplikasi/
terutama latency yang sensiti,/ seperti Qoice over IP (QoIP%.
1.4. Re6uire'ents for a 2on%4Ter' !olution
5ari AR!"464B/ setiap usulan 9'-( harus mengidenti,ikasi persyaratan untuk jangka
panjang/ solusi teknis 4 berkontribusi terhadap proses untuk menemukan solusi jangka
panjang yang tepat.
Pengalaman kami dengan Teredo telah menyebabkan re3uiement untuk solusi jangka panjang
masalah '(T0 perangkat yang mengimplementasikan layanan IPv4 '(T harus di masa depan
juga menjadi router IPv6.
3. (A5A #onsiderations
Memo ini mendokumentasikan permintaan untuk I('( untuk mengalokasikan Teredo "64bit
IPv6 layanan pre,i;/ yang sudah ditentukan dalam 1agian 6.6/ dan IPv4 teredo alamat
multicast/ yang sudah ditentukan dalam 1agian 6.<7.
17. A"*no8led%e'ents
1anyak ide4ide dalam memo ini adalah hasil dari diskusi antara penulis dan rekan
Microso,t/ terutama 1rian Dill/ ?ohn Miller/ Mohit Tal&ar/ ?oseph 5avies/ dan Rick Rashid.
1eberapa enkapsulasi rincian terinspirasi dari karya sebelumnya oleh 2eith Moore. !ontoh
dalam 1agian $.< dan sejumlah tindakan pengamanan yang disarankan oleh Pekka -avola.
Prosedur Penemuan lokal disarankan oleh Richard 5raves dan 5ave Thaler. 5okumen ini
telah diperiksa oleh anggota '=TR('- dan Q6FP- kelompok kerja/ termasuk 1rian
!arpenter/ !yndi ?ung/ 2eith Moore/ Thomas 'arten/ (nssi Porttikivi/ Pekka -avola/ Cng
-oo =uan/ dan Ci,,el Iu. Cric 2lein/ 2aren 'ielsen/ rancis 5upont/ Markku (la4
Qannesluoma/ @enrik Eevko&et)/ dan ?onathan Rosenberg disediakan ulasan rinci selama
panggilan terakhir ICT.