Geschrieben von Cerberus am 19.05.2014 um 15:05:
Windows 7: Teredo Tunneling verhindern, Datenschutz erhöhenDie Zeiten werden rauer und wenn man früher noch wackelige Themen mit einer überheblichen Handbewegung vom Tisch gewischt hat, so stehen die aktuellen Zeichen im Einfluß der Prism Affäre auf Sensibilität und genau damit hat dieses Thema zu tun.
IPV6 ist zwar inzwischen ein Thema, solange aber keine zwingende Notwendigkeit besteht, dies auf allen unseren Systemen zu nutzen, dürfen wir gerne auch mal einen Blick über den Tellerrand werfen, zumal es implementierte Funktionen gibt, die wir selbst bei einer kompletten IPv6 Umstellung bestenfalls optional benötigen. Da wäre z.B. das ominöse Teredo Tunneling Pseudo-Interface.
Diese Schnittstelle wird dazu genutzt, um IPv6 durch IPv4 zu tunneln, ist also im normalen PC-Betrieb nicht notwendig und birgt auch einige Gefahren. Wikipedia hat es treffend formuliert: "Durch die Tunnelung des IPv6 besteht die Gefahr, dass insbesondere die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können. Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen Paketfilter wirkungslos bleiben", dies haben inzwischen einige Sicherheitsfirmen bestätigt. Außerdem muss eine eigene IPv6 Verbindung, so denn überhaupt vorhanden, nicht von überall erreichbar sein. Die eigene Firewall nützt in diesem Falle auch leider genau nichts, da rutscht das Tunneling ungeprüft durch.
Ein anderer wesentlicher Punkt bereitet uns dabei aber ebenfalls Kopfschmerzen, denn dieser Dienst korrespondiert permanent mit dem Microsoft Terodo Server und keiner erklärt uns genau warum..., darum empfehlen wir die konsequente Abschaltung dieses Dienstes, egal ob man über DSL oder UMTS im Netz agiert.
1. Zunächst einmal sollte über Systemsteuerung/Netzwerk und Freigabecenter/LAN-Verbindung/Eigenschaften das Internet Protokoll Version 6 (TCP/IPV6) deaktiviert werden, in dem wir dort den entsprechenden Haken entfernen:
Sollte TCP/IPV6 irgend wann einmal benötigt werden, können wir den Haken sehr schnell wieder setzen, alle weitere Empfehlungen und Tipps bleiben davon unbenommen.
2. Als nächster Schritt steht die Deaktivierung des Teredo Tunneling Pseudo-Interface bevor, dazu öffnen wir unseren Gerätemanager und optionieren über Ansicht die Anzeige der ausgeblendeten Geräte, anschließend deaktivieren den bewußten Eintrag:
3. Damit ist es aber nicht getan, denn Windows wird diese Maßnahme nach einem Neustart wieder umkehren und die Schnittstelle erneut scharf schalten. Darum deaktivieren wir als nächsten Schritt den dazugehörigen Dienst (Systemsteuerung/Verwaltung/Dienste):
Jetzt ist das Teredo Tunneling Pseudo-Interface definitiv ruhig gestellt und das bleibt es auch. Überprüfbar ist das Ganze durch eine schnelle Kontrolle über die Eingabeaufforderung, wo wir ipconfig -all eintippen und die Syntax mit ok bestätigen, vom Teredo Tunneling Pseudo-Interface wird dort keine Rede mehr sein.
4. Der Befehl netsh interface ipv6 set teredo disable wäre eine weitere Option um das Teredo Tunneling Pseudo-Interface ruhig zu stellen, insbesondere dann, wenn der IP-Hilfsdienst benötigt wird, um IPv6 Funktionalität sicherzustellen.
Dazu reicht es, eine Eingabeaufforderung mit Adminrechten zu starten und dort dann die erwähnte Syntax einzugeben:
Um den Dienst wieder aus seinem Schlaf zu erwecken, existiert ein weiterer Befehl: netsh interface ipv6 set teredo default
5. Nun könnte man natürlich den Dienst auch komplett aus dem System entfernen, in dem man ihn kurzerhand im Gerätemanager deinstalliert, dann ist aber eine schnelle Retoure zurück zur Ausgangssituation (aus welchen Gründen auch immer) nicht ohne größeren Aufwand sprich Inplace Upgrade Reparatur Installation möglich, insofern raten wir davon ab.
Es gibt durchaus noch mehr Optionen das Toredo Tunneling einzudämmen, z.B. durch die Blockade des UDP Ports 3544 im Router, aber die bereits genannten Möglichkeiten sind eindeutig leichter und schneller durchzuführen, zumal dies einige Fummelei mit Telnet erfordert.
Wer sich mit seinem System in einer Domäne bewegt und innerhalb eines produktiven Active Directory Segements arbeitet, wird sich möglicherweise verwundert die Augen reiben, denn unmittelbar nach dem Beitritt in so ein Umfeld wird das Teredo Tunneling Pseudo-Interface vom Client Betriebssystem abgeschaltet.
Das Ganze hat noch einen schönen Nebeneffekt, durch den permanten Traffic, den diese Schnittstelle/Dienst mit dem Microsoft Server veranstaltet, kann es durchaus sein, das sich andere Webaktivitäten gelegentlich unterordnen müssen, so dass es durchaus zu Verbindungsabbrüchen und anderen störenden Irritationen beispielsweise beim Online Gaming kommen kann. Parallel dazu erscheinen dann auch noch kryptische Einträge in der Ereignisanzeige wie diese:
| Zitat: | |
|
Es macht also gleich aus mehrerlei Hinsicht Sinn, das Teredo Tunneling Pseudo-Interface abzuschalten. Wir schließen eine erhebliche Sicherheitslücke, schalten die Microsoft Datensammlerei ab und optimieren unsere Internetverbindung, dafür sollten die 10 Minuten Zeitaufwand nicht zu viel verlangt sein...
wichtig: dieser Artikel funktioniert unter Windows Vista, Windows 8, Windows 8.1 gleichermaßen !