![13
(LAN編)
IPv4とIPv6のアドレス払い出しの考え方
家庭用
ルータ
ISP
(IPv4)
家庭用ルータのWAN側
(ISPに隣接するインタフェース)
アドレスを1つ
家庭用
ルータ
ISP
プライベート
アドレス
[NAT]
ISPが払い出すアドレスの場所が異なる。
(IPv6)
家庭用ルータのLAN側
(ISPから見ると1ホップ先)
プレフィックス(アドレス群)
4G
プレフィックス
(/64×n個)
[NAT]
プレフィックス
/48~/64
6G 6G Global Address4P4P](https://image.slidesharecdn.com/20181127-iw2018ipv6security-asakusabashi-190312081815/85/Internet-Week-2018-IPv6-13-320.jpg)
Internet Week 2018 知っておくべきIPv6とセキュリティの話
Download as PDF, PPTX3 likes2,922 views
Enjoy Internet
More Related Content
Similar to Internet Week 2018 知っておくべきIPv6とセキュリティの話(20)
![[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成](https://cdn.slidesharecdn.com/ss_thumbnails/exadataoracledb-141125203214-conversion-gate01-thumbnail.jpg?width=560&fit=bounds)
Internet Week 2018 知っておくべきIPv6とセキュリティの話
- 1. 1 日本インターネットエクスチェンジ㈱ Akira Nakagawa Internet Week2018 Internet Week流 Security Bootcamp D1-1 常識変化に向き合おう 知っておくべきIPv6とセキュリティの話 日本ネットワークイネイブラー株式会社 (JPNE) 中川あきら 日本インターネットエクスチェンジ株式会社 (JPIX) 中川あきら 2018.11.27 日本インターネットエクスチェンジ㈱ 中川あきら
- 2. 2 目次 • ウォーミングアップ • IPv6セキュリティーのモチベーション •LAN編 • Home Router のフィルター編 • プライバシー編 • ICMPv6編 • IPv4アドレス共有の影響編
- 3.
- 4. 4 (ウォーミングアップ) 「IPv6はNATが無いから危険」ではありません ! IPv6 にはIPv4 と同等のフィルターがあります。(*1) IPv6 にアドレス変換機能が無いだけです。 Private IPv4 フィルタ Global Home Router Global IPv6 Global フィルタ ✕ ✕ いわゆる “NAT” アドレス変換 (*1) ホームルーターの機器実装による IPv6にも 同じ フィルター が有る。
- 5. 5 (ウォーミングアップ) フィルタ機能の考え方(IPv4・IPv6共通) So-Ho Router Home Router ①内部から の通信 IP: A Port: 100 IP : B Port: 200 ②テーブルに セッションを記憶 フィルタ ④テーブルに載って いないので通信不可。 ✕ ③テーブルを参照する。 往路の足跡がテーブル に記憶されているため、 フィルタを通過。 IPA/Port100 IPB/Port200 ・・・・ ・・・・
- 6. 6 (ウォーミングアップ) 「IPv6もIPv4もフィルタがあるから安全」ですか ??? IPv6 もIPv4 も同じく安全とは言い切れません。 例えば・・・ So-Ho Router Home Router ① ここでパケットを キャプチャ ② 反対方向のパケット を生成 ③ LAN内に入れるカ モ !?
- 7. 7 目次 • ウォーミングアップ • IPv6セキュリティーのモチベーション •LAN編 • Home Router のフィルター編 • プライバシー編 • ICMPv6編 • IPv4アドレス共有の影響編
- 8. 8 USの主要プレーヤーのIPv6対応状況 ATT 65% 大手 NW事業者 (固定・移動) 大手 コンテンツ 事業者 Comcast 65% Verizon Wireless 84% T-Mobile 93% Wikipedia NetflixLinked-in Yahoo.com Instagram Microsoft Azure 大手 端末メーカー / OS Microsoft Win MAC iPhone iPad Android 各プレーヤーが、すさまじいスピードでIPv6対応中。 →世界進出しているため各国でもこの傾向 ! Apple Google Amazon AWS Facebook 固定 モバイル CNN / NBCDropbox ※普及率は IPv6 launch より
- 9. 9 国内で進むIPv6・NGNにおけるIPv6対応状況 IPv6 普及率 IPv6 高度推進・普及委員会 http://v6pc.jp/jp/spread/ipv6spread_03.phtml IPv6 契約数(百万) IPv6 User (Million Accounts) 55% ! 11百万契約 ! 平均世帯人数を2.5人とすると、 25百万人 !
- 10.
- 11.
- 12. 12 目次 • ウォーミングアップ • IPv6セキュリティーのモチベーション •LAN編 • Home Router のフィルター編 • プライバシー編 • ICMPv6編 • IPv4アドレス共有の影響編
- 13.
- 14. 14 (LAN編) IPv6アドレス自動設定のためのプロトコル 家庭用 ルータ DHCPv6-PD (/48・/56等) (PD :Prefix Delegation) ISP 端末に各種の情報を自動設定する。 複数のプロトコルが併用されている。以下は典型的な例 SLAAC方式(*1) ・RA (/64のPrefix・Default) ・DHCPv6 (DNSのIP 等) を併用して自動設定IPv6 Address Default Route DNS Proxy等の IPv6 Address (*1) SLAAC : Stateless Address Auto Configuration (例) 2001:0db8:1234::/48 (例) 2001:0db8:1234:5678::/64
- 15. 15 (LAN編) 宅内アドレス等の設定動作例 (SLAACの例) RAでの払い出し ・IPv6プレフィックス (/64) ・デフォルトルート ISP RA: プレフィックス(IPアドレス)・デフォルトルート DHCPv6 : DNS ProxyのIPアドレス等 を設定 家庭用ルータ DHCPv6-PD (/56・/48 etc.) DHCPv6での払い出し ・DNS ProxyサーバのIPアドレス ・NTPサーバの 〃 ・etc. 端末は両プロトコルで パラメーターをかき集める。 IPv6 ルータ 機能 DNS Proxy サーバ機能 ・・・ DHCPv6 サーバ機能
- 16. 16 (LAN編) RA と DHCPv6で払い出せる情報 デフォルト経路 プレフィックス DNSサーバの アドレス ○ × ○ (端末がアドレスを自動生成) × △(*1) (RFC5006 後追いで標準化) ○ RAの機能 DHCPv6の機能 家庭用 ルータ ISP 多くの端末は RAとDHCPv6を併用してIP Address等の情報 を自動設定している。 アドレス × ○ 各種サーバのアドレス (RDNSS, etc.) △(*1) (RFC6106・8106 後追いで標準化 (*1)) ○ 特記事項 市場に出回っている 製品の全てが(*1)に 対応しているわけで はないため△。 デフォルト経路を払 い出せないため、RA との併用が前提 RA DHCPv6
- 17. 17 (LAN編) IP Address等自動設定のシーケンスイメージ (SLAACの例) DHCPv6 NDP Neighbor Discovery Protocol NA: Neighbor Advertisement IP(LLA(*1)) と MAC は、これ。 RS : Router Solicitation だれかルーターの人いる ? DNSサーバのIPアドレスは、これ。 RA : Router Advertisement 私ルーター。IP(GUA(*2))とDefault GWはRAか ら、DNSのアドレスはDHCPv6から入手せよ。 Prefix と Default GWはこれを使って。 NS : Neighbor Solicitation IP(LLA(*1)) と MAC は ? 主信号の通信 Request DNSのアドレスは ? 家庭用 ルータ 注 (*1) Link Local Address (*2) Global Unicast Address
- 18. 18 (LAN編) 不正RA (Router Advertisement) ・・・ GW-Router 正しいRA 「私ルーター」 不正な Router 不正なRAで 「私ルーター」 Prefix(≒IP Add)や Default GW を通知 正常な通信 誘導された通信 • 不正なRAにより、正常な通信ができなくなる。
- 19. 19 (LAN編) 不正RAの対策例 ・・・ GW-Router • RA-Guard (RFC6105)を実装しているルーターであれば 不正なRAをブロック! •RA-Guard の実装手法が整理されている。(RFC7113) Switch (RA-Guard) 不正なRA ✕ 正しい RA 不正な Router
- 20. 20 (LAN編) 同様に 不正DHCPv6 の対策例 •DHCPv6 においても同様の不正が考えられる。 • DHCPv6-Shield (RFC7610)を実装しているルーターで あれば不正なDHCPv6をブロック! ・・・ GW-Router Switch (DHCPv6 -Shield) 不正なDHCPv6 ✕ 正しい DHCPv6 不正な Router
- 21. 21 特記事項 (重要) • 前述の「不正RA」や「不正DHCPv6」等は、 IPv6のイシューである。 • NW管理者が NW を IPv4-only としていても、 最近の機器はデフォルトでIPv6が動いている。 IPv6 未対応の NW においても、 IPv6の問題が起きる可能性があることにご留意を !! ※ IPv4ネットワークにおける IPv6セキュリティーについては、RFC7123 を参照。
- 22. 22 目次 • ウォーミングアップ • IPv6セキュリティーのモチベーション •LAN編 • Home Router のフィルター編 • プライバシー編 • ICMPv6編 • IPv4アドレス共有の影響編
- 23. 23 (Home Router のフィルター編) 様々なIPv6アドレス自動設定 家庭用 ルータ ISP 6G6G Bridge ISP ③局からDHCPv6 一部のケーブル事業者 6G 6G DHCPv6-PD Prefix(*1)☓n個 RA で Prefix(*1) DHCPv6 Address✕n個 (筆者がどれを推奨するかは別として) 国内では、少なくとも3つの方式が使われている。 (*1) IPv6 Address が2の64乗個 6G Bridge ISP ②局からRA NGN光電話なし 6G 6G 6G 6G RA Prefix(*1)☓1個 ①家庭にルータを設置 世界で大多数
- 24. 24 (Home Router のフィルター編) HomeRouter のフィルター Bridge ISP 局からDHCPv6 6G 6G DHCPv6 Bridge(L2)として動く Home Router にフィルター (L3)が実装されないことが有りがち。ご注意を。 6G Bridge ISP 局からRA 6G 6G 6G RA Bridge Bridge インターネットから LANにアクセスできて しまう。 筆者の知る限り、少な くとも以下のメーカー の IPv4 over IPv6 (MAP-E/DS-Lite)対応 機器は、フィルター対 応済み ・IO-DATA ・Buffalo ・NEC
- 25. 25 目次 • ウォーミングアップ • IPv6セキュリティーのモチベーション •LAN編 • Home Router のフィルター編 • プライバシー編 • ICMPv6編 • IPv4アドレス共有の影響編
- 26. 26 (プライバシー編) 典型的なIPv6アドレス生成 (EUI-64方式) IPv6アドレスの下位64bitが分かれば、 端末(≒端末保有者)を特定できる。 2001:0db8:1234:5678:0211:11ff:fe22:2222 IP Address= 128 bit Prefix = 64 bit Interface ID = 64 bit 各端末は、ISPから払い出された Prefix と自インタ フェースのMACアドレスを組み合わせて、自らIPアドレ スを自動生成する。 MACアドレスを2つに割って 真ん中に ff:fe を機械的に挿入
- 27. 27 (プライバシー編) EUI-64の問題点 Internet Server Interface ID: 下位64bit固定 持ち歩き 持ち歩き 自宅勤務先 内緒の場所 端末保有者はサーバ事業者に訪問先を特定されてしまう。 Interface ID: 下位64bit固定 Interface ID: 下位64bit固定
- 28. 28 (プライバシー編) Privacy Extensions forSLAAC Privacy Extensions あるタイミングで下位64bitが変わる。 複数RFC化されている。 サーバ管理者は端末の特定が不可 ※ 自宅や会社等を特定するためのPrefix(上位64bit)は変わらない ため、法執行機関には影響が及ばない。 サーバ事業者に端末保有者の訪問先を特定されないために・・・
- 29. 29 (プライバシー編) IPv6アドレスプライバシー確保の手段 • RFC3041 (廃止されてRFC4941へ) –Privacy Extensions for Address Configuration in IPv6 • RFC4941 – Privacy Extensions for Stateless Address Autoconfiguration in IPv6 • RFC7217 – A Method for Generating Semantically Opaque Interface Identifiers with IPv6 Stateless Address Autoconfiguration (SLAAC) IPv6アドレス下位 64bit をランダムに生成する手段として いくつかのRFCが出ている。
- 30. 30 目次 • ウォーミングアップ • IPv6セキュリティーのモチベーション •LAN編 • Home Router のフィルター編 • プライバシー編 • ICMPv6編 • IPv4アドレス共有の影響編
- 31. 31 (ICMPv6編) 技術的背景 インターネットの通信において、長いパケットが通らない 場所が存在することがある。 トンネル区間の例 Router Router RouterServer Tunnel 流せる最大データ長 1,500Bytes 1,500Bytes 1,500Bytes未満 トンネルのヘッダが入る ため、流せる最大長は 短くなる。 ここで言うトンネルとは、 PPPoE ・ IPv4 over IPv6 ・ IPv6 over IPv4 など。 流せる最大データ長 = MTU (Maximum Transmission Unit) Ethernet Ethernet Ethernet Ethernet 1,500Bytes
- 32. 32 (ICMPv6編) 長いパケットを通す手段、IPv4 vs IPv6 IPv4では、中継ルーターがパケットを分割(フラグメンテーション)し ていた。 IPv6では、送信端末が分割して送る。 RouterRouter Router Server Tunnel Long Long + + 分割 IPv4 Router Router Router Server Tunnel + + 分割 IPv6 + + なぜ、送信端末は流せるパケットの最大長を知っている ?
- 33. 33 (ICMPv6編) 送信端末が流せるパケットの最大長を知っている理由 ICMPv6 を使って流せる長さが送信端末に通知される。 この調査の仕組みを PathMTU Discovery という。 Router Router Router Server Tunnel Ethernet EthernetEthernetEthernet パケット長 1,500の通信 ICMPv6 最大長は 1,280です パケット長 1,280のICMPv6 以下、繰り返し 最大長が制限される区間があると、送信端末にICMPv6で最大長が通知される。 ※ 数字は例
- 34. 34 (ICMPv6編) Path MTU とセキュリティーの関係は? この ICMPv6 をフィルターアウトしてしまうと、ロングパ ケットが通らなくなる。→ 通信不可。 自組織に ICMPv6 をフィルターするべき、というセキュリ ティーの方針があったとしても、 全ての ICMPv6 をフィルターアウトするべきではない。
- 35. 35 目次 • ウォーミングアップ • IPv6セキュリティーのモチベーション •LAN編 • Home Router のフィルター編 • プライバシー編 • ICMPv6編 • IPv4アドレス共有の影響編
- 36. 36 (IPv4アドレス共有の影響) アドレス共有が進む IPv4 Global Global ISP Global NAT Private Global NAT Private CarrierGrade NAT Shared(*3) GlobalInternet Global Global (1) ~1990年代 共有無し (2) 1990年代~ 宅内で共有 (3) 最近~ ISPでも共有(*2) ・1つの IPv4 グローバルアドレスを複数で利用 ・NAT(*1)等アドレス共有装置配下の各端末は IPアドレス+ポート番号 で識別される。 (*1)正確にはNAPT。広義の「NAT」と言われることが多い。(*2) 方式は複数存在する。図は代表例 (*3)広義の「Private Address」と言われることが多いが、CGN用に「Shared Address空間」(RFC6598)が存在する。
- 37.
- 38. 38 (IPv4アドレス共有の影響) IPv4アドレス共有の影響 IPv4 Global アドレス 共有装置 IPv4 Private ISP等 Server 送信者のアドレスが同じため、送信者の特定が難しくなる。 影響例 •掲示板 - 不正に書き込んだ人の 特定が難 • DoS攻撃 - 攻撃者の特定が難 • 犯罪捜査 - 犯人の特定が難
- 39.
- 40. 40 (IPv4アドレス共有の影響) ベルギーの事例 : IPv41個当たりの最大共有数 Source: https://ripe74.ripe.net/presentations/125-CGN-presentation-Greg-Mounier-EC3-RIPE-74-Budapest.pdf May.2017 警察を含む各組織で、最大16加入者としている。 IAP: Internet Access Provider
- 41. 41 (IPv4アドレス共有の影響) 送信者を特定するためには ? 受信側サーバーでIPv4アクセスのログ取得が必要。 (RFC6302 LoggingRecommendations for Internet-Facing Serversより) • ログ取得の理由 – 犯罪捜査等のためにアドレス共有装置の裏にいる人を特定するため。 – アドレス共有装置とは、NAT444、MAP、DS-Lite 等を指す。 • 取得項目 – ソースポート番号 – タイムスタンプ – プロトコル • ログ取得の際に守るべきこと – これらのログは確実に守られていること。 – プライバシーが守られていること。 – 定期的にログ保持に関する規則に基づき削除されること。 NWのデザインによっては、受信側 サーバーのみならず、Firewall、 Load Balancer等での取得が必要 となる場合がある。
- 42.
- 43.