スライド タイトルなし

Similar documents
スライド 1

資料 19-3 J:COM サービスの IPv6 アドレス対応状況について 2012 年 5 月 30 日 株式会社ジュピターテレコム

Microsoft PowerPoint - 今井.ppt

目次 はじめに KDDIのIPv6への取り組み auひかりのipv6 World IPv6 Dayに起きたこと World IPv6 Dayのその後 1

Microsoft PowerPoint - d2-Shin Miyakawa-NTT-COM-IPv IW

Mobile IPの概要

本製品に接続された端末の IPv6 情報が表示されます 端末に割り当てられた IPv6 アドレス IPv6 アドレスを取得した端末の MAC アドレスが確認できます 注意 : 本ページに情報が表示されるのは本製品が 上位から IPv6 アドレスを取得した場合のみとなります DDNSサービス :DDN

2ACL DC NTMobile ID ACL(Access Control List) DC Direction Request DC ID Access Check Request DC ACL Access Check Access Check Access Check Response DC


インターネット協会迷惑メール対策委員会 インターネット協会は 2001 年に設立された財団法人 賛助会員 94 社 (2010 年 12 月 7 日現在 ) 迷惑メール対策委員会 2004 年に設立 メンバーは ISP の他 大学 企業関係者 それらにサービスを提供する SIer など 2005 年

Microsoft PowerPoint - IW2011_D2_Kawashimam_Presen [互換モード]

Windows Server 2012 と IPv6 IPv6 勉強会代表 MURA

NGN IPv6 ISP接続<トンネル方式>用 アダプタガイドライン概要

(Microsoft PowerPoint - 2.\(\220\274\222J\202\263\202\361\)JANOG ppt [\214\335\212\267\203\202\201[\203h])

2) では, 図 2 に示すように, 端末が周囲の AP を認識し, 認識した AP との間に接続関係を確立する機能が必要である. 端末が周囲の AP を認識する方法は, パッシブスキャンとアクティブスキャンの 2 種類がある. パッシブスキャンは,AP が定期的かつ一方的にビーコンを端末へ送信する

Microsoft PowerPoint - 講演2_NICT・衛藤様1028.pptx

FIFA 7 IETF LAN ( ) IT IPv6 ( ) (TAO) WIDE JR 4 SG(Special Group) FIFA

IPsec徹底入門

HGWとかアダプタとか

2. 機能 ( 標準サポートプロトコル ) NTT ドコモの Android スマートフォン / タブレットでは標準で対応している VPN プロトコルがあります 本章では 動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-to-

ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明

ケーブルインターネットのIPv6対応

2. 機能 ( 標準サポートプロトコル ) SECURITY for Biz 対応スマートフォンでは標準で対応している VPN プロトコルがあります 本章では NTT ドコモで動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-t

これだけは知ってほしいVoIPセキュリティの基礎

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

1. フォールバックが発生をする背景 フレッツ光 は NTT 東西と ISP 事業者様との連携により インターネット接続サービスを提供している フレッツ光 で によるインターネット接続のみご利用のお客さまが IPv6 に対応した Web サイトを最初に閲覧する際 フォールバック が発生する 本事象は

Microsoft Word - 平成19年度(ISP編).doc

本資料について

情報通信の基礎

KDDI の IPv6 対応について (update) ~World IPv6 Launch とその後 ~ KDDI 株式会社

点検! IPv6のセキュリティ-プロトコル挙動の観点から-

ブロッキングに関する技術とネットワーク インターネット上の海賊版対策に関する検討会議資料 ( 一社 ) 日本インターネットプロバイダー協会副会長兼専務理事立石聡明

目的と概要 実証実験の背景 課題 アドレス需要が旺盛な事業者は 1 年から 2 年分程度の IPv4 アドレス在庫しか確保していないと言われ IPv4 の後継規格である IPv6 の導入を急ぐとともに IPv4 アドレスの共有環境を検討せざるを得ない状況に直面している IPv4 アドレスの共有環境に

Microsoft Word - トンネル方式(3 UNI仕様書5.1版)_ _1910.doc

ネットワーク入門 データ届くためには2 練習問題

IPv6 普及への貢献 1

MPサーバ設置構成例

PowerPoint プレゼンテーション

センターでは,WAP からの位置情報を受信し, WAP が適切に設置されたかどうかを確認する 提案システムのシーケンス概要 図 2 に提案システムのシーケンスを示す. 携帯端末は,WAP から無線 LAN の電波を受信すると, DHCP サーバに対して IP アドレスを要求する. この要

中継サーバを用いたセキュアな遠隔支援システム

PowerPoint プレゼンテーション

akira

<4D F736F F F696E74202D208E9197BF31322D D BB8CA48B8689EF C835B83938E9197BF284E F E B8CDD8AB B83685D>

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

2014/07/18 1

システムインテグレータのIPv6対応

IIJ GIOリモートアクセスサービス Windows 7 設定ガイド

山添.pptx

アマチュア無線のデジタル通信

Microsoft PowerPoint - d2-中川あきら Internet_Week_2011-Akihabara

2 SmaSvr SmaSvr システムの概要 テクノベインズでは 業務系周辺機器 業務系周辺機器が操作できる スマート端末 が操作できる スマート端末 が操作できる スマート端末アプリ環境 アプリ環境の提供 提供 を実現できる方法 実現できる方法 実現できる方法について研究してきた 研究してきた

IPアドレス・ドメイン名資源管理の基礎知識

1.indd

中村隼大 鈴木秀和 内藤克浩 渡邊晃 名城大学理工学部愛知工業大学情報科学部

ログを活用したActive Directoryに対する攻撃の検知と対策

_IPv6summit_nishizuka.pptx

conf_example_260V2_inet_snat.pdf

スライド 1

IPv4アドレス在庫枯渇に関する報告

資料 19-1 KDDI の IPv6 普及に向けた 取り組みについて KDDI 株式会社

PowerPoint プレゼンテーション

1

CIAJ の概要 2017 年度 CIAJ の概要 情報通信技術 (ICT) 活用の一層の促進により 情報通信ネットワークに係る産業の健全な発展をはかるとともに 情報利用の拡大 高度化に寄与することによって 社会的 経済的 文化的に豊かな国民生活の実現および国際社会の実現に貢献することを活動の目的と

Microsoft PowerPoint - 03a_(別紙2表紙).pptx

スライド 1

5. モデムや ONU CTU の電源を入れます 無線親機の電源はまだ入れないでください 6. モデムや ONU CTU が完全に起動し ランプが正常点灯した後に無線親機の電源を入れます 7. 無線親機が完全に起動し ランプが正常点灯することを確認します 8. ブラウザを開いてインターネットに接続で

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

ネットワーク機器の利用における セキュリティ対策 独立行政法人情報処理推進機構技術本部セキュリティセンター大道晶平

インターネット接続設定 はじめの一歩

Microsoft PowerPoint - DNSSECとは.ppt


アプリケーションレベルでの IPv4aaS: Apple の IPv6対応、解説と検証

企業ネットワークへのIPv6導入の是非

untitled

スライド 1

スライド 1

MIND-Wireless-Win7_web

頑張れフォールバック

AirStationPro初期設定

目次 1. ISP の考えるプラットフォーム機能 2.ISP とキャリアの通信プラットフォームの連携 3.ISP と NGN との連携による新たなサービス 2

MIND-Wireless-Win8.1_eduroam

目次 概要... 3 Windows10 での接続方法... 4 Windows 8 での接続方法... 6 Windows 7 での接続方法... 8 Macintosh での接続方法 ios での接続方法 Android の接続方法 Web によるユーザ認証

PowerPoint プレゼンテーション

JANOG30 Meeting IPv6 時代の IPv4 を考える ~ 第二章 ~ 464XLAT 事前公開資料 2012 年 6 月 26 日 NEC アクセステクニカ株式会社開発本部商品開発部 川島正伸

エンドユーザーコンピューティングⅠ

インターネット白書2017

_mokuji_2nd.indd

DDoS攻撃について

スライド 1

キャンパスネットワークのIPv6移行の留意点

untitled

シート2_p1

PowerPoint プレゼンテーション

SMA GW 設置ガイド STEP1. 準備する 1-1 梱包内容の確認 1-4 RTC 用バックアップ電池を取り付ける RTC 用 バックアップ電池 RTC 用 バックアップ電池ソケット 以下のものが含まれていることをご確認ください 刻印表示があるプラス面を上向きにして バックアップ電池 SMA-

<4D F736F F D D4D D F54696E E82C A DA91B18B40945C82C982E682E9838A B E8

MIRACLE LoadBalancerを使用したネットワーク構成と注意点

untitled

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

PowerPoint プレゼンテーション

RDNSS対応小型ルータを調べてみた_佐藤秀樹_v11.pptx

Transcription:

IPv6 サミット 2010 2010 年 10 月 8 日 IPv6 とセキュリティ 東京電機大学教授内閣官房情報セキュリティセンター情報セキュリティ補佐官佐々木良一 sasaki@im.dendai.ac.jp 1

IPv4 の IP アドレス枯渇問題 The Internet Assigned Numbers Authority (IANA) The Regional Internet Registries 何度も叫ばれてきたが いよいよ現実の問題に ipad の普及もこれに拍車を 2

米国連邦政府の動き 米国 Federal Chief Information Officer Kundra のメモ (9 月 28 日 ) http://www.cio.gov/documents/ipv6memofinal.pdf < 対応指示 > 2012 年度末までに連邦政府の外部サービス (web メール DNS ISP 等 ) をnative IPv6 対応にすること 2014 年度末までにクライアントアプリ ( 外部サービスにつながるもの ) をnative IPv6 対応にすること 2010 年 10 月 30 日までに 各省は IPv6 移行責任者を定め米国行政管理予算局に提出すること 3

IPv6 の IPv4 に勝るメリットは? 1. 膨大なアドレス数 2. すべての機器にグローバルアドレスを割り当てることが可能なので NAT が不要 3. IPSec が標準実装されたことにより セキュリティが向上 4. フラグアンドプレイにより 設定不要でネットワークに繋がること 5. ヘッダが固定長なので 通信が高速 4

IPv6 の登場 IPv6 は IPSec が標準実装されたことにより セキュリティが向上する といわれているが IPSec で実現できるのは主に通信路暗号の機能だけ セキュリティを守るためにはこれだけでは不十分 DDoS 攻撃などは IPSec があっても防止できない しかも IPv4 と IPv6 共存状態ではセキュリティ上 ディペンダビリティ上のいろいろな問題が 5

IPv6 におけるセキュリティ課題の整理 攻撃手段 DoS 侵入 不正アクセス なりすまし 通信傍受 影響対象 ネットワーク アプリケーション ノード ( サーバ / 端末 ) (1) 仕様上の問題 実装上の問題 (2)IPv6 単体での問題 IPv4,v6 共存下における問題 (3) セキュリティ固有の問題 ディペンダビリティと関連する問題 下線がより重要になる問題 6

IPv6 におけるセキュリティ課題の整理 攻撃手段 DoS 侵入 不正アクセス なりすまし 通信傍受 影響対象 ネットワーク アプリケーション ノード ( サーバ / 端末 ) (1) 仕様上の問題 実装上の問題 (2)IPv6 単体での問題 IPv4,v6 共存下における問題 (3) セキュリティ固有の問題 ディペンダビリティと関連する問題 7

IPv6 単体での問題の一例 不正 RA 正規のルータへの成りすまし 攻撃者 PC 不正 RA 3 1 正規の RA 正規ルータ 不正な RA 応答 4 被害者 PC 2 応答 1 によるアドレス生成 3 によるアドレス生成 RA:Router Advertisement <IPv6 では 1 つの PC で複数のアドレスを用いうる > 8

東京電機大学での実験 (1) 正規の送信先 V6 対応ルータ 会社の建屋 インターネット 攻撃者 PC 無線 LAN 課題 不正者が 無線 LAN にアクセスし 不正 RA の機能を利用して Man in the Middle 攻撃などに簡単に成功してしまうのではないか WEP を使っていれば 無線 LAN へのアクセスは容易 不正 RA は? 正規の利用者の PC RA:Router Advertisement WEP: Wired Equivalent Privacy 9

東京電機大学での実験 (2) < 不正 RA 実験の実施 > 正規の送信先 本来のルート 会社の建屋 V6 対応ルータ ( 正規ルータ ) インターネット 攻撃者 PC 無線 LAN IPv6 をほとんど知らなかった B4 の学生が 1 月程度で実現 (Wireshark により 攻撃者 PC にパケットが送られていることを確認 ) 不正 RA を利用した不正なルート 被害者 PC RA:Router Advertisement 10

東京電機大学での実験 (3) こちらに優先的に送付 攻撃者 PC {P2, Y} 3 1{P1, X} 正規ルータ (RTX1200) 優先度 :High 4 被害者 PC 2 優先度 :Middle P1 によるアドレス生成 P2 によるアドレス生成 RA:Router Advertisement <V6では1つのPCで複数のアドレスを用いうる> IPv4の不正 DHCP 攻撃と同じ結果になるが 難しいタイミングアタックを使わなくても 優先度 を使うことにより比較的容 11 易に実現可能であることが判明

IPv6 におけるセキュリティ課題の整理 攻撃手段 DoS 侵入 不正アクセス なりすまし 通信傍受 影響対象 ネットワーク アプリケーション ノード ( サーバ / 端末 ) (1) 仕様上の問題 実装上の問題 (2)IPv6 単体での問題 IPv4,v6 共存下における問題 (3) セキュリティ固有の問題 ディペンダビリティと関連する問題 下線がより重要になる問題 12

IPv4 と v6 の共存 IPv4 と v6 の両方の機能を有する状態をデュアルスタックという デュアルスタックには ネットワークのデュアルスタックとサーバや PC のデュアルスタックがある WINDOWS/Vista や WINDIWS/7 はすでに v6 対応機能も実装されている ネットワークのデュアルスタックは V4/v6 トランスレータを用いる方式と v4 ネットワークに v6 をトンネリングさせる方式 v6 ネットワークに v4 をトンネリングさせる方式がありうる ネットワークのデュアルスタックは 2011 年 3 月の NGN の IPv6 サービスの開始により発生すると言われている 13

デュアルスタックの問題の分類 < デュアルスタック下ではいろいろな問題が生じうる > (1) デュアルスタックにすることによりうまく機能しなくなる問題 ( 例 ) サーバ上のアプリが v4 くくりつけのプログラムになっていて v6 で動かそうとしてもうまく動かない (2) デュアルスタックで動くが v4 用のセキュリティ対策をうとうとすると v6 で機能障害が起こる問題 ( 例 )IPv4 のセキュリティ用に ICMP のフィルタリングをすると IPv6 が動かなくなる 14

共存環境下でのクリティカルな問題 1. セキュリティ問題の本質はあまり変化しないだろう 2. しかし 運用の要請と作業量は IPv4,v6 の 2 倍ではなく場合によっては IPv4->v6,IPv6->v4 を含め 4 倍まで膨らむだろう 3. この状態でディペンダビリティが失われると障害きりわけに 4 倍の知識が必要となり コミュニケーションロスなどにより再立ち上げに膨大な時間がかかる可能性がある 4. このディペンダビリティを失わせるセキュリティ攻撃が巧妙に行われるとサイバーテロともいうべき状態を発生させうるので国としても早めの対応が必要 15

IPv6 セキュリティ問題を検討中の組織 IPv4 アドレス枯渇対応タスクフォース ( 総務省 IPv6 普及 高度化推進委員会 インターネット協会 JNSA,WIDE などが加盟 ) 日本セキュリティ事業者連絡協議会 (ISOG-J ) IPv6 技術検証協議会 NTT などのプロバイダーほか < ネットワーク系企業の対応は進んでいるが コンピュータ系企業の検討が十分進み知識や技術が共有されているのだろうか また 各省庁や地方自治体は対応できるのか > 16

END 17

興味を持つきっかけ 2010 年 1 月 27 日に行われた NSF2009 に出席し IPv6 導入でセキュリティはどう変わるか をみて IPv6 セキュリティ対応の必要性を認識 1. 大元隆志著 IPv4アドレス枯渇対策とIPv6 導入 リック テレコム 2009 2. 佐藤友治 IPv6 導入でセキュリティはどう変わるか NSF2009(JNSA) 3. 北口善明 IPv6のセキュリティ NSF2009( JNSA ) 4. 許先明 security 事業者とIPv6 対応 NSF2009( JNSA ) 5. 宮川晋 大規模 NAT 技術とIPv6 電子情報通信学会誌,Vol.93,No.2,pp145-150(2010 年 2 月 ) 他 18

米国連邦政府の動き 米国 Federal Chief Information Officer Kundra のメモ (9 月 28 日 ) http://www.cio.gov/documents/ipv6memofinal.pdf < 目的 > クラウド スマートグリッド等による連邦政府 IT システムの近代化 NAT 依存による複雑さの低減と透明性の確保 end-to-end におけるユビキタスでセキュアなシステムの実現将来のインターネットサービスの拡張性の確保 < 対応 > 2012 年度末までに連邦政府の外部サービス (web メール DNS ISP 等 ) をnative IPv6 対応にすること 2014 年度末までにクライアントアプリ ( 外部サービスにつながるもの ) を native IPv6 対応にすること 2010 年 10 月 30 日までに 各省はIPv6 移行責任者を定め米国行政管理予算局に提出すること 19

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック