企業における IPv6 導入のポイント 2012 年 11 21 先端技術研究所 Copyright 2012 INTEC Inc. 廣海緑 ( ひろみるり ) hiromi@inetcore.com @ruriham
企業の IPv6 対応ロードマップ IPv6 対応の流れ 計画完成 サービスイン 方針検討 計画策定 予算確保体制作り要員教育 構築 開発 ( 設計 実装 ) テスト 試験運用 本番運用 IPv6の基本 導入課題 セキュリティ 対応状況 教育 設定方法 情報収集 設定方法 不具合対処法 技術検証 Copyright 2012 INTEC Inc. 1
IPv6 対応する時に考えたい 8 つのポイント 1 必要な箇所の見極め 2 方針 計画完成 IPv6 対応の流れ サービスイン 方針検討 計画策定 予算確保体制作り要員教育 構築 開発 ( 設計 実装 ) テスト 試験運用 本番運用 IPv6の基本 導入課題 セキュリティ 情報収集 3 情報収集 対応状況 設定方法 教育 不具合対処法 設定方法 4 セキュリティの考え方 技術検証 5アドレスの種類と管理 6ULAの検討 7 標準化や技術状況 8 最新 OSの状況 Copyright 2012 INTEC Inc. 2
1 対応が必要な箇所の 極め IPv4 クライアント IPv4 internet IPv4 対応 (IPv6 非対応 ) システム (2) (1) IPv4/IPv6 クライアント (3) IPv4/IPv6 両対応システム IPv6 クライアント IPv6 internet IPv6 対応 (IPv4 非対応 ) システム Copyright 2012 INTEC Inc. 3
2 針とは 例えば 端末への対応をどう考えるか? それに従って ネットワークやシステムはどうなるか? IPv4 デュアルスタック スタート IPv4 internet IPv4 IPv6 ゴール? IPv4/IPv6 両対応システム IPv6 internet 真のゴール? ( 参考 ) RFC6144 では 8 種類のシナリオと実現 法 IPv4 デュアルスタック IPv6 ISP 家庭の接続と違って 企業には 既存資産 と 業務 に根差した対応 法が必要 Copyright 2012 INTEC Inc. 4
3 情報収集 情報は鮮度が 事 IPv6が登場してから15 年以上経過しています! 検索した情報が時代遅れの場合もあります トンネル接続のTSPというプロトコルは最近全く聞きません World IPv6 Day(2011/6) で脚光を浴びた FallBack 問題 解決策が提 されて 実装も出回っています まだ きな問題 という認識の も多い 解消されてきた 解決してきた という情報は少ない 信頼できる筋の信頼できる情報 を 複数の に聞く 11 始めに検索窓に IPv6 と れた場合の グーグルサジェスト Copyright 2012 INTEC Inc. 5
4 セキュリティの考え 管理機材の数 障害発 時の切り離し点の確保 障害の波及 ログ分析のしやすさ IPv4 IPv6 IPv4 IPv6 IPv4 IPv6 v4 ゲートウェイ v6 ゲートウェイ v4 v6 ゲートウェイ v4 ゲートウェイ v6 ゲートウェイ v4 NW 機器 v4 サーバ v6 NW 機器 v6 サーバ v4/v6 NW 機器 v4/v6 サーバ v4 NW 機器 v4 サーバ v6 トランスレータ v4 パラレルスタック それぞれ単独のプロトコルとして取り扱うため運 管理がしやすい デュアルスタック 機材は少なくて済むが 重の運 管理が必要 ( 製品によっては別の監視ポイントと数えられるので注意 ) トランスレータ プロトコルを分離した管理はできるが 追加した機能に関する運 管理が発 Copyright 2012 INTEC Inc. 6 ( 参考 )IPv6 普及 度化推進協議会 セキュリティガイドライン第 版
5 アドレスの種類と管理 企業網で利 できるアドレス PA... ISPからもらう /48など PI... レジストリ (JPNIC) からもらう /48より きいブロックも申請可能 ULA... /48を 動 成( 意性を確保するための計算式がある ) 表計算ソフトでの管理は厳しい IPv4 を踏襲 ではなく 管理 法の 直しがお薦め IPv6 グローバルユニキャストアドレス (PA) IPv6 グローバルユニキャストアドレス (PI) ULA(*) レジストリ管理下 由に利 (*)ULA には Centrally Assigned という領域もありますが 運 されていないので割愛 Copyright 2012 INTEC Inc. 7
( 付録 )IPv6 アドレス管理の歴史 /32 のアドレス管理 法については 学術系で公開されているものもある JPNIC 本における正式な割り振り 割り当てポリシー 書 http://www.nic.ad.jp/doc/jpnic-01110.html WIDE プロジェクト (2001 年 ) 2001:0200::/35の参加組織割り当て (/48と/40) http://www.v6.wide.ad.jp/registry/v6_addr_track/inet6- alloc.txt http://www.wide.ad.jp/nspixp6/ SINET(2003 年 ) 2001:2F8::/35の参加組織割り当て (/48と/42) http://www.nii.ac.jp/journal/pdf/07/07-07.pdf Copyright 2012 INTEC Inc. 8
( 付録 )IP アドレス管理ツール 無償 有償のものがあり 有償のものは主に通信事業者や 規模なネットワークで利 されている cactiへのエクセルプラグイン フリーウエアのネットワーク管理ソフトウェアcactiへの組み込み cacti + ipplan/iptrack: http://iptrack.sourceforge.net/) cacti + PHPIP http://forums.cacti.net/viewtopic.php?t=25560 http://forums.cacti.net/about25156.html Vital QIP( アルカテルルーセント ) IPアドレス DNS DHCPなどの統合管理ソフトウェア http://www.alcatellucent.co.jp/enterprise/products/network_management/vital qip/index.html Proteus( ブルーキャット ) IPアドレス DNS DHCPなどの統合管理ソフトウェア http://www.bluecatnetworks.com/ipam-assessment-tool ARINの情報ページおススメ http://www.getipv6.info/index.php/ipv6_management_tools Copyright 2012 INTEC Inc. 9
6ULA の検討 ULA( ユニークローカルユニキャストアドレス ) 利 の前提 グループ内およびグループ間の閉じたネットワーク構築に いる グローバルな経路広告を必要とする接続 法をしない ( インターネットVPNなど ) 内部参照のためのローカルDNSの構築が可能 外部接続やインターネットの利 は別途物理 論理ネットワークを構築する 接続端末数が /48におさまる ULA グローバルインターネットとの接続 法 (NAT66orマ Copyright 2012 INTEC ルチプレフィックス Inc. ) 10 グローバルユニキャストアドレス アドレススペース fd00::/8 と fc00::/8 をプレフィックスとして /48 取得 法により /32~/56(/32 以上も可 ) グローバル ID の数 /48 で 1,099,511,627,776 可変な利 が可能 サブネット数 65536(16bit 分 ) 可変 (/48 だと ULA と同じ ) 標準化 (RFC 書 ) RFC4193 RFC3587 アドレス衝突の可能性確率的になしなし 利 上の制約 Global ID の算出には pseudo-random アルゴリズムを使うこと サイト内に閉じた経路広告をすること ローカル DNS での AAAA-RR,PTR-RR のみ参照可能とすること ULA にあげられた制限はなし ISP を変更する場合にリナンバとなる 費 なし レジストリやISPへの費 が発 ( 210,000 年 JPNICのPIアドレス維持費 )( 注 1) 懸念事項 課題 fc00::/8 のを いる centrally assigned 導 の議論が停滞 RFC3484 デフォルトポリシーテーブルに反映されていない (RFC6724 準拠であれば反映されている ) 先頭 bit が 1 のグローバルユニキャストアドレス割り当て時の問題 (8000::/3) マルチキャスト通信のソースアドレス選択 企業網での ULA 推奨は RFC4864 RFC5357 draft-v6ops-ipv6-cperouter-04.txt 等に記載 注 1) http://www.nic.ad.jp/ja/ip/member/fee.html#3 PI(ISP 依存 利 組織固有のアドレス ) の場合 経路広告などの運 を伴う 同 RIR で 2 つ以上の PI アドレスを取得する場合などに申請 続きが煩雑 期化する場合がある (RIR のポリシーによる ) グローバルインターネットへの透過的通信
( 付録 )ULA の地域分配と階層管理 細かな境界を持たせて階層管理すると /48 でも りなくなる場合も 部 1 拠点 1 拠点 16 16 セグメント 1 セグメント 16 セグメント 1 セグメント 16 16 /48 本店 1 16 部 16 16 拠点 1 拠点 16 セグメント 1 セグメント 16 セグメント 1 セグメント 16 セグメント 1 店 15 部 1 拠点 1 拠点 16 セグメント 16 セグメント 1 セグメント 16 部 16 拠点 1 拠点 16 例 ) フラットなセグメント (65536) を 4bit 区切りで 4 階層で管理する場合 拠点内には 16 セグメントしか構成できなくなる セグメント 1 セグメント 16 セグメント 1 セグメント 16 Copyright 2012 INTEC Inc. 11
( 付録 )ULA 成 法 1MAC アドレスの抽出 NIC の MAC アドレスを調べる MAC address=00:19:d1:86:bd:8a 2ULA generator サイトへアクセス ULA Generator の web ページ (http://www.kame.net/~suz/genula.html) にアクセスし mac アドレスを する < ご参考 > ULA の算出機能を提供しているサイト (1)KAME プロジェクト http://www.kame.net/~suz/gen-ula.html (2)SixxS プロジェクト http://www.sixxs.net/tools/grh/ula/ ULA は MAC アドレス EUI64 アドレス 時刻データを いて RFC に規定されるアルゴリズムから計算されます 追加の ULA を作成する場合に同じ MAC アドレスを いても 時刻のパラメータの値が変わるため 重複することは理論上ありません 3 固有の ULA を算出する規定のアルゴリズムによって算出された ULA を得る Copyright 2012 INTEC Inc. 12
7 標準化や技術状況 公開サーバはデュアルスタック運 が多い中 トランスレータも堅調 イントラネットは 内部の IPv6 悪 を避けるための 守り の設定 インターネット 公開サーバ 公開セグメント 対応データセンタが増えてきた IPv6(AAAA) の問い合わせ対応できない DNS 機能を搭載した古いロードバランサに注意 GEO Location 情報のマッピングサービスは IPv4 相当の信頼性なし World IPv6 Launch 以降公開サーバの対応増えている Oauth の運 などは IPv4 ベース ( デュアルスタックなら問題なし?) イントラネット クライアント端末 ルータ FW/IPS/IDS スイッチ インターネット 通信機器周辺 CGN の導 や影響は不明 OpenFlow の IPv6 対応は 1.2 から 実装がない アドレスマップ技術の隆盛 (MAP 4rd/6rd DS-LITE 464xlat) DNS64/NAT64 が使われ始めている (WindowsDirectAccess/Forefront UAG など ) プロキシはそんなに選択肢が多くない Copyright 2012 INTEC Inc. 13 イントラネット内 NDP( 近隣探索プロトコル,RA が定義されている ) の実装は OK DHCPv6 クライアントの実装状況はマチマチ クライアント OS の混在環境では注意が必要
8 最新 OS の状況 サーバ OS 多くの最新 OS で IPv6 対応済み デフォルトオン ではない クライアント OS 多くの最新 OS で IPv6 対応済み デフォルトオン IPv6 優先の場合 遅延などに注意 IPv4-IPv6 共存のための 動トンネルに注意 未対応アプリケーションの把握が重要 特に VPN クライアント SIP クライアント HTTP ベースのものは 抵 OK 携帯端末の OS Android 1.9 以降で IPv6 対応 安定版は 2.3? ベンダーによって実装に違い ( 機能オフ? や GUI 未対応 ) DNS の設定が出来ないものが多い ios4 以降で IPv6 対応 GUI が未対応 (IPv6 アドレスの ができない ) Copyright 2012 INTEC Inc. 14
( 付録 ) クライアント OS の動作状況 携帯端末の OS は発展途上? Windows7 と 8 でも RFC6724 準拠など違い 2012 年 9 調査 クライアントOS RA DHCPv6 165.254/16 GUI( 表 ) GUI( 設定 ) Windows XP Windows Vista Windows 7 Windows 8 Mac OS X 10.6 Mac OS X 10.7 Mac OS X 10.8 Android 1.6 Android 2.3 Android 4.0,4,1 ios4 ios5 ipad ios5 Copyright 2012 INTEC Inc. 15
2011-2012 年に国内で発 された参考 献 セキュリティ系の 書がいろいろ出ています IPv6 普及 度化推進協議会 セキュリティガイドライン アプリケーションのIPv6 対応ガイドライン (socket 編 ) IPv6 導 時に注意すべき課題 http://www.v6pc.jp/jp/index.phtml IPv6 技術検証協議会 IPv6 技術検証協議会最終報告書 http://www.nict.go.jp/press/2012/10/23-1.html IPA( 情報処理推進機構 )/ 情報セキュリティ技術動向調査 (2011 年上期 ) 3. IPv6の配備におけるイントラネットセキュリティ http://www.ipa.go.jp/security/fy23/reports/tech1- tg/indexa.html Copyright 2012 INTEC Inc. 16
ちょっとお知らせ IPv6 普及 度化推進協議会 IPv4/IPv6 共存 WG アプリケーションのIPv6 対応検討 SWG アプリケーションのIPv6 対応ガイドライン http://www.v6pc.jp/jp/wg/coexistencewg/v6appswg.phtml 技術評論社 Software Design 12 号 IPv6 化の道も 歩から 連載開始 Copyright 2012 INTEC Inc. 17