IPv6セキュリティの 勘 どころ 家 庭 SOHOネットワークでのIPv6セキュリティ NTTコミュニケーションズ 株 式 会 社 先 端 IPアーキテクチャセンタ IPコアテックTU 山 形 育 平 2011/12/01 1
AGENDA 1. 来 場 の 皆 さまへ 質 問 2. 現 在 のIPv6 対 応 状 況 3. 家 庭 SOHOネットワークの IPv6セキュリティについて ネットワーク 構 築 において 気 をつける 点 IPv6の 仕 様 による 課 題 デュアルスタックによる 影 響 ホストの 実 装 4. まとめ 2
来 場 されている 方 々へ 質 問 あなたのご 自 宅 の 環 境 はどれにあてはまりま すか? 1. ネットワークはIPv6に 対 応 しているし, 機 器 もすべて がIPv6 対 応 です 2. ネットワークはIPv6に 対 応 しているが, 一 部 の 機 器 がIPv6 未 対 応 です 3. ネットワークがまだIPv6に 対 応 していないですが, 近 いうちに 対 応 する 予 定 です 4. ネットワークがIPv6に 対 応 するのはまだまだ 先 の 予 定 です 5. そもそも 気 にしていません 3
家 庭 SOHO 向 けIPv6 対 応 製 品 端 末 Windows Mac OS Windows Phone ネットワークカメラ PC Mobile/タブレット その 他 BSD Linux ios Android HDTV TV OCN 提 供 DS-RA01 家 庭 SOHO 向 けルータ(CPE) NEC 製 AtermWR8371N Yamaha 製 NVR500 4
IPv6 対 応 サイト Google 検 索 gmail youtube OCN Topページ IPv6でのアクセスを 表 示 World IPv6 Dayでは Facebook Yahoo! などを 中 心 に420 社 以 上 が 参 加 http://www.attn.jp/worldipv6day/participant.html 参 照 5
家 庭 向 けIPv6 接 続 サービス フレッツ 光 ネクストを 使 用 したIPv6 接 続 サービス IPv6 PPPoE (トンネル 方 式 / 案 2) ISPとユーザ 宅 内 を PPPoEにて 接 続 IPv4と 同 じ マルチプレフィックス 問 題 解 決 のため NPT(NAT66)が 必 要 ISPを 経 由 したのち Internetへ 接 続 http://www.ntt-west.co.jp/news/1105/110526d_2.htmlより 抜 粋 6
家 庭 向 けIPv6 接 続 サービス フレッツ 光 ネクストを 使 用 したIPv6 接 続 サービス IPv6 IPoE (ネイティブ 方 式 / 案 4) NGNのアドレスではなく 接 続 事 業 者 のアドレスを 付 与 マルチプレイフィックス 問 題 は 発 生 せず 接 続 事 業 者 を 通 してイン ターネットへ 接 続 ISPはNW 設 備 を 持 た なくともサービス 提 供 が 可 能 http://www.ntt-west.co.jp/news/1105/110526d_2.htmlより 抜 粋 7
家 庭 向 けIPv6 接 続 サービス ISPによってはdefaultでIPv6を 自 動 的 に 付 与 するサービスも au ひかり ISP 側 装 置 とユーザ 宅 内 装 置 の versionupにより 提 供 開 始 ユーザは 何 もすることなくIPv6アド レスが 付 与 される 状 態 に 追 加 料 金 なし http://www.auhikari.jp/news/110418.html 参 照 Xi(moperaU) XiでかつmoperaUに 申 し 込 むこと により 提 供 開 始 ユーザはIPv6を 使 用 するための 追 加 の 申 し 込 みを 行 う 必 要 はなし 追 加 料 金 なし http://www.mopera.net/service/option/internet/ ipv6/index.html 参 照 他 にも 既 にIPv6でサービス 開 始 しているものや 検 討 しているものもあり 8
装 置 端 末 サービスともにIPv6 ready 家 庭 SOHO 向 けの 通 信 もIPv6 ready!! 知 らないうちにIPv6を 使 っているかも ネットワークを 構 築 する 上 でのセキュリティは? IPv4と 違 うところ はどこ? 何 を 気 をつけれ ばいいの? ここでは 家 庭 SOHOネットワークのIPv6に 関 するセ キュリティについて 述 べさせていただきます ネットワークを 構 築 利 用 する 際 に 気 をつける 点 ISPや 企 業 が 個 人 向 けサービスを 行 ううえで 気 をつける 点 9
家 庭 SOHO 向 けIPv6セキュリティ ネットワーク 構 築 にて 気 をつける 点 IPv6の 仕 様 による 課 題 家 庭 SOHO IPv6 セキュリティ デュアルスタックによる 影 響 ホストの 実 装 10
一 般 的 なIPv4 ネットワーク ISP CPE ISPとの 接 続 点 はCPEが 存 在 CPEでNAT IPv6ネットワークでは 一 般 的 にはどうするべきか? 11
一 般 的 な?IPv6 ネットワーク IPv6でのネットワーク 構 築 時 の 大 きな 変 更 点 global scope addressを 端 末 にも 付 与 可 能 IPv4ネットワーク 1ユーザあたり 1 アドレス global address CPE(NAT) ISP CPE IPv6ネットワーク 1ユーザに 潤 沢 にアドレスを 付 与 global scope address private address private address global scope address? private address? 12
端 末 にglobal scope addressで 大 丈 夫? 端 末 へのglobal scope addressの 付 与 NATが 不 要 になる メリット 高 い 透 過 性 デメリット セキュリティの 低 下? IPv4 時 代 のNATによるセキュリティへの 恩 恵 外 部 からの 通 信 の 遮 断 Stateful Packet Inspection(SPI)によるもの 13
端 末 にglobal scope addressで 大 丈 夫? SPIとは... 内 部 コンピュータが 外 部 ネットワークに 対 して 実 施 している 通 信 状 態 を 記 録 しておき,その 通 信 に 対 する 応 答 パケットと 推 定 できるものだけ 内 部 に 通 過 させる 機 能.com master 2011より 抜 粋 IPv6でのSPIは 可 能 SPI 一 般 的 なIPv6 対 応 CPEには 搭 載 済 み IPv4と 同 レベルの 防 御 が 可 能 端 末 へのglobal scope addressの 付 与 + CPEでのSPIを 推 奨 サーバ 攻 撃 者 14
注 意 CPEを 置 けないケース RAでのみアドレスが 付 与 されるサービス e.g. IPoEでのHGWなし(ひかり 電 話 契 約 なし)の 場 合 ISP RA CPE routerをlink 上 に 設 置 することが 不 可 CPEでのSPIが 不 可 能 代 替 としてはL2FW 家 庭 用 ( 廉 価 なもの)は 存 在 していない 端 末 での 対 処 (personal FWなど)が 必 要 e.g.. Windows:public networkを 選 択 global scope address 15
IPv6 対 応 ルータ の 定 義 について IPv6 対 応 ルータ として 現 在 家 庭 向 けに 販 売 されているものにはおおよそ2つに 分 類 IPv6 ルーティング 対 応 ルータ SPI 搭 載 IPv6 PPPoEやIPv6 パススルー も 付 加 されている 場 合 もあり IPv6パススルー 対 応 ルータ SPI 未 搭 載 パススルー 機 能 のみ 最 近 新 しく 出 ているものは IPv6 ルーティング 対 応 ルータ のことが 多 い 一 部 のルータは IPv6パススルー 対 応 ルータ の ため 購 入 する 際 は 注 意 が 必 要 16
まとめ IPv6ではSPI 機 能 を 利 用 することでIPv4のNATと 同 レベルのセキュリティを 担 保 可 能 端 末 にはglobal scope addressを 付 与 することで IPv4と 比 べて 透 過 性 を 高 めることが 可 能 SPI 機 能 のあるCPEが 設 置 できない 場 合 は 端 末 側 での 対 応 が 必 要 17
家 庭 SOHO 向 けIPv6セキュリティ ネットワーク 構 築 にて 気 をつける 点 IPv6の 仕 様 による 課 題 家 庭 SOHO IPv6 セキュリティ デュアルスタックによる 影 響 ホストの 実 装 18
IPv6の 仕 様 128bit address 省 略 記 法 address 形 態 (scope/cast) Neighbor Discovery Protocol NDPはIPv6の 中 核 のプロトコル Router Solicitation(RS) Router Advertisement(RA) Neighbor Solicitation(NS) Neighbor Advertisement(NA) ICMP redirect 中 間 ノードでの fragment 禁 止 不 正 RAやNA 詐 称 などの 上 記 の 仕 組 みを 悪 用 した 攻 撃 手 法 が 存 在 19
IPv6の 仕 様 によるセキュリティ 不 正 RA NA 詐 称 その 他 NDPを 利 用 した 攻 撃 同 一 リンク 内 に 攻 撃 者 がいることが 条 件 家 族 で 使 っていたり, 一 人 で 使 っている 場 合 には 気 にしなくてよい? トンネルによるバックドア 形 成 の 危 険 性 あり 20
トンネルによる 外 部 からの 到 達 性 IPv6 over IPv4 トンネル 技 術 により, 内 部 ネットワー クに 直 接 アクセス 可 能 端 末 で 終 端 する 場 合 CPEをバイパス 可 能 IPv4 トンネル サーバ CPE(NAT) IPv6 CPEのFWでは 検 知 不 可 CPEにとっては 正 常 な IPv4 通 信 外 部 からの 到 達 性 あり さらされている 状 態 バックドア 形 成 の 危 険 性 不 必 要 なtunnelは 使 用 しない/CPEでのFilter 使 用 する 場 合 は 端 末 でFWなどの 防 御 策 を 実 施 21
無 線 使 用 時 には 特 に 要 注 意 トンネルサーバ IPv4 IPv6 CPE(NAT) 兼 無 線 ルータ 攻 撃 者 無 線 のセキュリティが 甘 いとバックドアの 作 成 がより 容 易 に 攻 撃 者 を 経 由 して 通 信 することで Man-in-the-middle attackになる 場 合 も 無 線 使 用 時 にはWPAなどの 強 固 な 暗 号 方 式 を 使 用 22
IPv6での 端 末 へのアドレス 付 与 方 法 IPv4では... CPEがDHCPで 付 与 global addressはpppoeを 張 りなおす 度 に 変 化 DHCP + アドレス 非 固 定 DHCPv6 IPv6ではどうなのか OSでのclient 実 装 がされていないものあり e.g. Windows XP, Mac OS X 10.6 CPEでのserver 機 能 も 未 実 装 なものが 多 い SLAAC 現 状 では 一 般 的 23
SLAACでのアドレスの 付 与 Prefix(64bit) ISPやサービス 仕 様 によっ て 決 定 ユーザは 指 定 することがで きない サービスによって 固 定 非 固 定 が 決 定 + Interface ID(64bit) 一 般 的 にはEUI-64にて 決 定 MACアドレスにより 一 意 に 決 まる Interface IDをランダムに 生 成 し, 適 宜 変 更 するPrivacy Extensionが 存 在 OSによってはデフォルトでは 未 使 用 のものも Prefix 固 定 かつPrivacy Extension 不 使 用 だと アドレスが 半 永 久 的 に 固 定 24
アドレス 固 定 のPros and Cons Pros Cons 外 部 からの 通 信 が 容 易 (サーバ 構 築 時 は 望 ましい) 同 一 ユーザかどうかの 特 定 が 容 易 Prefix 同 一 ID( 家 庭 )からの 通 信 かを 判 別 可 能 InterfaceID 同 一 端 末 からの 通 信 かを 判 別 可 能 同 一 ユーザかの 特 定 を 防 ぎたい 場 合 は Privacy Extensionを 有 効 に 25
まとめ IPv6の 仕 様 によるセキュリティに 関 して 致 命 的 なものはなし トンネルについては 不 要 なものを 無 効 化 する トンネルを 使 用 するときにはクライアント 側 の FW(SPI)を 使 用 する 無 線 使 用 時 には 強 固 な 暗 号 (WPAなど)を 使 用 同 一 ユーザかどうかの 特 定 を 防 ぎたい 場 合 には, まずはPrivacy Extensionの 積 極 的 な 利 用 を 26
家 庭 SOHO 向 けIPv6セキュリティ ネットワーク 構 築 にて 気 をつける 点 IPv6の 仕 様 による 課 題 家 庭 SOHO IPv6 セキュリティ デュアルスタックによる 影 響 ホストの 実 装 27
デュアルスタックによる 影 響 IPv4 IPv6 Dual stack CPE IPv4 CPE IPv6 CPE IPv4/IPv6ともにCPEがGWの 役 割 FilterなどのFW 機 能 もIPv4/IPv6どちらにも 設 定 が 必 要 CPEが 分 かれている 場 合 にはそれぞれにログインが 必 要 configurationが( 単 純 に 考 えると)2 倍 28
デュアルスタックによる 影 響 IPv4 IPv6 IPv4とIPv6の 終 端 装 置 が 異 なる 場 合 は 特 に 要 注 意 IPv4 CPE IPv6 CPE FW 設 定 を 投 入 IPv6のFW 設 定 はこちらに 必 要 IPv6 PPPoEの 場 合 IPv4とIPv6の 終 端 箇 所 が 異 なる 装 置 の 可 能 性 あり 物 理 的 に 上 位 ルータに のみFWを 設 置 すれば よいように 見 える 29
デュアルスタックによる 影 響 実 例 設 定 が 不 十 分 だと Filterが 十 分 に 効 かず 想 定 外 の 通 信 が 可 能 になることも IPv4 攻 撃 者 IPv6 IPv4/IPv6 両 方 でFilteringの 設 定 が 必 要 IPv4/IPv6 両 方 での 確 認 が 必 要 30
FW 機 能 について FW 機 能 のIPv6 対 応 が 必 要 設 定 画 面 でIPv6アドレスが 設 定 できること URL filtering 通 信 させたくないサーバへのアクセスを 制 限 一 般 的 にはFQDNを 指 定 AAAA 問 い 合 わせ 機 能 が 必 要 アドレス 直 打 ちでのサイトに 対 応 するためにアド レスでの 設 定 も 必 要 IPv6アドレスで 設 定 できること Filteringなどの 機 能 についてもIPv6 対 応 を 31
まとめ IPv4 用 とIPv6 用 の 設 定 について 各 々に 適 切 な 対 応 を 行 うこと URL Filteringなど,Filtering 機 能 のIPv6 化 を 進 め, 購 入 の 際 はIPv6 対 応 のものを 選 択 すること 32
家 庭 SOHO 向 けIPv6セキュリティ ネットワーク 構 築 にて 気 をつける 点 IPv6の 仕 様 による 課 題 家 庭 SOHO IPv6 セキュリティ デュアルスタックによる 影 響 ホストの 実 装 33
ホストの 実 装 古 いOSなどはIPv6に 関 する 現 在 の 仕 様 に 準 拠 していなかったり,そもそも 実 装 が 不 十 分 Site Local DNS addressが 初 期 設 定 されているOS IPv6の 仕 様 によりセキュリティの 設 計 の 見 直 しが 必 要 TCP Wrapperの 逆 引 き 設 定 34
Site local DNS addressについて 古 いOSではリゾルバにfec0:0:0:ffff::1などの Site local DNS anycast addressを 初 期 設 定 している ものあり この 場 合 Site local DNS addressをつけたpcを 同 一 link 内 に 置 くことにより,DNS server 詐 称 が 可 能 e.g. windows 2003 server 初 期 値 で3つのSite local DNS anycast addressが 登 録 Netshを 使 用 することで 変 更 可 能 IPv4のリゾルバに 優 先 的 に 問 い 合 わせを 行 うが,IPv4 のリゾルバがない 場 合 IPv6のリゾルバに 問 合 わせ 35
Site local DNS addressについて Windows 2003 serverのコマンドプロンプト( 初 期 設 定 のまま) 36
Site local DNS addressについて DNS 問 い 合 わせ 時 のパケットダンプ 37
TCP wrapperでの 逆 引 き 登 録 チェック IPv4では 逆 引 きし 登 録 があるものだけ 通 信 を 許 可 する 設 定 あり IPv4 逆 引 きあり IPv6 逆 引 きなし IPv4 DNSサーバ サーバ IPv6 ユーザ IPv6では 逆 引 き 登 録 は 今 のところ 一 般 的 ではない IPv4の 設 計 のままだと 通 信 できないユーザが 多 発 IPv6の 現 状 に 合 わせたセキュリティの 設 計 が 必 要 なものも 存 在 38
まとめ 古 いOSなどはIPv6に 関 する 現 在 の 仕 様 に 準 拠 していなかったり,そもそも 実 装 が 不 十 分 なものがあり,OSを 最 新 のものにするのが 望 ましい IPv6 特 有 の 仕 様 により,IPv4と 同 じ 設 計 では 動 作 しない 場 合 もあり 39
最 後 に セキュリティで 気 をつけるべき 点 は IPv4とほとんど 同 じ 例 えば... CPEにてSPI を 実 施 一 方 で 無 線 使 用 時 は 暗 号 化 IPv6の 仕 様 やデュアルスタックによる 影 響 などに より,IPv4とは 違 う 視 点 でのセキュリティの 検 討 が 必 要 になる 場 合 も IPv6 特 有 の 仕 様 を 理 解 し それに 沿 ったネットワークの 検 討 を 40