点検! IPv6のセキュリティ－プロトコル挙動の観点から－

本発表の分析対象端末収容 LANのセキュリティ分析下記は別発表にてカバーしますインターネット側のセキュリティ分析サーバ端末に特化したセキュリティ分析アプリケーション層のセキュリティ分析セキュリティ機器の現状 Internet Firewall Router Router Server Server Host Host Host Host 2

はじめに IPv4 ではどの位 LAN 上のセキュリティを考慮されていますか? 1 意図せぬ端末をつながせないように工夫物理制御プロトコル制御法的制御 2 何かあったときに追跡しやすいように工夫 ( 性善説 ) MAC 登録 IP 登録 (MAC,IP) 対応登録 3 何かあったときに追跡しやすいように工夫 ( 性悪説 ) IP 詐称防止技術端末監視ソフト導入 Host Host IPv6 でも基本的には同じレベルの対策が必要になるはず Router ARP->NDP, DHCPv4->DHCPv6/RA となるがプロトコル挙動は基本的に同じ本発表では IPv6が網内に入ってくると発生する忘れがちなポイントすぐに取れそうな対策を紹介します 3

注意 1 意図してIPv6を導入する場合と気づかぬままIPv6が入る場合があります特に後者に要注意例 1. IPv6 自動トンネルによるIPv6 6to4 = IPv4グローバルアドレスがあれば IPv6 接続可能 Teredo = IPv4プライベートアドレスしかなくても Teredoサーバリレーに到達できれば IPv6 接続可能例 2. Windows で ICS (Internet Connection Sharing) が ON だと無線 LAN を複数端末で共有 6to4 などで IPv6 コネクティビティ確保 RA が流れる http://technet.microsoft.com/ja-jp/library/cc779985(ws.10).aspx 2 常に正しい答えはありません放置したことによる損害と対策したことによる負担のトレードオフ Windows は米国 Microsoft Corporation の米国およびその他の国における登録商標です 4

1. 意図せぬアドレス生成 (RA) (1) 背景 IPv4 アドレス生成 =DHCPv4 IPv6アドレス生成 = 事実上 RAが必須 (DHCPv6ではデフォルトゲートウェイやトウェイや Prefix 長を配布できない ) DHCPv6 サーバ DHCPv6 リレー DHCPv6 クライアント DHCPv6=2001:db8:1:2:1234:5678:abcd:ef00を配布 RA=2001:db8:1:2::/64 (Autonomous-bit OFF) を fe80::1 から配布アドレス =2001:db8:1:2:1234:5678:abcd:ef00/64 デフォルトゲートウェイトウ = fe80::1%eth0 5

1. 意図せぬアドレス生成 (RA) (2) RAを悪用した攻撃脅威 RAはパケット1つ流すだけでセグメント内全体に波及 ( DHCP では ( 事実上 )unicast で端末 - サーバ間のやりとりをするためそこまで大きく波及させることが出来ない ) 不正 RA (Prefix1~20) ルータルータ不正 RA (Prefix961~1000) RA 正常 RA(Prefix0) 不正 RA 攻撃対象攻撃対象悪意のある端末デフォルトゲートウェイ = 悪意のある端末悪意のある端末 1001 個のグローバルアドレスを生成想定される脅威 ( 偽 DHCPv4 サーバを設置されるリスクと同じ ) 通信断盗聴端末のメモリ消費 DoS 意図せぬ IPv6 通信気が付かぬまま RA を流してしまっている端末も意外と多いです 6

1. 意図せぬアドレス生成 (RA) (3) 抜本対策 ( 標準化の場でも議論中ですがここでは今できることに絞ります ) 意図せぬ RA を流せなくすることが一番大事 ( 実現方法はいろいろ ) ルータルータ RA RA L2 スイッチ不正 RA L2 スイッチ悪意のある端末悪意のある端末端末収容ポートで RA をフィルタ廃棄そもそも端末間通信を許容しない (Private-VLAN, Privacy-Separation, ) 7

1. 意図せぬアドレス生成 (RA) (4) オペミスのみ対策悪意のある端末からの攻撃はまずないと仮定しオペミスで RAが流れるケースへの対応を重視するのも一案対策案は数案あります 1. ルータのリンクローカルアドレスを手動設定 2. MACアドレスに注目して意図せぬRAの発信元を追跡 3. 意図せぬRAを打ち消すRA を再送信 4. 本来の RA の優先度を高くする 8

1. 意図せぬアドレス生成 (RA) (4) オペミスのみ対策 ( 例 1) ルータのリンクローカルアドレスを EUI64 ではなくわかりやすい値に手動設定デフォルトゲートウェイのアドレスから意図せぬRAを発見可能ルータ RA L2 スイッチ interface vlan 10 ip address 192.168.2.1 255.255.255.0 ipv6 address 2001:db8:abcd:10::1/64 ipv6 link-local local fe80::192:168:2:1/64 RA IPv4/v6のデフォルトゲートウェイの下 32bitに注目表示が違っていたら意図せぬRAが流れている誤って RA を流してしまった端末 9

1. 意図せぬアドレス生成 (RA) (4) オペミスのみ対策 ( 例 2) 意図せぬ RA の MAC アドレスに注目して RA 発信元を追跡ルータ 2 該当 MAC のありかを調べる ( スイッチの FDB, DHCPv4 サーバの履歴, ) L2 スイッチ不正 RA 1 不正 RA の MAC アドレスを推測 e.g. デフォルトルータの IPv6 アドレスの下 64bit デフォルトルータのIPv6アドレスのMACアドレス (source-link-layer address option) 10

1. 意図せぬアドレス生成 (RA) (4) オペミスのみ対策 ( 例 3) 意図せぬRAをリセットするRAを出しなおす (KAME rafixd) 不正 RAと同じパケットを Router Lifetime=0で再広告ルータ監視サーバ (KAME rafixd) L2スイッチ不正 RA 不正 RA 学習をリセット 11

1. 意図せぬアドレス生成 (RA) (4) オペミスのみ対策 ( 例 4) 本当のルータからの RA の優先度を高くする (Router Preference; RFC4191) ルータ RA( 優先度高 ) interface vlan 10 ipv6 address 2001:db8:abcd:10::1/64 ipv6 nd router-preference high L2 スイッチ RA ( 優先度低 ) 端末は優先度高の RA を優先して用いる誤って RA を流してしまった端末 12

2. IEEE802.1x( 無線 ) と IPv6 の相性問題 (1) 背景 1IEEE802.1xでは端末の認証結果によって端末収容 VLAN を変えることが出来る (e.g. 検疫ネットワーク ) ルータルータ (LAN1) (LAN2) L2 スイッチ LAN1 LAN2 左の端末の認証成功ルータ (LAN1) LAN1 L2 スイッチ LAN2 ルータ (LAN2) 2IEEE802.1xを用いたシステムでは 1つのポートに複数の端末がぶら下がることもある ( ポート単位ではなく MAC 単位でアクセス制御 ) (esp. 無線 LAN) 上流から流れたマルチキャストルータ (LAN1) ルータ (LAN2) パケットは複数 VLANに漏れる LAN1 LAN2 L2スイッチ Dumb Hub 右の端末にもLAN1 のマルチキャストが流れる 13

2. IEEE802.1x( 無線 ) と IPv6 の相性問題 (2) IEEE802.1x( 無線 ) と IPv6 の相性問題 IPv6 アドレスは IEEE802.1x の認証結果に関わらず全ての VLAN から手に入ってしまう (RAはマルチキャストでルータから流れるため) DHCPv4は実質ユニキャストでやりとりされるため本件非該当ルータ (LAN1) LAN1 LAN2 L2スイッチ Dumb Hub ルータ (LAN2) 想定される脅威意図せぬIPv6 通信をトライすることによる IPv6 通信断 e.g.) LAN1の端末が LAN2のルータ経由の通信を試みる LAN1 の端末が LAN2のアドレスをソースにした通信を試みるスにした通信を試みる IEEE802.1x を IPv6 環境では適用不可 14

2. IEEE802.1x( 無線 ) と IPv6 の相性問題 (3) 対策 ( 標準化の場でも議論中ですがここでは今できることに絞ります ) IPv6 over IPv4トンネルによるIPv6 接続 e.g.) ISATAP ISATAPルータ( 通常はDNS hostnameで選択 ) を切り替える必要あり IEEE802.1x を用いる区間では IPv4 パケットしか流れないため本問題に非該当 ISATAPルータ (LAN1) ISATAPルータ (LAN2) IPv6 over IPv4 トンネル LAN1 LAN2 L2スイッチ Dumb Hub IPv6 over IPv4 トンネル IPv4 ユニキャストパケットで IPv6 パケットをトンネルマルチキャストパケットが混信するリスクを回避 15

2. IEEE802.1x( 無線 ) と IPv6 の相性問題 (3) 対策 (cont.) 混在しても困らないような RA 広告 + DHCPv6 でのアドレス配布 1 ルータのリンクローカルアドレスを全て同じにする 2RAのMACアドレス通知オプションをOFFにする 3RA で広告する Prefix は自動設定の対象外とする 4RAで広告するPrefixは Onlinkではないことにする 5ICMPv6 RedirectをOFFにする interface vlan 10 ipv6 address 2001:db8:abcd:10::1/64 1ipv6 address fe80::1 link-local ipv6 nd management-config-flag 2 ipv6 nd no-advertise-link-address 4 3 ipv6 nd prefix 2001:db8:abcd:10::/64 off-link no-autoconfig 5no ipv6 redirects interface vlan 11 ipv6 address 2001:db8:abcd:11::1/64 1ipv6 address fe80::1 link-local ipv6 nd management-config-flag ipv6 nd no-advertise-link-address ipv6 nd prefix 2001:db8:abcd:11::/64 b d 11 off-link no-autoconfig no ipv6 redirects 16

3. 端末が複数の IP アドレスを有する影響 (1) 背景既存のセキュリティソリューションの多くは 1 端末 1IP を想定 e.g.) (MAC, IP) のペアでフィルタリングを行い MAC をキーに (MAC, IP) のペアを常時更新することでセキュリティ確保 MAC に対応する IP は 1 つしかないのが前提サーバ認証をパスしたソーススIP でフィルタを書くことで LAN のアクセス認証を実現端末は IP を 1 つしか持たないのが前提 IP-a からの認証成功 IP-a からのパケットを通すスイッチ IP-a 認証が通った IP アドレスで通信可能 17

3. 端末が複数の IP アドレスを有する影響 (2) 想定される脅威 IPv6では 1 端末複数 IP が当たり前になる IPv4アドレスとIPv6アドレス複数のIPv6アドレス ( リンクローカル + グローバルリンクローカル + 複数グローバル ) 既存セキュリティソリューションが成立しない恐れがある - IPv6 を導入したら通信できなくなった - IPv6を導入したら意図せぬ穴が開くようになった IP-a からの認証成功 IP-aからのパケットを通すスイッチ IP-a IP-b IP-b では通信不可 18

3. 端末が複数の IP アドレスを有する影響 (3) 対策本質的には IPv4 でも同じ (IPv6 導入により顕在化しただけ ) 一般解はない - 各セキュリティソリューション依存 - Layer2ベースのセキュリティソリューションはほとんど影響を受けないと思われる端末が複数 IPアドレスを有していたとしても 1 端末 1MAC の前提はおそらく成り立つため 19

参考 ) IPv4/v6 のプロトコル対応付け端末収容 LAN 内では IPv4 IPv6 でほぼ同様なプロトコルが動作 IPv4 で行われた攻撃は IPv6 でも ( 理論上 ) 実施可能 IPv4 IPv6 IPv6 で想定されうる攻撃 ( 呼応する IPv4 攻撃 ) ARP ICMPv6 (NS/NA) ICMPv6 DoS(NS/NA) (ARP DoS) DHCP DHCPv6 (Optional) ICMPv6 Spoofing (ARP Spoofing) DHCPv6 DoS DHCPv6 Spoofing (DHCP DoS) (DHCP Spoofing) ICMPv6 (RS/RA) ICMPv6 DoS(RS/RA) (DHCP DoS) ICMPv6 Spoofing (DHCP Spoofing) IGMP ICMPv6 (MLD) ICMPv6 DoS(MLD) (IGMP DoS) ICMP Redirect ICMPv6 (Redirect) ICMPv6 DoS(Redirect) ICMPv6 Spoofing(Redirect) (ICMP DoS) (ICMP Spoofing) 20