米国家安全保障局、IPv6 セキュリティガイダンスを公開 31
ストーリー by headless
移行 部門より
移行 部門より
米国家安全保障局 (NSA) が IPv6 移行期におけるセキュリティの問題を特定・緩和するためのガイダンスを公開している
(プレスリリース、
ガイダンス: PDF、
The Register の記事)。
ガイダンスは国防総省 (DoD) やその他のシステム管理者向けに書かれており、ネットワークが IPv6 を使い始めて間がないこと、それにより成熟した IPv6 構成やツールがないこと、IPv4 を同時使用するデュアルスタックシステムでの運用になること、などによる攻撃面増加に注目した内容になっている。ガイダンスの主なポイントは以下のようなものだ。
ガイダンスは国防総省 (DoD) やその他のシステム管理者向けに書かれており、ネットワークが IPv6 を使い始めて間がないこと、それにより成熟した IPv6 構成やツールがないこと、IPv4 を同時使用するデュアルスタックシステムでの運用になること、などによる攻撃面増加に注目した内容になっている。ガイダンスの主なポイントは以下のようなものだ。
- プライバシーの問題がある SLAAC を使わず、DHCPv6 を使用する
- 必要な場合を除いてトンネリングを避ける
- デュアルスタックシステムの IPv6 側に IPv4 と同等または上回るサイバーセキュリティシステムを実装
- 複数の IPv6 アドレスを割り当てたホストがすべてのトラフィックをデフォルトで拒否する設定になっていることを ACL で確認し、すべてのトラフィックを記録することを確実にする
- すべてのネットワーク管理者が IPv6 ネットワーク管理に必要なトレーニングを受ける
このほか、スプリット DNS の使用や IPv6 トラフィックのフィルタリング、デュアルスタックシステムでのネットワークアドレス変換使用回避などが追加の対策として紹介されている。
SLAAC禁止て (スコア:1)
光回線でISP側から飛んでくるRAを、途中に機器を入れてインターセプトして、せき止めろってこと?
それとも、個々のIPv6対応機器「すべて」にRAを無視するように設定して回れと?
(AndroidやiOS含む)
この情報はありがたいぜ (スコア:0)
これ系で仕事している人は、こういう感覚を持っているんだろうけど、英語を読めるだけの中途半端な素人個人のOPNSENSE使いにはこういう情報はありがたいんですよ。なんとなくボンヤリ考えていたことに、大まかな方向性ができた。勉強する優先順位ができるね。情報提供者に感謝。
IPv6に無防備なルーター (スコア:0)
IODATAのルーターで、安価でIPv6対応を謳っている物があったが作りがガバガバだった。
IPv4がPPPoE認証の時、IPv6はパススルーしか選べず、SPI等外部からのパケットを弾くオプションも選択出来なかった。危なすぎる。
(今は流通してないと思いたい)
Re: (スコア:0)
OSのファイヤウォールじゃあかんの?
Re: (スコア:0)
そういえば思ったんですが、AndroidやiOSみたいなモバイルOSってファイヤーウォールに相当する仕組み持ってるんですかね?
インバウンド通信は全部弾くのがデフォルト?
Re: (スコア:0)
IPv4がPPPoE認証の時、IPv6はパススルーしか選べず、SPI等外部からのパケットを弾くオプションも選択出来なかった。危なすぎる。
万全だとは言わないけど家庭用ならその仕様でも普通じゃないかな。
あとパススルーとフィルタリングするかって、必ずしも対義語じゃないよ。
Re: (スコア:0)
>家庭用ならその仕様でも普通じゃないかな。
条件を満たすとIPv6 SPIのオプションが現れるのですが、IPv4がPPPoEだとそのオプションが表示されない。
IODATAに問い合わせた所「それが仕様です。フィルタは機能しません。」との事だったので普通の挙動なのかもしれませんね。
尚Buffaloだと同条件でもNDプロキシが使用できます。
>あとパススルーとフィルタリングするかって、必ずしも対義語じゃないよ。
確かにそれぞれ独立した単語で対義語ではないですね。あくまで「パススルーの時にフィルタ設定が出来ない」という話です。
Re: (スコア:0)
尚Buffaloだと同条件でもNDプロキシが使用できます。
パススルーだとL2スイッチと同じ振る舞いでL3から見て透過だけど、NDプロキシを有効化すると同時にL3を見るようになってセキュリティ機能が使えるようになる機器が多いってことかな。それはNDプロキシの仕様じゃなくて、そのホームルーターの実装がそうってことだよね。
もちろんFWがあるに越したことはないんだけどさ、個別の機器のセキュリティの重要度があがってて、いまどきAndroidもiPhoneもセルラー回線でグローバルなIPv6アドレスが振られてるわけで。
Re: (スコア:0)
NEC atermだとインバウンドは基本的に全拒否のはず。
DHCPv6でもツライ (スコア:0)
中小の一人情シスだけど、アドレス配布やファイアウォール許可禁止と、v4よりやること多くてウンザリ。DHCPでv6情報も送れたらラクなのに
Re: (スコア:0)
零細ひとり情シスの俺はv6対応無期限延期中。
目を配らなきゃいけない箇所が増えてポカミスやらかしそうなので。
v4のアドレス数増やしただけ版が欲しかった。
Re: (スコア:0)
> v4のアドレス数増やしただけ版が欲しかった。
そうだよなー。v6は機器が勝手にやっちゃうことも多すぎるし、安易には使えない。
Re: (スコア:0)
>無期限延期中
あ、これv6が廃れることにオールインして逃げ続けるやつだ
俺は違うぞ、ちゃんとv6勉強するから…するから…
みんなはこうなっちゃだめだぞ…
何もわからない (スコア:0)
IPv6を独習するとしたら、何かおすすめの書籍などありますか?
有識者の方お願いいたします…。
Re:何もわからない (スコア:4, 興味深い)
とりあえず無料の「プロフェッショナルIPv6」から始めるのはどうでしょう?
https://forest.watch.impress.co.jp/library/software/proipv6/ [impress.co.jp]
Re: (スコア:0)
IPv6を独習するとしたら、何かおすすめの書籍などありますか?
習うより慣れろかなぁ
ググってわからなければ仕様が載っているもの読んでも複雑すぎて分からんと思うよ
ルーターはメーカごとどころか機種ごとに用語違ったりするから選んだ本が何向けを想定して例示するかでわかりやすさがだいぶ変わるし
v6環境作って自分で攻撃して防御方法を構築していくほうが身につくと思われ
一旦慣れれば別の用語使っているものも読み替えで理解できるようになるんじゃないかな
# 自鯖環境を複製して外から攻撃しどう守るかを構築していけば自然と身につくよ
現状はゲートウェイでブロックでいい (スコア:0)
現状、イントラネット内からIPv6でインターネット側と通信させる必要性を感じられない
どうしても業務上通信が必要なサーバやPCを除いて、IPv6なんて全部ブロックしておけばいいとおもう
MTUが違います(フレッツ光系) (スコア:2)
フレッツ光等で IPv6 IPoE なら MTU 1500 octet(byte)。イントラと共通にできます。
IPv4はPPPoEにしろ、IPv6経由のトンネリングにしろ、2〜3%小さい。
1フレームに載せられる情報量が違うということもありますが、それよりもMTUを調整する方法によってパフォーマンスが劣化することがあります。
もちろん通信相手が IPv6 に対応していないと意味がないですが、サイト数ではなくトラフィック量で考えると Google/YouTube, Facebook/instagram などが牽引して結構な量になりますよ。
国内から Google へのアクセスは IPv4/6 がほぼ半々という時代ですし。
https://www.google.com/intl/ja/ipv6/statistics.html#tab=per-country-ip... [google.com]
# インドでは7割がIPv6アクセスなのか…
Re:MTUが違います(フレッツ光系) (スコア:2)
あと IPv6 をブロックしているとフォールバックによるパフォーマンス劣化も珍しくありません。こいつもクライアントの台数が多ければ撲滅するのは至難です。
Re: (スコア:0)
そういやDLSiteがIPv6 やな。
Dアニメも動画データ配信はv6ぽい。
Re:MTUが違います(フレッツ光系) (スコア:2)
サーバを多数接続するときに IPv6 対応していれば IPv4 アドレスを節約することができる時代になっています。国内のクライアントの50%が v6 で通信可能であれば、その分 v6 のみでも良いわけです。
また、某○○系ネットワークでは余裕のある IPv6 アドレスを Google に払い出しています。IPv4 なら外部アクセスになるところ、IPv6 だと IXP 等を経由しないで Google と通信可能になっており、通信速度がかなり違いました。
Re: (スコア:0)
IPv6よりもジャンボフレームをインターネットで通せるように世界中の機器を更新できないものか。1500バイトなんて時台錯誤なフレームサイズが大幅にパフォーマンスを損なっているのは明らかだろうに
Re:MTUが違います(フレッツ光系) (スコア:2)
ある程度ネットワークが組み合わさっていれば、MTU を増やしても再送が増えるばかりでメリットはないと思います。
イントラネットだけでもジャンボフレームで統一というのはとても難しいと思います。LAN内にギガビット非対応機器をつなげなくなります。プリンタとか。まして無線が絡むと…
# 世界中の機器を更新できるなら IPv4 も廃止できますね
# NAT を廃止できれば新しいトランスポート層を設計することもできて、
# UDP で包まなければならないという制限も外れるか
Re: (スコア:0)
まあ、確かにスラドアクセスにはいらんしな。
Re: (スコア:0)
哀しいことにその通りなんだよな、IPv6を普及させたい人たちの思いとは裏腹に
Re: (スコア:0)
現状IPv6は必須ではなく、使わなくても困らない(IPv6使えなくて困るのはダンシングカメが見れないくらい)、
なので、IPv6運用ノウハウや、IPv6本格対応が進むまで、IPv4オンリーで困らない
デュアルスタックシステムでのネットワークアドレス変換使用回避 (スコア:0)
これを行うにはIPv6アドレス/64につきユニークなIPv4アドレスが1つ必要になるはずだが、それならもう「たとえば、IPv6を避ける」でいいのでは
Re: (スコア:0)
なにを勘違いしてるのか知らんが、IPv6はグローバルアドレスを割り当てられるもんなんだから、むやみにNAT66するなって書いてあるだけだ。
ストーリーの「デュアルスタックシステムでのネットワークアドレス変換使用回避」はたしかに意味わからんけど。
家内LAN (スコア:0)
IPv6ガン無視して 192.168.x.x で構成してるんだけど、IPv6意識して良いことあるの? 教えてエロい人。
Re:家内LAN (スコア:2, 参考になる)
IPv6はトラフィックが空いてるので副次的にNetflixとかAmazon Prime Videoが快適になる。
ネットゲームの遅延も場合によっては小さくなる。
全ノードにグローバルアドレスが振られるので、外からアクセスするためにNAT超えを考えなくてよくなる。
これは逸般的にとても便利。
Re: (スコア:0)
素人はLAN内IPv6ガン無視でIPv4だけ使っておけば良し。
慣れてきたらファイアウォール用にLinuxでも飼ってインバウンドは全dropするとともに、LAN側への転送は一切のIPv6パケット通さないようにして壁の外側でだけIPv6喋っとけば尚良し。
*nixは難しそうだと感じるならL3スイッチ買って、LAN内に一切のIPv6パケットが流れないよう設定しとけばそれでも良し。
さらにいうとIPv6は全てのデバイスにグローバルアドレスを、がモットーなんで、
バッファローのNDプロキシとかはジョーク機