psletの備忘録

twitterでは書き切れないことなどを不定期に記入します

IPv6接続時のセキュリティについて

先日設定した「IPv6 IPoE接続」及び「IPv4 over IPv6」ですが、
Twitterのフォロワーより、「IPv6の接続時はセキュリティ面で問題があるのでは?」という話を聞きました。

私もIPv6を少しかじった時、「グローバルアドレスになるよ」、
ということは知っていましたが、一般向けのルーターでもIPoE対応品が出てきて本格的にIPv6時代となった今、
どういう状況なのか恥ずかしながらわかっていませんでした。

本エントリでは散らばっていた知識をまとめる目的で記載します。
恥ずかしながら完全に理解はしていないので、間違い等あればTwitterなどでご指摘いただければ幸いです。

結論

  • 電気屋さんで売っているような一般向けルーターを使用している場合、「IPoE対応品」を謳うルーターは最低限のセキュリティは担保されている。
  • 逸般の誤家庭のような業務用ルーターを使用している場合、セキュリティの設定が必要。

IPv6接続時の問題

  • NATが前提となるIPv4と違って、ローカルネットワークの機器にもグローバルアドレスが割り当てられる。
  • グローバルアドレスが割り当てられるということは、全世界で唯一のアドレス。
    • インターネット上から第三者によってアクセスできてしまう危険性がある。
    • IPv6アドレスの総数は約340澗なので、でたらめに打って当たるのは、1/340澗の確率。
    • とはいえ、約340澗もの想定されるIPv6のアドレスにsshを繰り返すプログラムでやられた場合、いつかは入られる可能性がある。
  • 確率的にはあり得ないような数字とはいえ、パーソナルファイアウォールでガードできるPCはともかくローカルネットワークを想定とした機器を使うのは恐い。

一般向けルーターの場合

  • 以下の設定がデフォルトで有効化されていれば、問題なしと思われる。
    • *1 IPv6パススルー(IPv6ブリッジ)が無効化されている。
    • *2 NDプロキシ機能が有効化されている。
  • 最近のIPoE対応ルーターであれば、クリアしている。
    • Aterm WG1200HP3の例
      • *3 transixモードの場合はNDプロキシ固定。   - 詳細は省きますがバッファローやIOデータのものでも対応済みとのこと。
  • IPoE対応を謳っていないルーターは避けた方が良い。

1:LAN内のIPv6通信をそのままインターネット側に流す機能のこと。これをオンにしないと出来ないサービスもあるらしい。
2:IPv6の通信をルーターを介して通信する機能。
*3 :http://www.aterm.jp/function/wg1200hp3/guide/nd_proxy.html

業務用ルーターの場合

  • 機器にもよるが、機能としてはあるけど設定はわからないという状態なので設定する必要あり。
  • 業務用ルーターをお家に持ってるということは勉強目的かドヤァ用と思われるので、各自お持ちの機器でやってください。僕もCisco 1812Jでやる予定。