y2blog » IPv6(IPoE)のセキュリティ対策

8

15

2017

IPv6(IPoE)のセキュリティ対策

IPv6(IPoE)インターネット接続のセキュリティ対策


我が家のインターネット接続環境をIPv6(IPoE)+DS-Lite方式に切り替えた事により、これまでとは打って変わったように高速化され、快適な環境を手に入れることができたことを紹介してきた.IPv6に関してはまだ一部の先進的なユーザが利用しているだけだが、セキュリティ面で少し気になる事があるので、今回は警鐘を鳴らすという意味でIPv6(IPoE)のセキュリティについて言及しておくことにする.


ネットワークの専門家であれば、IPv6(IPoE)の利用にあたり最低限どのようなセキュリティ対策(FWなどのフィルタリング設定)を施さなければならないのかは理解している筈なのでここで敢えて言及する必要は無いだろう.しかしながら、ネットワークに関する知識のない人が、ホームページで紹介されている設定例を鵜呑みにして、IPv6接続環境を構築するのは非常に危険だ.


今までのIPv4環境では殆どの場合ホームルータが使われており、NAPTなどのIPアドレス変換メカニズムによってインターネット側からは自宅側のネットワークが隠蔽され見えないようになっている.つまりユーザは自分では特別なセキュリティ対策を施さなくてもホームルータが自動的に外部からのネットワーク攻撃を防いでくれている.


しかしながら、IPv6(IPoE)ではこれまでのIPv4方式のNAPTのような便利な機能は使えないものと思っていて欲しい.単純にルータにIPv6(IPoE)の設定を入れただけでは、IPv4でのNAPTのようなファイアウォール的な機能は働かないのだ.これは何を意味するのかというと、IPv6(IPoE)環境では自宅のネットワーク環境が、外部のインターネット側から丸見え状態と言うことだ.


インターネットマルチフィード社の『DS-Lite 接続確認機種情』ページやインターリンク社の『サービス別設定マニュアル(ZOOT NATIVE)』などに記載されている、各種DS-Lite対応ルータの設定例を参考に設定すれば、内容をきちんと理解していなくてもIPv6(IPoE) DS-Lite方式でインターネット接続が可能だ.


問題は、これらの設定例が殆ど例外なく最低限必要なセキュリティ設定については何も記載されていないことだ.つまり、この設定例のままだと自宅のネットワークやコンピュータがいきなりインターネットに晒されてしまうことになる.これは非常にマズイ!!!… と言う訳で、きちんとセキュリティ対策を施した設定について紹介しておくことにする. 



先ずは実験君


先ずは、YAMAHA RTX1100 でインターリンク社のZOOT NATIVEサービスでのRTXの設定例をそのままぶち込んだ状態で、自宅のインターネット環境がどのような状況に置かれるのか検証して見る事にしよう.




この設定で問題無くIPv6接続ができている事を確認できたら、外部のIPv6接続環境から自宅のネットワーク環境がどのように見えているのか確認して見よう.


IPV6 Test Web
先ずはIPV6接続環境が整っていることを確認しておく

Mac OSX Network Settings
Mac上で割り当てられたIPV6アドレスを確認しておく
Local Test Environment
自マシン上のWEBサーバと自宅内の別なWEBサーバに対してIPv6で接続できる状態にしておく

この状態で、自分のPC(ここでは Mac OS X を使っている)上や別なマシン上でWEBサーバを立ち上げ、IPv6環境でWEB接続ができることを確認しておく.”OS X Maverics Apache: It Works!” と表示されているのが 自分のPC上で稼働しているWEBサイトで、”smokeping” のグラフ表示されているのが自宅内の別なLinuxマシン上で稼働している自宅内限定WEBサイトだ.


自宅内のネットワークやPCがIPV6接続できている状態で、外部(自宅外)からこれらのWEBサイトにIPV6で接続してみることにする.外部のIPV6接続環境は用意できなかったので、このWEBサイトをホスティングしているサーバにsshでログインして、そこからテキストベースのWEB接続を試みることにする.


先ずは、ping6 コマンドで自分のPCから ping(icmp)が返される事を確認する.


今度はHTTPでアクセスしてみることにする.HTTP接続は telnetコマンドで80番ポートを直接叩いてHTTPレスポンスを確認する.最初は自分のPC上のWEBサイトに接続してみる.



次に、自宅内の別なLinuxサーバ上で稼働しているWEBサイトにアクセスしてみる.




最後に、traceroute6 コマンドで “y2web.net” からどのような経路で自宅内のPCにアクセスできているのか確認しておく.



この結果から明らかなように、インターネット側から自宅のネットワークが丸見え状態で晒されていることが解るだろう.恐ろしい!!!



セキュリティ対策編


IPv6接続でのセキュリティ対策の方法は幾つかあるが、とりあえず一番手っ取り早いルータのフィルタ設定で外部からの侵入を防ぐ方法を紹介しておく.一番実績のあるYAMAHAのルータでの例を挙げておくが、基本的な考えはメーカや機種が異なっていても同じなので自分でマニュアル等を調べながら設定を行って欲しい.


YAMAHA RTX系のルータ設定例


YAMAHAのルータは一般家庭や素人ユーザが使うような範疇の製品では無いが、IPv6(IPoE) DS-Lite接続する様なコアな人達はそれなりの知識を持った人達なので、SOHOや小規模な拠点などで実績の有るYAMAHAのRTXルータを選んでいると想像できる.YAMAHAのRTXのホームページには多くの設定例が載っており、技術的な情報も豊富なので、RTXユーザはまずこのRTXのホームページの設定例を見て研究しておいて欲しい.

ざっと見た限りでは、IPv6(IPoE) による DS-Lite の設定例は掲載されていないようだが、『フレッツ光ネクスト インターネット(IPv6 IPoE)接続』に、IPv6(IPoE)でのフィルタリング設定も含めて基本的な設定方法が紹介されている.

この設定例は、残念ながらDS-Lite方式ではなく直接IPv6で接続するためのものだが、基本的なフィルタリング設定の方法を知るにはこの例が参考になるだろう.


後は、インターネットマルチフィード社やインターリンク社のRTXの設定例とYAMAHAのRTXのホームページの設定例を組み合わせれば、IPv6(IPoE) による DS-Lite の設定の基本部分が完成だ.



上記の例では、YAMAHAのRTXホームページのフィルタリング設定例をそのまま載せてあるが、勿論人によってその内容は異なるので、各自の方針に合わせて設定すれば良い.ネットワークの専門家でなければ細かな内容は解り難いが、基本は 外部からのicmp6, DHCPv6 client(UDP 546)は受け入れて、それ以外は拒否( filter #2000 )する設定になっている.YAMAHAの例では ident (port #113)を通す設定になっているが、現在ではあまり使われていないようなので、この設定を外してデフォルトで ident を拒否 [ Reject(TCP RST) ] するようにしておいた方が良いかもしれない.


“ident” に関しては、『RTシリーズのIPパケット・フィルタに関するFAQ』、『TCP/113 AUTH/IDENT に関して』などの解説記事を参考にすると良いだろう.


YAMAHAのRTXシリーズの発信接続の戻りパケットを受け入れるダイナミックフィルタ機能(所謂ステートフルファイアウォール機能)の振る舞いについてはあまり理解していないが、#105,#106の TCP/UDP だけでも問題無いように思えるがどうなのだろう?この辺の設定については各自できちんと調べて、必要に応じて設定して欲しい.


上記のフィルタリング設定を施した上で、同様な実験を行ってみる.



この結果から分かるように、icmpは通る(フィルタ設定 #1010 で許可)が、HTTPは接続拒否されており、きちんと意図した通りのフィルタリングが行われ、意図しない外部からの接続を防いでいることが理解できるだろう.



IPv6(IPoE)接続ではフィルタリング設定は必ず行うこと!!!


Local Search

Calendar

December 2017
S M T W T F S
« Oct    
 12
3456789
10111213141516
17181920212223
24252627282930
31  
  • Blogroll

  • Meta