Enviar búsqueda
Cargar
Internet Week 2018 知っておくべきIPv6とセキュリティの話
•
3 recomendaciones
•
2,813 vistas
Akira Nakagawa
Seguir
Enjoy Internet
Leer menos
Leer más
Internet
Denunciar
Compartir
Denunciar
Compartir
1 de 43
Descargar ahora
Descargar para leer sin conexión
Recomendados
IPv4/IPv6 移行・共存技術の動向
IPv4/IPv6 移行・共存技術の動向
Yuya Rin
IPv6 を始めてみた
IPv6 を始めてみた
miki koganei
AS45679 on FreeBSD
AS45679 on FreeBSD
Tomocha Potter
本当は楽しいインターネット
本当は楽しいインターネット
Yuya Rin
Geekなぺーじ ネットワーク技術者ではない方々向けIPv6セミナー2
Geekなぺーじ ネットワーク技術者ではない方々向けIPv6セミナー2
Kiyotaka Doumae
大規模DCのネットワークデザイン
大規模DCのネットワークデザイン
Masayuki Kobayashi
さくらのVPS で IPv4 over IPv6ルータの構築
さくらのVPS で IPv4 over IPv6ルータの構築
Tomocha Potter
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
Akira Nakagawa
Recomendados
IPv4/IPv6 移行・共存技術の動向
IPv4/IPv6 移行・共存技術の動向
Yuya Rin
IPv6 を始めてみた
IPv6 を始めてみた
miki koganei
AS45679 on FreeBSD
AS45679 on FreeBSD
Tomocha Potter
本当は楽しいインターネット
本当は楽しいインターネット
Yuya Rin
Geekなぺーじ ネットワーク技術者ではない方々向けIPv6セミナー2
Geekなぺーじ ネットワーク技術者ではない方々向けIPv6セミナー2
Kiyotaka Doumae
大規模DCのネットワークデザイン
大規模DCのネットワークデザイン
Masayuki Kobayashi
さくらのVPS で IPv4 over IPv6ルータの構築
さくらのVPS で IPv4 over IPv6ルータの構築
Tomocha Potter
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
Akira Nakagawa
インターネットの仕組みとISPの構造
インターネットの仕組みとISPの構造
Taiji Tsuchiya
545人のインフラを支えたNOCチーム!
545人のインフラを支えたNOCチーム!
Masayuki Kobayashi
ネットワークOS野郎 ~ インフラ野郎Night 20160414
ネットワークOS野郎 ~ インフラ野郎Night 20160414
Kentaro Ebisawa
IPv6マルチプレフィックスの話
IPv6マルチプレフィックスの話
YasunobuToyota
10GbE時代のネットワークI/O高速化
10GbE時代のネットワークI/O高速化
Takuya ASADA
100 G超通信時代の安定した高品質な伝送インフラ構築づくり
100 G超通信時代の安定した高品質な伝送インフラ構築づくり
Tomohiro Sakamoto(Onodera)
安定したネットワークを提供するためのラック内環境を考えてみる
安定したネットワークを提供するためのラック内環境を考えてみる
Tomohiro Sakamoto(Onodera)
あなたのところに専用線が届くまで
あなたのところに専用線が届くまで
Tomohiro Sakamoto(Onodera)
ネットワークスイッチ構築実践 2.STP・RSTP・PortSecurity・StormControl・SPAN・Stacking編
ネットワークスイッチ構築実践 2.STP・RSTP・PortSecurity・StormControl・SPAN・Stacking編
株式会社 NTTテクノクロス
自宅サーバラックの勧め BGP4編
自宅サーバラックの勧め BGP4編
h-otter
閉域網接続の技術入門
閉域網接続の技術入門
Masayuki Kobayashi
BGP Unnumbered で遊んでみた
BGP Unnumbered で遊んでみた
akira6592
ISPネットワーク運用で覗いてるもの
ISPネットワーク運用で覗いてるもの
Taiji Tsuchiya
SEILはIIJのココに使われている
SEILはIIJのココに使われている
IIJ
Wakamonog6 “ISPのネットワーク”って どんなネットワーク?
Wakamonog6 “ISPのネットワーク”って どんなネットワーク?
Satoshi Matsumoto
大規模サービスを支えるネットワークインフラの全貌
大規模サービスを支えるネットワークインフラの全貌
LINE Corporation
3GPP TS 38.300-100まとめ
3GPP TS 38.300-100まとめ
Tetsuya Hasegawa
CyberAgentのインフラについて メディア事業編 #catechchallenge
CyberAgentのインフラについて メディア事業編 #catechchallenge
whywaita
wakamonog6 インターネットの裏側の仕組み
wakamonog6 インターネットの裏側の仕組み
Taiji Tsuchiya
DNS移転失敗体験談
DNS移転失敗体験談
oheso tori
Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)
Tomoya Hibi
IPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でー
IPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でー
Shinsuke SUZUKI
Más contenido relacionado
La actualidad más candente
インターネットの仕組みとISPの構造
インターネットの仕組みとISPの構造
Taiji Tsuchiya
545人のインフラを支えたNOCチーム!
545人のインフラを支えたNOCチーム!
Masayuki Kobayashi
ネットワークOS野郎 ~ インフラ野郎Night 20160414
ネットワークOS野郎 ~ インフラ野郎Night 20160414
Kentaro Ebisawa
IPv6マルチプレフィックスの話
IPv6マルチプレフィックスの話
YasunobuToyota
10GbE時代のネットワークI/O高速化
10GbE時代のネットワークI/O高速化
Takuya ASADA
100 G超通信時代の安定した高品質な伝送インフラ構築づくり
100 G超通信時代の安定した高品質な伝送インフラ構築づくり
Tomohiro Sakamoto(Onodera)
安定したネットワークを提供するためのラック内環境を考えてみる
安定したネットワークを提供するためのラック内環境を考えてみる
Tomohiro Sakamoto(Onodera)
あなたのところに専用線が届くまで
あなたのところに専用線が届くまで
Tomohiro Sakamoto(Onodera)
ネットワークスイッチ構築実践 2.STP・RSTP・PortSecurity・StormControl・SPAN・Stacking編
ネットワークスイッチ構築実践 2.STP・RSTP・PortSecurity・StormControl・SPAN・Stacking編
株式会社 NTTテクノクロス
自宅サーバラックの勧め BGP4編
自宅サーバラックの勧め BGP4編
h-otter
閉域網接続の技術入門
閉域網接続の技術入門
Masayuki Kobayashi
BGP Unnumbered で遊んでみた
BGP Unnumbered で遊んでみた
akira6592
ISPネットワーク運用で覗いてるもの
ISPネットワーク運用で覗いてるもの
Taiji Tsuchiya
SEILはIIJのココに使われている
SEILはIIJのココに使われている
IIJ
Wakamonog6 “ISPのネットワーク”って どんなネットワーク?
Wakamonog6 “ISPのネットワーク”って どんなネットワーク?
Satoshi Matsumoto
大規模サービスを支えるネットワークインフラの全貌
大規模サービスを支えるネットワークインフラの全貌
LINE Corporation
3GPP TS 38.300-100まとめ
3GPP TS 38.300-100まとめ
Tetsuya Hasegawa
CyberAgentのインフラについて メディア事業編 #catechchallenge
CyberAgentのインフラについて メディア事業編 #catechchallenge
whywaita
wakamonog6 インターネットの裏側の仕組み
wakamonog6 インターネットの裏側の仕組み
Taiji Tsuchiya
DNS移転失敗体験談
DNS移転失敗体験談
oheso tori
La actualidad más candente
(20)
インターネットの仕組みとISPの構造
インターネットの仕組みとISPの構造
545人のインフラを支えたNOCチーム!
545人のインフラを支えたNOCチーム!
ネットワークOS野郎 ~ インフラ野郎Night 20160414
ネットワークOS野郎 ~ インフラ野郎Night 20160414
IPv6マルチプレフィックスの話
IPv6マルチプレフィックスの話
10GbE時代のネットワークI/O高速化
10GbE時代のネットワークI/O高速化
100 G超通信時代の安定した高品質な伝送インフラ構築づくり
100 G超通信時代の安定した高品質な伝送インフラ構築づくり
安定したネットワークを提供するためのラック内環境を考えてみる
安定したネットワークを提供するためのラック内環境を考えてみる
あなたのところに専用線が届くまで
あなたのところに専用線が届くまで
ネットワークスイッチ構築実践 2.STP・RSTP・PortSecurity・StormControl・SPAN・Stacking編
ネットワークスイッチ構築実践 2.STP・RSTP・PortSecurity・StormControl・SPAN・Stacking編
自宅サーバラックの勧め BGP4編
自宅サーバラックの勧め BGP4編
閉域網接続の技術入門
閉域網接続の技術入門
BGP Unnumbered で遊んでみた
BGP Unnumbered で遊んでみた
ISPネットワーク運用で覗いてるもの
ISPネットワーク運用で覗いてるもの
SEILはIIJのココに使われている
SEILはIIJのココに使われている
Wakamonog6 “ISPのネットワーク”って どんなネットワーク?
Wakamonog6 “ISPのネットワーク”って どんなネットワーク?
大規模サービスを支えるネットワークインフラの全貌
大規模サービスを支えるネットワークインフラの全貌
3GPP TS 38.300-100まとめ
3GPP TS 38.300-100まとめ
CyberAgentのインフラについて メディア事業編 #catechchallenge
CyberAgentのインフラについて メディア事業編 #catechchallenge
wakamonog6 インターネットの裏側の仕組み
wakamonog6 インターネットの裏側の仕組み
DNS移転失敗体験談
DNS移転失敗体験談
Similar a Internet Week 2018 知っておくべきIPv6とセキュリティの話
Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)
Tomoya Hibi
IPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でー
IPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でー
Shinsuke SUZUKI
20150228 OSC2015 Tokyo/Spring サンプルコードで理解するアプリケーションのIPv6対応
20150228 OSC2015 Tokyo/Spring サンプルコードで理解するアプリケーションのIPv6対応
v6app
IPv6 Update
IPv6 Update
Shinsuke SUZUKI
2011/08/27 第3回 静岡 IT Pro勉強会 インフラ部 LT
2011/08/27 第3回 静岡 IT Pro勉強会 インフラ部 LT
Tatsuya Ueda
進化するIX
進化するIX
Yoshiki Ishida
NW-DIY で開拓したい社会
NW-DIY で開拓したい社会
啓章 加嶋
Seeedの紹介
Seeedの紹介
Seeed K.K.
結局IPv6ってどうなん?(序)
結局IPv6ってどうなん?(序)
nemumu
Openstack neutron vtjseminar_20160302
Openstack neutron vtjseminar_20160302
Takehiro Kudou
Kernel vm-2014-05-25
Kernel vm-2014-05-25
Hirochika Asai
I Pv6 Service Deployment Guideline
I Pv6 Service Deployment Guideline
guestfcd0535
IPv6標準化の最新動向
IPv6標準化の最新動向
Shinsuke SUZUKI
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
Yahoo!デベロッパーネットワーク
知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月
知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月
VirtualTech Japan Inc.
IPv6 application_and_v4kokatsu-tf
IPv6 application_and_v4kokatsu-tf
Ruri Hiromi
20120516 v6opsf-ngn final
20120516 v6opsf-ngn final
Ruri Hiromi
20141023 IPv6 Summit in FUKUOKA 2014 IPv6対応Webサービスの作り方
20141023 IPv6 Summit in FUKUOKA 2014 IPv6対応Webサービスの作り方
v6app
ニフティクラウドアップデート in クラウドごった煮@青森
ニフティクラウドアップデート in クラウドごった煮@青森
亮介 山口
仮想ルータを使ったスイッチレス・サーバクラスタリングのデザインパターン
仮想ルータを使ったスイッチレス・サーバクラスタリングのデザインパターン
Naoto MATSUMOTO
Similar a Internet Week 2018 知っておくべきIPv6とセキュリティの話
(20)
Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)
IPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でー
IPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でー
20150228 OSC2015 Tokyo/Spring サンプルコードで理解するアプリケーションのIPv6対応
20150228 OSC2015 Tokyo/Spring サンプルコードで理解するアプリケーションのIPv6対応
IPv6 Update
IPv6 Update
2011/08/27 第3回 静岡 IT Pro勉強会 インフラ部 LT
2011/08/27 第3回 静岡 IT Pro勉強会 インフラ部 LT
進化するIX
進化するIX
NW-DIY で開拓したい社会
NW-DIY で開拓したい社会
Seeedの紹介
Seeedの紹介
結局IPv6ってどうなん?(序)
結局IPv6ってどうなん?(序)
Openstack neutron vtjseminar_20160302
Openstack neutron vtjseminar_20160302
Kernel vm-2014-05-25
Kernel vm-2014-05-25
I Pv6 Service Deployment Guideline
I Pv6 Service Deployment Guideline
IPv6標準化の最新動向
IPv6標準化の最新動向
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月
知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月
IPv6 application_and_v4kokatsu-tf
IPv6 application_and_v4kokatsu-tf
20120516 v6opsf-ngn final
20120516 v6opsf-ngn final
20141023 IPv6 Summit in FUKUOKA 2014 IPv6対応Webサービスの作り方
20141023 IPv6 Summit in FUKUOKA 2014 IPv6対応Webサービスの作り方
ニフティクラウドアップデート in クラウドごった煮@青森
ニフティクラウドアップデート in クラウドごった煮@青森
仮想ルータを使ったスイッチレス・サーバクラスタリングのデザインパターン
仮想ルータを使ったスイッチレス・サーバクラスタリングのデザインパターン
Más de Akira Nakagawa
IPv6 Deployment and Activities in Japan, 2023
IPv6 Deployment and Activities in Japan, 2023
Akira Nakagawa
IP Address / AS Community in Japan 2023
IP Address / AS Community in Japan 2023
Akira Nakagawa
WHOIS教室 Ver4.0
WHOIS教室 Ver4.0
Akira Nakagawa
20221202-WHOIS教室 Ver3.0.pdf
20221202-WHOIS教室 Ver3.0.pdf
Akira Nakagawa
20220722 デジタル庁勉強会.pdf
20220722 デジタル庁勉強会.pdf
Akira Nakagawa
20211213 インターネットの番号資源教室 akira
20211213 インターネットの番号資源教室 akira
Akira Nakagawa
ISPの向こう側、どうなってますか
ISPの向こう側、どうなってますか
Akira Nakagawa
IP Address / AS Community in Japan
IP Address / AS Community in Japan
Akira Nakagawa
20200314-jaws_days_2020-online
20200314-jaws_days_2020-online
Akira Nakagawa
20190705 QUNOG14-kumamoto
20190705 QUNOG14-kumamoto
Akira Nakagawa
WHOIS教室 〜 JPOPM36 20190621
WHOIS教室 〜 JPOPM36 20190621
Akira Nakagawa
ここが変だよ日本のインターネット ~こんな良いところもあるよ~
ここが変だよ日本のインターネット ~こんな良いところもあるよ~
Akira Nakagawa
20190208 qunog13-fukuoka
20190208 qunog13-fukuoka
Akira Nakagawa
20181130 iw2018-ipv6-summary-asakusabashi
20181130 iw2018-ipv6-summary-asakusabashi
Akira Nakagawa
20181019 enog53-whois-jyoetsu
20181019 enog53-whois-jyoetsu
Akira Nakagawa
20181019 enog53-janog42 feedback-jyoetsu
20181019 enog53-janog42 feedback-jyoetsu
Akira Nakagawa
20180919 vdi-okinawa
20180919 vdi-okinawa
Akira Nakagawa
20180720 enog51-kashiwazaki
20180720 enog51-kashiwazaki
Akira Nakagawa
20180312 IPv6 summit-sapporo
20180312 IPv6 summit-sapporo
Akira Nakagawa
20180309 jaipa-shimonoseki
20180309 jaipa-shimonoseki
Akira Nakagawa
Más de Akira Nakagawa
(20)
IPv6 Deployment and Activities in Japan, 2023
IPv6 Deployment and Activities in Japan, 2023
IP Address / AS Community in Japan 2023
IP Address / AS Community in Japan 2023
WHOIS教室 Ver4.0
WHOIS教室 Ver4.0
20221202-WHOIS教室 Ver3.0.pdf
20221202-WHOIS教室 Ver3.0.pdf
20220722 デジタル庁勉強会.pdf
20220722 デジタル庁勉強会.pdf
20211213 インターネットの番号資源教室 akira
20211213 インターネットの番号資源教室 akira
ISPの向こう側、どうなってますか
ISPの向こう側、どうなってますか
IP Address / AS Community in Japan
IP Address / AS Community in Japan
20200314-jaws_days_2020-online
20200314-jaws_days_2020-online
20190705 QUNOG14-kumamoto
20190705 QUNOG14-kumamoto
WHOIS教室 〜 JPOPM36 20190621
WHOIS教室 〜 JPOPM36 20190621
ここが変だよ日本のインターネット ~こんな良いところもあるよ~
ここが変だよ日本のインターネット ~こんな良いところもあるよ~
20190208 qunog13-fukuoka
20190208 qunog13-fukuoka
20181130 iw2018-ipv6-summary-asakusabashi
20181130 iw2018-ipv6-summary-asakusabashi
20181019 enog53-whois-jyoetsu
20181019 enog53-whois-jyoetsu
20181019 enog53-janog42 feedback-jyoetsu
20181019 enog53-janog42 feedback-jyoetsu
20180919 vdi-okinawa
20180919 vdi-okinawa
20180720 enog51-kashiwazaki
20180720 enog51-kashiwazaki
20180312 IPv6 summit-sapporo
20180312 IPv6 summit-sapporo
20180309 jaipa-shimonoseki
20180309 jaipa-shimonoseki
Internet Week 2018 知っておくべきIPv6とセキュリティの話
1.
1 日本インターネットエクスチェンジ㈱ Akira Nakagawa Internet Week
2018 Internet Week流 Security Bootcamp D1-1 常識変化に向き合おう 知っておくべきIPv6とセキュリティの話 日本ネットワークイネイブラー株式会社 (JPNE) 中川あきら 日本インターネットエクスチェンジ株式会社 (JPIX) 中川あきら 2018.11.27 日本インターネットエクスチェンジ㈱ 中川あきら
2.
2 目次 • ウォーミングアップ • IPv6セキュリティーのモチベーション •
LAN編 • Home Router のフィルター編 • プライバシー編 • ICMPv6編 • IPv4アドレス共有の影響編
3.
3 (ウォーミングアップ) 「IPv6はNATが無いから危険」ですか ??? Private IPv4 NAT Global Global IPv6 Global ✕ 危険 ? Home Router So-Ho Router
4.
4 (ウォーミングアップ) 「IPv6はNATが無いから危険」ではありません ! IPv6 には
IPv4 と同等のフィルターがあります。(*1) IPv6 にアドレス変換機能が無いだけです。 Private IPv4 フィルタ Global Home Router Global IPv6 Global フィルタ ✕ ✕ いわゆる “NAT” アドレス変換 (*1) ホームルーターの機器実装による IPv6にも 同じ フィルター が有る。
5.
5 (ウォーミングアップ) フィルタ機能の考え方(IPv4・IPv6共通) So-Ho Router Home Router ①内部から の通信 IP
: A Port: 100 IP : B Port: 200 ②テーブルに セッションを記憶 フィルタ ④テーブルに載って いないので通信不可。 ✕ ③テーブルを参照する。 往路の足跡がテーブル に記憶されているため、 フィルタを通過。 IPA/Port100 IPB/Port200 ・・・・ ・・・・
6.
6 (ウォーミングアップ) 「IPv6もIPv4もフィルタがあるから安全」ですか ??? IPv6 も
IPv4 も同じく安全とは言い切れません。 例えば・・・ So-Ho Router Home Router ① ここでパケットを キャプチャ ② 反対方向のパケット を生成 ③ LAN内に入れるカ モ !?
7.
7 目次 • ウォーミングアップ • IPv6セキュリティーのモチベーション •
LAN編 • Home Router のフィルター編 • プライバシー編 • ICMPv6編 • IPv4アドレス共有の影響編
8.
8 USの主要プレーヤーのIPv6対応状況 ATT 65% 大手 NW事業者 (固定・移動) 大手 コンテンツ 事業者 Comcast 65% Verizon Wireless 84% T-Mobile 93% Wikipedia NetflixLinked-in Yahoo.com Instagram Microsoft Azure 大手 端末メーカー / OS Microsoft Win MAC iPhone iPad Android 各プレーヤーが、すさまじいスピードでIPv6対応中。 →
世界進出しているため各国でもこの傾向 ! Apple Google Amazon AWS Facebook 固定 モバイル CNN / NBCDropbox ※普及率は IPv6 launch より
9.
9 国内で進むIPv6・NGNにおけるIPv6対応状況 IPv6 普及率 IPv6 高度推進・普及委員会 http://v6pc.jp/jp/spread/ipv6spread_03.phtml IPv6 契約数
(百万) IPv6 User (Million Accounts) 55% ! 11百万契約 ! 平均世帯人数を2.5人とすると、 25百万人 !
10.
10 国内で進むIPv6・モバイル3社 Source : 総務省 http://www.soumu.go.jp/main_content/000517037.pdf 本格対応開始
!!
11.
11 IPv6に関するセキュリティ報告申告件数 https://www.nic.ad.jp/ja/materials/iw/2017/proceedings/s03/s3-fujisaki.pdf
12.
12 目次 • ウォーミングアップ • IPv6セキュリティーのモチベーション •
LAN編 • Home Router のフィルター編 • プライバシー編 • ICMPv6編 • IPv4アドレス共有の影響編
13.
13 (LAN編) IPv4とIPv6のアドレス払い出しの考え方 家庭用 ルータ ISP (IPv4) 家庭用ルータのWAN側 (ISPに隣接するインタフェース) アドレスを1つ 家庭用 ルータ ISP プライベート アドレス [NAT] ISPが払い出すアドレスの場所が異なる。 (IPv6) 家庭用ルータのLAN側 (ISPから見ると1ホップ先) プレフィックス(アドレス群) 4G プレフィックス (/64×n個) [NAT] プレフィックス /48~/64 6G 6G Global
Address4P4P
14.
14 (LAN編) IPv6アドレス自動設定のためのプロトコル 家庭用 ルータ DHCPv6-PD (/48・/56等) (PD :
Prefix Delegation) ISP 端末に各種の情報を自動設定する。 複数のプロトコルが併用されている。以下は典型的な例 SLAAC方式(*1) ・RA (/64のPrefix・Default) ・DHCPv6 (DNSのIP 等) を併用して自動設定IPv6 Address Default Route DNS Proxy等の IPv6 Address (*1) SLAAC : Stateless Address Auto Configuration (例) 2001:0db8:1234::/48 (例) 2001:0db8:1234:5678::/64
15.
15 (LAN編) 宅内アドレス等の設定動作例 (SLAACの例) RAでの払い出し ・IPv6プレフィックス (/64) ・デフォルトルート ISP RA
: プレフィックス(IPアドレス)・デフォルトルート DHCPv6 : DNS ProxyのIPアドレス等 を設定 家庭用ルータ DHCPv6-PD (/56・/48 etc.) DHCPv6での払い出し ・DNS ProxyサーバのIPアドレス ・NTPサーバの 〃 ・etc. 端末は両プロトコルで パラメーターをかき集める。 IPv6 ルータ 機能 DNS Proxy サーバ機能 ・・・ DHCPv6 サーバ機能
16.
16 (LAN編) RA と DHCPv6
で払い出せる情報 デフォルト経路 プレフィックス DNSサーバの アドレス ○ × ○ (端末がアドレスを自動生成) × △(*1) (RFC5006 後追いで標準化) ○ RAの機能 DHCPv6の機能 家庭用 ルータ ISP 多くの端末は RAとDHCPv6を併用してIP Address等の情報 を自動設定している。 アドレス × ○ 各種サーバのアドレス (RDNSS, etc.) △(*1) (RFC6106・8106 後追いで標準化 (*1)) ○ 特記事項 市場に出回っている 製品の全てが(*1)に 対応しているわけで はないため△。 デフォルト経路を払 い出せないため、RA との併用が前提 RA DHCPv6
17.
17 (LAN編) IP Address等自動設定のシーケンスイメージ (SLAACの例) DHCPv6 NDP Neighbor Discovery Protocol NA
: Neighbor Advertisement IP(LLA(*1)) と MAC は、これ。 RS : Router Solicitation だれかルーターの人いる ? DNSサーバのIPアドレスは、これ。 RA : Router Advertisement 私ルーター。IP(GUA(*2))とDefault GWはRAか ら、DNSのアドレスはDHCPv6から入手せよ。 Prefix と Default GWはこれを使って。 NS : Neighbor Solicitation IP(LLA(*1)) と MAC は ? 主信号の通信 Request DNSのアドレスは ? 家庭用 ルータ 注 (*1) Link Local Address (*2) Global Unicast Address
18.
18 (LAN編) 不正RA (Router Advertisement) ・・・ GW-Router 正しい
RA 「私ルーター」 不正な Router 不正なRAで 「私ルーター」 Prefix(≒IP Add)や Default GW を通知 正常な通信 誘導された通信 • 不正なRAにより、正常な通信ができなくなる。
19.
19 (LAN編) 不正RAの対策例 ・・・ GW-Router • RA-Guard (RFC6105)を実装しているルーターであれば 不正なRAをブロック! •
RA-Guard の実装手法が整理されている。(RFC7113) Switch (RA-Guard) 不正なRA ✕ 正しい RA 不正な Router
20.
20 (LAN編) 同様に 不正DHCPv6 の対策例 •
DHCPv6 においても同様の不正が考えられる。 • DHCPv6-Shield (RFC7610)を実装しているルーターで あれば不正なDHCPv6をブロック! ・・・ GW-Router Switch (DHCPv6 -Shield) 不正なDHCPv6 ✕ 正しい DHCPv6 不正な Router
21.
21 特記事項 (重要) • 前述の「不正RA」や「不正DHCPv6」等は、 IPv6
のイシューである。 • NW管理者が NW を IPv4-only としていても、 最近の機器はデフォルトでIPv6が動いている。 IPv6 未対応の NW においても、 IPv6の問題が起きる可能性があることにご留意を !! ※ IPv4ネットワークにおける IPv6セキュリティーについては、RFC7123 を参照。
22.
22 目次 • ウォーミングアップ • IPv6セキュリティーのモチベーション •
LAN編 • Home Router のフィルター編 • プライバシー編 • ICMPv6編 • IPv4アドレス共有の影響編
23.
23 (Home Router のフィルター編) 様々なIPv6アドレス自動設定 家庭用 ルータ ISP 6G
6G Bridge ISP ③局からDHCPv6 一部のケーブル事業者 6G 6G DHCPv6-PD Prefix(*1)☓n個 RA で Prefix(*1) DHCPv6 Address✕n個 (筆者がどれを推奨するかは別として) 国内では、少なくとも3つの方式が使われている。 (*1) IPv6 Address が2の64乗個 6G Bridge ISP ②局からRA NGN光電話なし 6G 6G 6G 6G RA Prefix(*1)☓1個 ①家庭にルータを設置 世界で大多数
24.
24 (Home Router のフィルター編) Home
Router のフィルター Bridge ISP 局からDHCPv6 6G 6G DHCPv6 Bridge(L2)として動く Home Router にフィルター (L3)が実装されないことが有りがち。ご注意を。 6G Bridge ISP 局からRA 6G 6G 6G RA Bridge Bridge インターネットから LANにアクセスできて しまう。 筆者の知る限り、少な くとも以下のメーカー の IPv4 over IPv6 (MAP-E/DS-Lite)対応 機器は、フィルター対 応済み ・IO-DATA ・Buffalo ・NEC
25.
25 目次 • ウォーミングアップ • IPv6セキュリティーのモチベーション •
LAN編 • Home Router のフィルター編 • プライバシー編 • ICMPv6編 • IPv4アドレス共有の影響編
26.
26 (プライバシー編) 典型的なIPv6アドレス生成 (EUI-64方式) IPv6アドレスの下位64bitが分かれば、 端末(≒端末保有者)を特定できる。 2001:0db8:1234:5678:0211:11ff:fe22:2222 IP Address
= 128 bit Prefix = 64 bit Interface ID = 64 bit 各端末は、ISPから払い出された Prefix と自インタ フェースのMACアドレスを組み合わせて、自らIPアドレ スを自動生成する。 MACアドレスを2つに割って 真ん中に ff:fe を機械的に挿入
27.
27 (プライバシー編) EUI-64の問題点 Internet Server Interface ID: 下位64bit固定 持ち歩き 持ち歩き 自宅
勤務先 内緒の場所 端末保有者はサーバ事業者に訪問先を特定されてしまう。 Interface ID: 下位64bit固定 Interface ID: 下位64bit固定
28.
28 (プライバシー編) Privacy Extensions for
SLAAC Privacy Extensions あるタイミングで下位64bitが変わる。 複数RFC化されている。 サーバ管理者は端末の特定が不可 ※ 自宅や会社等を特定するためのPrefix(上位64bit)は変わらない ため、法執行機関には影響が及ばない。 サーバ事業者に端末保有者の訪問先を特定されないために・・・
29.
29 (プライバシー編) IPv6アドレスプライバシー確保の手段 • RFC3041 (廃止されてRFC4941へ) –
Privacy Extensions for Address Configuration in IPv6 • RFC4941 – Privacy Extensions for Stateless Address Autoconfiguration in IPv6 • RFC7217 – A Method for Generating Semantically Opaque Interface Identifiers with IPv6 Stateless Address Autoconfiguration (SLAAC) IPv6アドレス下位 64bit をランダムに生成する手段として いくつかのRFCが出ている。
30.
30 目次 • ウォーミングアップ • IPv6セキュリティーのモチベーション •
LAN編 • Home Router のフィルター編 • プライバシー編 • ICMPv6編 • IPv4アドレス共有の影響編
31.
31 (ICMPv6編) 技術的背景 インターネットの通信において、長いパケットが通らない 場所が存在することがある。 トンネル区間の例 Router Router Router
Server Tunnel 流せる最大データ長 1,500Bytes 1,500Bytes 1,500Bytes未満 トンネルのヘッダが入る ため、流せる最大長は 短くなる。 ここで言うトンネルとは、 PPPoE ・ IPv4 over IPv6 ・ IPv6 over IPv4 など。 流せる最大データ長 = MTU (Maximum Transmission Unit) Ethernet Ethernet Ethernet Ethernet 1,500Bytes
32.
32 (ICMPv6編) 長いパケットを通す手段、IPv4 vs IPv6 IPv4では、中継ルーターがパケットを分割(フラグメンテーション)し ていた。 IPv6では、送信端末が分割して送る。 Router
Router Router Server Tunnel Long Long + + 分割 IPv4 Router Router Router Server Tunnel + + 分割 IPv6 + + なぜ、送信端末は流せるパケットの最大長を知っている ?
33.
33 (ICMPv6編) 送信端末が流せるパケットの最大長を知っている理由 ICMPv6 を使って流せる長さが送信端末に通知される。 この調査の仕組みを Path
MTU Discovery という。 Router Router Router Server Tunnel Ethernet EthernetEthernetEthernet パケット長 1,500の通信 ICMPv6 最大長は 1,280です パケット長 1,280のICMPv6 以下、繰り返し 最大長が制限される区間があると、送信端末にICMPv6で最大長が通知される。 ※ 数字は例
34.
34 (ICMPv6編) Path MTU とセキュリティーの関係は
? この ICMPv6 をフィルターアウトしてしまうと、ロングパ ケットが通らなくなる。→ 通信不可。 自組織に ICMPv6 をフィルターするべき、というセキュリ ティーの方針があったとしても、 全ての ICMPv6 をフィルターアウトするべきではない。
35.
35 目次 • ウォーミングアップ • IPv6セキュリティーのモチベーション •
LAN編 • Home Router のフィルター編 • プライバシー編 • ICMPv6編 • IPv4アドレス共有の影響編
36.
36 (IPv4アドレス共有の影響) アドレス共有が進む IPv4 Global Global ISP Global NAT Private Global NAT Private Carrier
Grade NAT Shared(*3) GlobalInternet Global Global (1) ~1990年代 共有無し (2) 1990年代~ 宅内で共有 (3) 最近~ ISPでも共有(*2) ・1つの IPv4 グローバルアドレスを複数で利用 ・NAT(*1)等アドレス共有装置配下の各端末は IPアドレス+ポート番号 で識別される。 (*1)正確にはNAPT。広義の「NAT」と言われることが多い。(*2) 方式は複数存在する。図は代表例 (*3)広義の「Private Address」と言われることが多いが、CGN用に「Shared Address空間」(RFC6598)が存在する。
37.
37 (IPv4アドレス共有の影響) IPv4アドレス共有の導入状況 世界規模で「アドレス共有」が始まっている。 アドレス共 有装置 アドレス共 有装置 アドレス共 有装置 アドレス共 有装置 サーバー
38.
38 (IPv4アドレス共有の影響) IPv4アドレス共有の影響 IPv4 Global アドレス 共有装置 IPv4 Private ISP等 Server 送信者のアドレスが同じため、送信者の特定が難しくなる。 影響例 •
掲示板 - 不正に書き込んだ人の 特定が難 • DoS攻撃 - 攻撃者の特定が難 • 犯罪捜査 - 犯人の特定が難
39.
39 (IPv4アドレス共有の影響) IPv4の現状:アドレス共有に関連する問題提起 https://www.europol.europa.eu/newsroom/news/are-you-sharing-same-ip-address-criminal-law-enforcement-call-for- end-of-carrier-grade-nat-cgn-to-increase-accountability-online Europol : 欧州刑事警察機構 Europolより、 CGN配下の「犯人を特定できない」といった問題提起が 出ている
!!
40.
40 (IPv4アドレス共有の影響) ベルギーの事例 : IPv4
1個当たりの最大共有数 Source: https://ripe74.ripe.net/presentations/125-CGN-presentation-Greg-Mounier-EC3-RIPE-74-Budapest.pdf May.2017 警察を含む各組織で、最大16加入者としている。 IAP: Internet Access Provider
41.
41 (IPv4アドレス共有の影響) 送信者を特定するためには ? 受信側サーバーでIPv4アクセスのログ取得が必要。 (RFC6302 Logging
Recommendations for Internet-Facing Serversより) • ログ取得の理由 – 犯罪捜査等のためにアドレス共有装置の裏にいる人を特定するため。 – アドレス共有装置とは、NAT444、MAP、DS-Lite 等を指す。 • 取得項目 – ソースポート番号 – タイムスタンプ – プロトコル • ログ取得の際に守るべきこと – これらのログは確実に守られていること。 – プライバシーが守られていること。 – 定期的にログ保持に関する規則に基づき削除されること。 NWのデザインによっては、受信側 サーバーのみならず、Firewall、 Load Balancer等での取得が必要 となる場合がある。
42.
42 最後に 昨今の Internet には、思った以上にIPv6 が導入されてます。 本日はIPv6に関するセキュリティーの一部 をご紹介しました。 本セッションを機に、ご自身のネットワー クを再点検してみてはいかがでしょうか。
43.
43
Descargar ahora