fascinated with tofu

豆腐に魅せられて

DS-Lite 設定における IPv6 セキュリティ

DS-Lite では家のネットワークに2つのレイヤが存在する。ひとつめは IPv4 のレイヤで家のブロードバンドルータは Layer3 デバイスとして機能する。ふたつめは IPv6 のレイヤで、ブロードバンドルータは Layer2 デバイスとなる。

f:id:rrringress:20210214211134p:plain
https://www.mfeed.ad.jp/transix/staticip/

IPv4 のレイヤではセキュリティの観点でルータ側で追加で実施すべきことは特になさそうだが、IPv6 では家庭内の IPv6 アドレスはいわゆる グローバルアドレス であり、IPv6 インターネットの方からも丸見えな状態だ。もし会社などに VPN 接続ができる環境をお持ちの方や、携帯電話のテザリングができる人はその状態から家庭の端末の IPv6 アドレスに対して ping, ping6 を実行してみてほしい。実行できない人はこちらのサイトがわかりやすい。

VNE 提供の設定例だとセキュリティやアクセス制御関連の設定まではカバーされていないケースが多いが、Yamaha RTX および SEIL では IPv6 利用時のセキュリティ設定についての言及があった。セキュリティ設定においてはコントロールプレーンでのアクセス制御と、データプレーンでのアクセス制御それぞれ考える必要があるが、上記の設定例はいずれもデータプレーン、つまりルータ配下の IPv6 端末を保護するためのアクセス制御設定が書かれている。コントロールプレーン保護については例えばルータの管理インターフェイスの保護などをさすが、例えばルータの telnet, ssh, http, snmp, dns などが見えていないかといった観点でチェックをすれば良さそう。nmap が使えるなら nmap -6 などもよさそう。設定場所は line vty の ACL など。

データプレーンでの Cisco ルータでの設定例は正直よい参考例がなかった。ポイントとしては Neighbor Discovery(ND : 近隣探索; IPv4 における ARP 解決のような MAC アドレスのマッピング)で必要な icmpv6 プロトコルの許可と、ZBFW の設定を組み合わせた設定を入れるのがよさそう。

参照

y2blog » IPv6(IPoE)のセキュリティ対策

フレッツ光ネクスト インターネット(IPv6 IPoE)接続

IPsecを使用したVPN拠点間接続(IPv6 IPoE) : コマンド設定

IPv6のセキュリティを強化する

IPv6 Implementation Guide, Cisco IOS Release 15.2M&T - Implementing Traffic Filters and Firewalls for IPv6 Security [Cisco IOS 15.2M&T] - Cisco

徹底解説 v6プラス | 日本ネットワークイネイブラー株式会社