SlideShare a Scribd company logo
IPv6によってセキュリティは
どう変化するか?
ーLAN上の挙動の観点でー
鈴木伸介
アラクサラネットワークス(株)
Jun 10 2009 | Session ID: RC-08
2
Agenda
IPv6固有なセキュリティ的課題
おわりに
IPv4・IPv6で共通なセキュリティ的課題
はじめに
はじめに
4
本発表の分析対象
• 端末収容LAN/セグメント内のセキュリティ分析
– その他観点のセキュリティ分析は別発表にてカバー
• LAN/サブネットに閉じないセキュリティ分析
• サーバやルータに特化したセキュリティ分析
• アプリケーション層のセキュリティ分析
Firewall
Router Router
Host Host
IPv4・IPv6で
共通なセキュ
リティ的課題
6
IPv4/IPv6とで共通な攻撃パターン
• 端末収容LAN内では、IPv4・IPv6でほぼ同様なプロトコルが動作
→IPv4で行われた攻撃は、IPv6でも(理論上)実施可能
IPv4 IPv6 IPv6で想定されうる攻撃 (呼応するIPv4攻撃)
ARP ICMPv6 (NS/
NA)
ICMPv6 DoS(NS/NA) (ARP DoS)
ICMPv6 Spoofing (ARP Spoofing)
DHCP DHCPv6
(Optional)
DHCPv6 DoS (DHCP DoS)
DHCPv6 Spoofing (DHCP Spoofing)
ICMPv6 (RS/
RA)
ICMPv6 DoS(RS/RA) (DHCP DoS)
ICMPv6 Spoofing (DHCP Spoofing)
IGMP ICMPv6
(MLD)
ICMPv6 DoS(MLD) (IGMP DoS)
ICMP
Redirect
ICMPv6
(Redirect)
ICMPv6 DoS(Redirect) (ICMP DoS)
ICMPv6 Spoofing(Redirect) (ICMP Spoofing)
7
IPv4/IPv6とで共通な攻撃への対策
• 基本的には、IPv4と同様な対策で回避可能。
– ただしIPv6独自な対策がある場合もあり。
– 特にLayer2ベースの対策は、IPv4/IPv6共通に適用可能
下記については、IPv6固有なため、別途考察要
– NDP(NS/NA)のうち、IPv6固有な処理
– NDP(RS/RA)
– 端末が複数のIPアドレスを持つこと
– Path MTU Discovery (IPv4ではルータの仕事、IPv6では端末の仕事)
   → LAN内セキュリティ分析の対象外
IPv6 回避策 監視強化策
ICMPv6 Spoofing ICMPv6フィルタリング
Layer2分割
ICMPv6監視
Layer2認証
SEND
DHCPv6 Spoofing DHCPv6フィルタリング
DHCPv6認証
Layer2分割
DHCPv6監視
Layer2認証
ICMPv6 DoS Rate Limiting
Layer2分割
ICMPv6監視
Layer2認証
SEND
DHCPv6 DoS Rate Limiting
Layer2分割
DHCPv6監視
Layer2認証
本発表の対象
IPv6固有な
セキュリティ
的課題
9
IPv6固有なセキュリティ的課題
下記の3項目について、内容・想定される攻撃・対策を説明
1. NDP(NS/NA)のうち、IPv6固有な処理
2. NDP(RS/RA)
3. 端末が複数のIPアドレスを持つこと
10
1(1) NDP(NS/NA)のうち、IPv6固有な処理
• NDP(NS/NA)が提供する機能
– IPアドレスとLayer2アドレスの対応付け
• 近隣キャッシュ:IPアドレスとLayer2アドレス対応を保持
– IPv4では、ARP Request/ARP Replyに相当
• 不到達検出機能:近隣キャッシュを最新に保つ
– IPv4では、ARP近隣キャッシュの更新に相当
• Anycast対応 :LAN上の複数端末が同一IPアドレスを所有可能
– IPv4では、対応機能無し
– 重複アドレス検出機能
• アドレス設定時に、アドレス重複がないか確認
– IPv4では、Address Conflict Detection(RFC5227)に相当
 (全端末が実装しているわけではないが)
IPv6固有な処理 = Anycast対応
11
1(2) NDP(NS/NA)のAnycast対応の概要
• NDP応答(NA)にoverride flagを導入
– Override bit ON = 後からNDP応答の上書OK → 通常アドレスのNA
– Override bit OFF= 後からNDP応答の上書NG → AnycastのNA
IPv6-1
MAC-B
②
IPv6-1
MAC-C
①
①からのNA
のOverride bit
②からのNA
のOverride bit
端末Aの近隣
キャッシュ
OFF OFF MAC-B
OFF ON MAC-C
ON OFF MAC-B
ON ON MAC-C
端末A
IPv6-1がAnycastの場合、端末Aは一番応答が早
い端末を選択→負荷分散が可能
- Subnet Router Anycast (RFC2373)
- Mobile-IPv6 Home Agent Anycast (RFC3775)
IPv6-1がAnycastの場合→
New!!
※IPv4のAnycast (IGP Anycast)とは全く別物 (NDP Anycast)
12
1(3) NDP Anycastに対する攻撃
• NDP Anycastを前提にしたサービスを乗っ取り可能
– Subnet Router Anycast : (特にサービスなし)
– Mobile-IPv6 Home Agent Anycast : サービス(Mobile-IPv6)側で対策
Anycast1
MAC-B
悪意のある端末(MAC-D)
Anycast1をAnycastアドレスとして勝手に使用
端末A Anycast1
MAC-C
Anycast1
MAC-B
悪意のある端末(MAC-D)
Anycast1を通常アドレスとして定義
端末A Anycast1
MAC-C
①
②
端末Aは、常にAnycast1が
MAC-Dだと思い込む
網内で、MAC-DもAnycast
提供しているように見える
①を②で
上書き
13
1(4) NDP Anycast攻撃への対策
• IGP Anycast ならば、IPv6でも、IPv4と同様に攻撃回避可能 (RFC4786)
– 経路制御をセキュアに提供する技術に帰着
• NDPメッセージの認証機能(SEND)でも対応可能
– 公開鍵暗号技術を用いて、 NDPメッセージ自体に署名
→ NDPメッセージの認証が可能
• 万が一SEND対応端末から攻撃を受けても、公開鍵情報から端末を特定可能
– 但し以下の課題がある
• 世の中にはSEND対応装置が少ない
• 認証DoSが可能
• Anycastを使用しない (e.g. Subnet Router Anycastを無効に)
IPv6-1
MAC-B
端末A IPv6-2
MAC-C
Anycast1 Anycast1
Anycast1のNext-Hop
=IPv6-1 or IPv6-2
14
2(1) NDP(RS/RA)が提供する機能
• ステートレスに各種パラメータを設定
– アドレス・デフォルト経路の設定
– 各種リンク内パラメータの設定
• MTU
• TTL
• NDP関連のタイマー値
– 近隣キャッシュ有効期間
– NS/NA再送間隔
– デフォルトルータの有効期間
– RS再送間隔
• 各種サーバの存在の通知
– Stateful DHCPv6 Server
– Stateless DHCPv6 Server
– Mobile-IPv6 Home Agent
• 上記パラメータを定期更新
– 端末が、RS再送間隔タイマー値に基づき、定期的にRSを送信
15
2(2) ステートレス設定を悪用した攻撃
• 悪意のある端末から、LAN内に不正なRAをブロードキャスト
することで、以下の攻撃がDHCPよりも容易に実行可能
– 盗聴
• 端末へ悪意のある端末経由の経路を注入
  (デフォルトルート, connected route, static route)
– 通信停止
• 端末へ存在しないルータ経由の経路を注入
• 低すぎるTTL値を注入
• Router Lifetime=0を注入
– 偽装サーバの使用を強制
• DHCPv6サーバへの問い合わせを誘導し、不正DHCPv6サーバから偽
DNSサーバを広告
※DHCPv4でも同様な攻撃が可能だが、RS/RAでは、1RAメッ
セージでLAN内全てを攻撃できる分、攻撃の効果が大きい。
16
2(2) ステートレス設定を悪用した攻撃(cont.)
• 複数種類のRAをLAN内で広告することで、DoSが可能
– プレフィックスを大量に学習させる
– デフォルトゲートウェイを大量に学習させる
…
※DHCPv4では情報配布元が1サーバに限定される仕様である
ため、同様な攻撃は困難
悪意のある端末
攻撃対象
ルータ
不正RA (Prefix1~20)
…
不正RA (Prefix961~1000)
正常RA(Prefix0)
1001個のグローバル
アドレスを生成しようとする
悪意のある端末
攻撃対象
ルータ
不正RA (Src=IP1)
…
不正RA (Src=IP-n)
正常RA(Src=IP0)
n+1個のデフォルトルータを
学習しようとする
17
2(3) ステートレス設定を悪用した攻撃の対策
• DHCP Spoofingと同様な対策で大丈夫
– Layer2分割
– RAパケットのフィルタリング
– RAパケットの監視
• NDPメッセージの認証機能(SEND)でも対応可能
1(4)と同様
• 端末側でRAによる学習パラメータ数の上限を設け
られる方がよい
18
3(1) 端末が複数のIPアドレスを有する影響
• 既存のセキュリティソリューションの多くは「1端末1IP」を想定
e.g.)
• (MAC, IP)のペアでフィルタリングを行い、MACをキーに(MAC, IP)のペア
を常時更新することで、セキュリティ確保
→MACに対応するIPは1つしかないのが前提
• サーバ認証をパスしたソースIPでフィルタを書くことで、LANのアクセス認証
を実現
→端末はIPを1つしか持たないのが前提
認証サーバ
スイッチ
IP-aからの
認証成功
IP-aからのパケットを通す
IP-a 認証が通ったIPアドレスで通信可能
19
3(1) 端末が複数のIPアドレスを有する影響
(cont.)
• IPv6では「1端末複数IP」が当たり前になる
– IPv4アドレスとIPv6アドレス
– 複数のIPv6アドレス (リンクローカル + グローバル、リンクローカル + 複数グ
ローバル)
→既存セキュリティソリューションが崩壊する恐れがある
e.g.)
- IPv6を導入したら、通信できなくなった
- IPv6を導入したら、意図せぬ穴が開くようになった
認証サーバ
スイッチ
IP-aからの
認証成功
IP-aからのパケットを通す
IP-a
IP-b
IP-bでは通信不可
20
3(2) 端末が複数のIPアドレスを有する影響の
回避策
• 本質的にはIPv4でも同じ問題がある
– IPv6導入により顕在化しただけ
• 一般解はない
– 各セキュリティソリューション依存
– Layer2ベースのセキュリティソリューションは、ほとんど影響を受けな
いと思われる
• 端末が複数IPアドレスを有していたとしても、「1端末1MAC」の前提はお
そらく成り立つため
おわりに
22
まとめ
• IPv6でも、IPv4 ARP/ICMPセキュリティ対策と同
様な対策が有効
• 1端末が複数のIPアドレスを所有することが最大
の課題となると思われる
– Layer2ベースのセキュリティソリューションならば、あまり影響を受
けない
– Layer3ベースのセキュリティソリューションの場合は、要注意

More Related Content

PPTX
2015-ShowNetステージ-BGPFlowspec
PPTX
2015-ShowNet -DDoS/IX/BGPFlowspec/External
PPTX
2015-ShowNetステージ-SDN/NFV
PPTX
2015-ShowNet-Tester/IoT
PPTX
2015-ShowNet-Cloud/VxLAN
PDF
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_sr-based_backbone
PPTX
2015-ShowNetステージ-ファシリティ
PDF
ShowNet2021 テスタ_parapara
2015-ShowNetステージ-BGPFlowspec
2015-ShowNet -DDoS/IX/BGPFlowspec/External
2015-ShowNetステージ-SDN/NFV
2015-ShowNet-Tester/IoT
2015-ShowNet-Cloud/VxLAN
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_sr-based_backbone
2015-ShowNetステージ-ファシリティ
ShowNet2021 テスタ_parapara

What's hot (20)

PDF
OpenContrailとnfv
PPTX
2015-ShowNet-RPKI/PTP
PDF
Internet Week 2018 知っておくべきIPv6とセキュリティの話
PPTX
Open contrailのご紹介
PPTX
NFVについて
PPTX
2015-ShowNetステージ-RPKI
PPTX
2015-ShowNetステージ-DDoS
PPTX
2016-ShowNetステージ-モニタリング
PPTX
みんなのブログ紹介
PPTX
CloudStack 4.1 + NVP Integration
PDF
Juniper Festa @ Interop Tokyo 2016
PPTX
2016-ShowNetステージ-次世代のバックボーンネットワーク
PDF
Opencontrailの基本 for オープンソースカンファレンス2014 Kansai@Kyoto
PDF
NAT超えとはなんぞや
PDF
Lagopus Project (Open Source Conference)
PPTX
OpenStackネットワーク入門 – OpenStack最新情報セミナー 2015年4月
PPTX
2016-ShowNet-テスター
PDF
IPv6って何?(拡張ヘッダ編)
PDF
Lagopus Router v19.07.1
PDF
NPStudy LT Lagopus Router v19.07
OpenContrailとnfv
2015-ShowNet-RPKI/PTP
Internet Week 2018 知っておくべきIPv6とセキュリティの話
Open contrailのご紹介
NFVについて
2015-ShowNetステージ-RPKI
2015-ShowNetステージ-DDoS
2016-ShowNetステージ-モニタリング
みんなのブログ紹介
CloudStack 4.1 + NVP Integration
Juniper Festa @ Interop Tokyo 2016
2016-ShowNetステージ-次世代のバックボーンネットワーク
Opencontrailの基本 for オープンソースカンファレンス2014 Kansai@Kyoto
NAT超えとはなんぞや
Lagopus Project (Open Source Conference)
OpenStackネットワーク入門 – OpenStack最新情報セミナー 2015年4月
2016-ShowNet-テスター
IPv6って何?(拡張ヘッダ編)
Lagopus Router v19.07.1
NPStudy LT Lagopus Router v19.07
Ad

Similar to IPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でー (20)

PDF
IPv6セキュリティ はじめの一歩
PDF
Jap1
PDF
IPv6 移行時に注意が必要なセキュリティ上の脅威と対策 ー実装者の観点からー
PDF
kibayos ieice 090915
PDF
13apr2013 kernelvm8-main
PDF
IPv6の現状
KEY
IPsecについて
PDF
2011/08/27 第3回 静岡 IT Pro勉強会 インフラ部 LT
PDF
I Pv6 Service Deployment Guideline
PDF
I pv6 research_basical
PPTX
20120516 v6opsf-ngn final
PDF
【Interop Tokyo 2016】 Seminar - EA-18 : 「Cisco の先進セキュリティ ソリューション」 Shownet 2016...
PPT
IPv6技術動向
PDF
"SRv6の現状と展望" ENOG53@上越
PDF
Hipとは?
PPTX
VSUG Day 2011 Summer - IPv6 Now
PDF
IPv6 application_and_v4kokatsu-tf
PDF
IPv6勉強会のご紹介
PPTX
FIWARE アーキテクチャの保護 - FIWARE WednesdayWebinars
PDF
Faster SRv6 D-plane with XDP
IPv6セキュリティ はじめの一歩
Jap1
IPv6 移行時に注意が必要なセキュリティ上の脅威と対策 ー実装者の観点からー
kibayos ieice 090915
13apr2013 kernelvm8-main
IPv6の現状
IPsecについて
2011/08/27 第3回 静岡 IT Pro勉強会 インフラ部 LT
I Pv6 Service Deployment Guideline
I pv6 research_basical
20120516 v6opsf-ngn final
【Interop Tokyo 2016】 Seminar - EA-18 : 「Cisco の先進セキュリティ ソリューション」 Shownet 2016...
IPv6技術動向
"SRv6の現状と展望" ENOG53@上越
Hipとは?
VSUG Day 2011 Summer - IPv6 Now
IPv6 application_and_v4kokatsu-tf
IPv6勉強会のご紹介
FIWARE アーキテクチャの保護 - FIWARE WednesdayWebinars
Faster SRv6 D-plane with XDP
Ad

More from Shinsuke SUZUKI (11)

PPT
IPv6標準化と実装
PPT
IPv6技術標準化の最新動向
PPT
Technology Updates in IPv6
PPT
IPv6 Update
PPT
Plug and Play Using Prefix Delegation Mechanism
PPT
Security Framework for the IPv6 Era
PPT
BSD UnixにおいてIPv6を有効にした際に発生する課題とその対策
PDF
Operational Issues inIPv6 --from vendors' point of view--
PDF
国際DVTS転送におけるネットワーク技術の使い方 -日伊間双方向DVTS送信を通じて-
PPT
IPv6標準化の最新動向
PDF
不正 RAの傾向と対策
IPv6標準化と実装
IPv6技術標準化の最新動向
Technology Updates in IPv6
IPv6 Update
Plug and Play Using Prefix Delegation Mechanism
Security Framework for the IPv6 Era
BSD UnixにおいてIPv6を有効にした際に発生する課題とその対策
Operational Issues inIPv6 --from vendors' point of view--
国際DVTS転送におけるネットワーク技術の使い方 -日伊間双方向DVTS送信を通じて-
IPv6標準化の最新動向
不正 RAの傾向と対策

IPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でー