ICT業界動向やICT関連政策を基に「未来はこんな感じ?」を自分なりの目線で「主張(Assioma)」します。

商用導入前にチェックしておきたい、IPv6のセキュリティチェック項目

»

Sc_banner06_2

2011年2月3日にIPv4アドレスがIANAで枯渇し、その対策案として期待されているIPv6について、導入を検討開始された方々も多いのでは無いかと思います。

しかし、まず検討すべきは、いきなりIPv6導入という方向に進むよりは、IPv4アドレス枯渇とはどういったものなのか?それが及ぼす影響と、対策方法について正しく理解しておく必要があります。なぜなら、IPv4アドレスが即座に無くなるわけではなく、これから長い時間をかけて、IPv4とIPv6の共存環境に移行していくからです。

そういった内容を私の書籍に記載していたのですが、版元のリックテレコム様と相談し、IPv4アドレス枯渇の影響と、現在検討されている対策案をまとめた1章から2章について、無償公開させて頂く許可を頂きました。ご理解頂きました、リックテレコム様、ご協力感謝致します。

 IPv4アドレス枯渇対策とIPv6導入 序章
 IPv4アドレス枯渇対策とIPv6導入 第一章 「IPv4枯渇とは何なのか?」
 IPv4アドレス枯渇対策とIPv6導入 第二章 「IPv4枯渇対策の方法と種別」


■IPv6のセキュリティチェック
いざIPv6を導入しようと考えても、IPv6の歴史は古いですが、機器への実装はまだ日が浅く、本格運用された実績は殆どありません。そのため、IPv6で動作する機器はセキュリティ面で脆弱性がある危険性があります。下記に挙げる基本的なチェックを実施される事をお薦めします。また、ここに記載していないテスト方法の提案等御座いましたら、私宛(takashi.ohmoto@gmail.com)にご連絡頂ければ幸いです。

1 負荷試験
  【概要】
  CPU使用率が上昇すると想定されるパケットを一定レートで送信し、
  CPU上昇率を確認する

  【方法】
ユニキャストアドレス宛に1000PPS、5000PPS、10000PPSで以下のパケットを10分間送信する
  - RSを送信する
  - RAを送信する
  - NSを送信する
  - NAを送信する
  - Hop Limitが1のパケットを送信
  - ペイロードサイズ64KBのEchoリクエストを送信
  - ペイロードサイズ64KBのEchoリクエストを1280バイトに分割して送信
  - 拡張ヘッダのRoutingオプションで、Loopbackアドレスを10000個指定して送信する。

  【方法】
ソリシテッドノードアドレス宛に1000PPS、5000PPS、10000PPSで以下のパケットを10分間送信する
  - RSを送信する
  - RAを送信する
  - NSを送信する
  - NAを送信する
  - Hop Limitが1のパケットを送信
  - ペイロードサイズ64KBのEchoリクエストを送信
  - ペイロードサイズ64KBのEchoリクエストを1280バイトに分割して送信
  - 拡張ヘッダのRoutingオプションで、Loopbackアドレスを10000個指定して送信する。

2 不正パケット
  以下のパケットを送信し、挙動を確認する
  - Payload Lengthと実際のパケット長が異なるパケット
  - Versionフィールドが"6"以外のパケット
  - 1280Byte以下のIPv6パケット
  - 100KByte以上のペイロードを持つIPv6パケット
  - Next Headerが1000個存在するパケット
  - Next Headerに、存在しないオプション番号を入力して送信
  - Next Headerに指定した値と、実際の拡張ヘッダの中身が異なるパケット
  - Next Headerの"Header無し"オプションが複数存在するパケット
  - 拡張ヘッダのRoutingオプションに特殊文字入力して送信。例 zzzz等。
  - RAのPrefix情報に、特殊文字入力して送信。例 zzzz等。
  - 1000個のフラグメントされたパケットのReassemble処理
  - FlowLabelに"0"以外の値が含まれているパケット
  - TOSフィールドが全て"1"の値を持つパケット

  不正ではないが、推奨されていないパケットの受信
  - Interface ID以外が64ビット以上の長さのパケット
  - Interface ID以外が64ビット以下の長さのパケット

3 高度な攻撃方法
  - ICMP Packet Too Bigを利用した攻撃
    特定のホストになりすましたノードから、ICMP Packet too Bigを送信し、
    常に1280Byteでしかパケットを送信出来なくさせる。
  - Statless Auto Configrationを利用した攻撃
    ・IPv6ノードからのRSに対して、不正なPrefixを混在させたRAを送信する
     意図しない通信経路へパケットを送信させ、パケット盗聴を試みる。
    ・IPv6ノードからのRSに対して、有効期限が1秒のRAを送信する。
     アサインするPrefixをランダムに更新し、頻繁なリリース、アサインを
     繰り返し発生させ、メモリリークを発生させる。
  - ネクストホップがLoopbackアドレスに指定されているリダイレクトパケットを送信。
    google等有名サイトへのアクセスや、管理センターへの通信を不能にさせる。


4 ポートスキャン
  - ポートスキャンを実施し、不要なポートがアクセス可能な状態になっていないかを
    確認する
    ・UDPポートに対するポートスキャン
    ・TCPポートに対するポートスキャン

5 UIの脆弱性を確認する
  以下の処理を行い、アクセスの可否、デフォルトパスワードの脆弱性を確認
  - 対象ノードへTelnet
    アクセスが許可されているアドレスからのアクセスが許可されること
    アクセスが許可されていないアドレスからのアクセスがブロックされること
  - 対象ノードへWebアクセス
    アクセスが許可されているアドレスからのアクセスが許可されること
    アクセスが許可されていないアドレスからのアクセスがブロックされること
  - 対象ノードへSSH
    アクセスが許可されているアドレスからのアクセスが許可されること
    アクセスが許可されていないアドレスからのアクセスがブロックされること
  - 対象ノードへSNMPポーリング
    アクセスが許可されているアドレスからのアクセスが許可されること
    アクセスが許可されていないアドレスからのアクセスがブロックされること
  - 対象ノードへSNMPによる設定変更
    アクセスが許可されているアドレスからのアクセスが許可されること
    アクセスが許可されていないアドレスからのアクセスがブロックされること

6 ACLの挙動確認
  ACLを設定し、不正な通信をブロックする機能が正しく動作するかを確認する
  ※ACL機能がある場合のみ実施。
  - アクセスが許可されているアドレスからのアクセスが許可されること
  - アクセスが許可されていないアドレスからのアクセスがブロックされること
  - アクセスが許可されていないアドレスから10000PPSのパケットを送信し、
    CPU使用率が上昇しない事を確認する
  - IPv4用のPermitがIPv6でも適用されていないか?
  - IPv6用のAll DenyがIPv6でも適用されているか?

■TCP/IP脆弱性試験ツール
  ・独立行政法人 情報処理推進機構 TCP/IPに係る既知の脆弱性検証ツール V5.0



■皆様へのお願い
 日本のスタートアップ企業を応援しよう! ソーシャルカンファレンス2011 開催ご協力のお願い

■十万人以上が閲覧した、当ブログの人気エントリー
 奇妙な国日本で、これから社会人になる人達へ
 【ネットの匿名性】 勝間 vs ひろゆき、について思うこと。

■一万人以上が閲覧した、当ブログの人気エントリー
 IS03購入。購入してから三日間のIS03体験記。 - IS03 First Impression -
 Kindle3購入。使ってみて分かったiPadとの違い。 - Kindle3 First Impression -
 孫泰蔵さんによる「起業セミナー」、「日本にベンチャーの風を」についてまとめました。
 ソーシャル時代の新常識。Viralと共感で繋げる新消費者行動モデル「VISAS」
 世界で初めて「インターネットのブロードバンド接続を全国民の基本的権利」としたフィンランド
 事業仕分け騒動。「光より速い通信技術」について思うこと
 電子書籍リーダが変える産業構造。消える産業、産まれる産業
 日本経済の不都合な真実
 SIMロック解除とSIMロック解除後の未来を考察する
 Twitterを初めたばかりの人が読むとちょっと良いこと

■著書及び自己紹介
大元隆志
IPv4アドレス枯渇対策とIPv6導入




Comment(0)