第12回名古屋情報セキュリティ勉強会(#nagoyasec)

あが @aga_kazu

スライドが見やすくなりました。 有難うございます。 #nagoyasec

XYZ+ @xyzplus_net

IPv6未導入のはずでも、tcpdumpを取るとリンクローカルアドレスのパケットがみえる→IPv6で話をしようとしている機器がある。 #nagoyasec

Hajime Shimada @hevo037

.@aga_kazu 消しました。他にも、エアコンの温度調整など会場へのリクエストがあればどうぞ(→参加者の皆様)。 #nagoyasec

アンバサ @_na3alf6

プレフィックス　前半部分　#nagoyasec

XYZ+ @xyzplus_net

IPv6で考えるべき複数の「IPバージョン」「リンク」「スコープ」「アドレス」「プレフィックス」「ルータ」「DHCPv6サーバ/リレー」 #nagoyasec

アンバサ @_na3alf6

出口のルータが2つ3つ出てきたら？→ルータ広告（RA）を用いる　 #nagoyasec

Hajime Shimada @hevo037

v6になると、(RAを出す)ルータとかDHCPv6サーバを複数準備できたりする。ということで、複数のアドレス、リンク、スコープ、プレフィックス、ルータ、DHCPがある状況を(セキュリティで?)想定しないといけない。 #nagoyasec

はるか @cam_i8

Teredoって読み方が色々あるんですね。 #nagoyasec

XYZ+ @xyzplus_net

IPv6アドレス、アドレス範囲によっていろいろな用途があるのね。 #nagoyasec

XYZ+ @xyzplus_net

IPv4ももちろんアドレス範囲によって用途はありますが。

アンバサ @_na3alf6

表記　アドレス%ゾーン番号　　　　　　　#nagoyasec

アンバサ @_na3alf6

送信者制御→client separation 受信者制御→　MLD snooping #nagoyasec

XYZ+ @xyzplus_net

IPv6アドレスの全数探索はなかなかヒットしないが、ルータに近接探索させる事になるため結局負荷は上がる #nagoyasec

Hajime Shimada @hevo037

v6ではv4のように全数探索は無理だが、種々のマルチキャストアドレスで呼びかけて返事を探すことができる(同一リンクならば)。というか、頻出マルチキャストアドレスがちょっと多くて覚えるのがめんどくさいような…(汗)。 #nagoyasec

XYZ+ @xyzplus_net

IPアドレスが多数あるってことは、受信者も攻撃者もIPアドレスをたくさん持っている。 → フィルタのエントリー数や自動生成などにも影響が。 #nagoyasec

アンバサ @_na3alf6

filter作りすぎて負荷増大　rate_limitぐらいしかなさそう

Hajime Shimada @hevo037

ルータに近傍探索させるという手段もあって、攻撃(準備のための探索?)によってルータに負荷がかかる可能性もある。 #nagoyasec

XYZ+ @xyzplus_net

IPv6アドレスと一時IPv6アドレス #nagoyasec

HARADA Kenji @haradakenji

通信がらみ不勉強なのでIPv6セキュリティ話　結構難しい... #nagoyasec

アンバサ @_na3alf6

IPv6　L2機器の負荷大きくない？！　#nagoyasec

アンバサ @_na3alf6

DHCPv6だと払い出したIPとMACアドレスとの対応がわからない　#nagoyasec

Hajime Shimada @hevo037

ルータ公告(RA)でIPアドレスを設定している時に、偽装された「先のRAを無効化するRA」で利用中のIPアドレスを捨てさせたりできる。RA Guard(RFC 6105)などで対策できる。 #nagoyasec

友利奈緒ちゃん @K_atc

DHCPv6とDUID #nagoyasec

Hajime Shimada @hevo037

RAはステートレスなので、ステートフルであるDHCPv6を使うというのもある。が、v6あfドレスとMACアドレスとの対応が崩れたり、まだいろいろと実装が怪しいOSも? #nagoyasec

XYZ+ @xyzplus_net

DHCPv6はIPアドレスとDUIDで対応付けられる。 #nagoyasec