第12回名古屋情報セキュリティ勉強会(#nagoyasec)
IPv6未導入のはずでも、tcpdumpを取るとリンクローカルアドレスのパケットがみえる→IPv6で話をしようとしている機器がある。 #nagoyasec
2017-03-19 14:02:17.@aga_kazu 消しました。他にも、エアコンの温度調整など会場へのリクエストがあればどうぞ(→参加者の皆様)。 #nagoyasec
2017-03-19 14:02:40IPv6で考えるべき複数の「IPバージョン」「リンク」「スコープ」「アドレス」「プレフィックス」「ルータ」「DHCPv6サーバ/リレー」 #nagoyasec
2017-03-19 14:05:09v6になると、(RAを出す)ルータとかDHCPv6サーバを複数準備できたりする。ということで、複数のアドレス、リンク、スコープ、プレフィックス、ルータ、DHCPがある状況を(セキュリティで?)想定しないといけない。 #nagoyasec
2017-03-19 14:09:48IPv6アドレスの全数探索はなかなかヒットしないが、ルータに近接探索させる事になるため結局負荷は上がる #nagoyasec
2017-03-19 14:23:08v6ではv4のように全数探索は無理だが、種々のマルチキャストアドレスで呼びかけて返事を探すことができる(同一リンクならば)。というか、頻出マルチキャストアドレスがちょっと多くて覚えるのがめんどくさいような…(汗)。 #nagoyasec
2017-03-19 14:24:07IPアドレスが多数あるってことは、受信者も攻撃者もIPアドレスをたくさん持っている。 → フィルタのエントリー数や自動生成などにも影響が。 #nagoyasec
2017-03-19 14:24:38ルータに近傍探索させるという手段もあって、攻撃(準備のための探索?)によってルータに負荷がかかる可能性もある。 #nagoyasec
2017-03-19 14:26:01ルータ公告(RA)でIPアドレスを設定している時に、偽装された「先のRAを無効化するRA」で利用中のIPアドレスを捨てさせたりできる。RA Guard(RFC 6105)などで対策できる。 #nagoyasec
2017-03-19 14:34:14RAはステートレスなので、ステートフルであるDHCPv6を使うというのもある。が、v6あfドレスとMACアドレスとの対応が崩れたり、まだいろいろと実装が怪しいOSも? #nagoyasec
2017-03-19 14:36:30