(ac) #fit2010 第1イベント会場なう。10時からv6セキュリティに関するパネルディスカッションを開始します。 http://twitpic.com/2mk601
2010-09-09 09:47:38#fit2010 v6セキュリティパネルの公式ハッシュタグは #fitv6 です.会場にTL流します.皆様からのコメント・質問をお待ちしております.
2010-09-09 10:00:15#fit2010 #fitv6 北口先生:IPv6対応はIPv6への移行とは違う.IPv4,IPv6,dual で3つの視点で考慮が必要.ipv4onlyのネットワーク運用との相違点を洗い出すことが大切.
2010-09-09 10:05:04#fit2010 #fitv6 仕様上における課題(v4にも存在/v6で顕著/v6で新たに),実装上における課題(検証不十分,実装遅れ),運用上における課題(dual時の動作).
2010-09-09 10:06:50#fit2010 #fitv6 v6はv4の仕組みを良くも悪くも継承.エンドまで到達可能になる点(エンドノードのセキュリティ加担)+アドレス量が増える点(スキャニングに強くなる反面,攻撃もとの特定が困難)
2010-09-09 10:09:00#fit2010 #fitv6 仕様課題:拡張ヘッダ処理に伴うリソース消費の増大(IPヘッダと上位ヘッダの間にあるので走査が必要,フィルタリング実装がIPv4よりも複雑化),IPv4と仕様が異なる点(落とせなくなったICMP,自動アドレス設定の違い,P2Pセグメントの扱い)
2010-09-09 10:13:23#fit2010 #fitv6 今回は運用上の課題にフォーカスしてディスカッションしませう.この後,衛藤さんNICT,高倉先生名古屋大,鈴木さんアラクサラ,松崎さんIIJ にショートプレゼンをお願いします!
2010-09-09 10:17:42#fit2010 #fitv6 NICTの取り組み:IPv6 のセキュリティ上の問題の調査・検討,脆弱性実証実験プラットフォームの構築,ホームゲートウェイのプロトタイプを開発
2010-09-09 10:26:03#fit2010 #fitv6 目的:IPv6 セキュリティに関する検証作業を実施→既知の脅威に対する各社製品の評価と未知の脅威の有無を検証 & 複数回の評価試行を通して確認された脅威に関する対策手法(仕様・実装・運用面) を確立
2010-09-09 10:27:28#fit2010 #fitv6 この構成のままIPv6を導入すると… RAパケットが無関係なVLANにも届いてしまう→全てのPCが他所のVLANのIPアドレスも取得→回線の無駄使い,別支社での盗聴
2010-09-09 10:36:16#fit2010 #fitv6 ロケーションプライバシでは乱数を使ってアドレス生成:24時間(最大7日)ごとに変わるけど,有効期限前に次のRA受信するといずれかのRAで利用者を特定される→ずっと追跡可能...
2010-09-09 10:40:33ここから鈴木さん) #fit2010 #fitv6 意図してIPv6を導入する場合と気づかぬままIPv6が入る場合がある.特に後者は注意.「常に正しい答え」はない.「放置したことによる損害」と「対策したことによる負担」のトレードオフですばい.
2010-09-09 10:45:45#fit2010 #fitv6 1. 意図せぬアドレス生成(グローバル):RAを悪用した攻撃・脅威 = RAはパケット1つ流すだけでセグメント内全体に波及してしまう.気が付かぬままRAを流してしまっている端末も意外と多いよん
2010-09-09 10:47:36#fit2010 #fitv6 2. マルチキャストが漏れるLANとの相性:IPv4のARPやDHCPは事実上unicastで動くけど,IPv6のRAはmulticastだけで動いてしまう.例)IEEE802.1xの認証VLAN
2010-09-09 10:49:52#fit2010 #fitv6 3. 端末が複数のIPアドレスを有する影響:IPv6では「1端末複数IP」が当たり前→IPv6を導入したら通信できなくなったとか意図せぬ穴が開くようになったorz
2010-09-09 10:53:02