IPv4 ネットワークにおいては,IPv4 アドレス枯渇の対策としてだけでなく,NAT (ネットワーク・アドレス変換) とプライベート・アドレスが企業や家庭のネットワークを外部から保護するためにも使用されてきた. しかし,IPv6 の大きな利点は潤沢なアドレス空間を導入することによってエンド・ツー・エンドの接続性をとりもどすことができることであり,NAT は使用されるべきでないとかんがえられている.
NAT の代替手段
IPv6 ネットワークにおいて NAT のかわりに使用することができる手段として,つぎのものがある.
- プライバシー・アドレス (Privacy Addresses)
- RFC 4941 [RFC 4941] においてはアドレス自動設定の機構を拡張して,IP アドレスを個別に時間とともに変化させることによってセキュリティをたかめる方法が記述されている.
- 一意な局所アドレス (ULD, Unique Local Addresses)
- RFC 4193 [RFC 4193] においては,乱数をつかって,きわめてたかい確率で大域的に一意すなわち他におなじアドレスが存在しないように局所的な通信のためのアドレスを局所的に生成する方法が記述されている. 大域的に一意であることによって,複数のサイト間でアドレスを共有することができる.
- トレースできない IPv6 アドレス (Untraceable IPv6 Addresses)
- ランダムにインタフェース ID をきめることによってセキュリティをたかめる方法が記述されている.
- DHCPv6 プレフィクス委任 (DHCPv6 Prefix Delegation)
- DHCP によってきめられる有効期限がきれたプレフィクスが変更されると,そのプレフィクスをもつアドレスは一斉に移住 (migrate) する. 有効期限を短期にすればセキュリティをたかめることができる.
これらに関する議論は “Local Network Protection for IPv6” [RFC 4864] にまとめられている.
あたらしいモデル
IPv6 はすべてのノードに IPsec 機能を提供している. ネットワーク境界におかれたファイアウォールだけにたよらず,各ノードに IPsec 機能とあわせてファイアウォール機能をおいて境界のファイアウォールと協調することによって,よりよいセキュリティ機能を提供することができるであろう.
David B. Green はつぎのようなモデルを提案している [Hag 07].
- ファイアウォールをエンド・ノードに分散したモデル
- サイトのセキュリティ管理サーバがネットワーク上のエンド・ノード (PC など) を認証し,エンド・ノードのファイアウォールにファイアウォール・ポリシーを配布する. このポリシーにはファイアウォールの設定,アクセス制御ポリシー,IPsec の鍵,ウィルス保護などがふくまれる.
- ハイブリッド型の分散ファイアウォール・モデル
- サイトのセキュリティ管理サーバがネットワーク上のエンド・ノードを認証し,サイトのファイアウォールとエンド・ノードのファイアウォールにファイアウォール・ポリシーを配布する.セキュリティ管理サーバはノードの認証後,それぞれに対してことなるレベルの権限を付与する.
セキュリティ管理サーバに格納されているポリシーが,たとえばつぎのような決定に使用される.
- どのノードが外部にアクセスできるか.
- 内部のどのノードどうしがアクセスできるか.
- どのタイプのサービスやプロトコルが各ノードにおいて使用可能か.
- どのノードが IPsec 鍵をうけとることができるか.
ファイアウォールのフィルタ規則
デュアル・スタックのネットワークのファイアウォールにおいては,IPv4 用と IPv6 用途で独立のフィルタ規則の集合を用意する必要がある. 場合によると,IPv4 と IPv6 とでことなるファイアウォール装置を用意する必要がある.
IPv6 ネットワークにおいては ICMPv6 (Internet Control Message Protocol for IPv6) がさまざまな重要な機能を提供している. そのため,ICMP メッセージをすべてフィルタすることはできないが,それを制約なしに転送することはセキュリティ上のリスクにつながる. “Recommendations for Filtering ICMPv6 Messages in Firewalls” [RFC 4890] に ICMPv6 メッセージのフィルタ規則への提言が書かれている. すなわち,ネットワークの運用上重要なメッセージを転送し,セキュリティ上のリスクとなるおそれがあるメッセージを廃棄する方法が記述されている.
参考文献
- [Hag 07] Silvia Hagen, “IPv6Essentials, Second Edition”, O'Reilly, 2007. (邦訳: 市原 英也 監訳, “IPv6 エッセンシャルズ 第 2 版”, オライリー・ジャパン, 2007).
- [RFC 4193] R. Hinden, B. Haberman, “Unique Local IPv6 Unicast Addresses”, RFC 4193, IETF, October 2005.
- [RFC 4864] G. Van de Velde, T. Hain, R. Droms, B. Carpenter, and E. Klein, “Local Network Protection for IPv6”, RFC 4864, IETF, May 2007.
- [RFC 4890] E. Davies and J. Mohacsi, “Recommendations for Filtering ICMPv6 Messages in Firewalls”, RFC 4890, IETF, May 2007.
- [RFC 4941] T. Narten, R. Draves, and S. Krishnan, “Privacy Extensions for Stateless Address Autoconfiguration in IPv6”, RFC 4941, IETF, September 2007.