既存の IPv4 ネットワークに IPv6 を導入することによって発生しうる問題についてのべる.
IPv4-IPv6 トンネルによって発生する問題
近年は IPv6 のネイティブ接続サービスや,IPv6 と IPv4 が同時に利用できるデュアルスタック・サービスが一般的になってきた. しかし,IPv6 を手っ取り早く導入するための外部接続の方法として,IPv6 over IPv4 トンネルや 6to4,Teredo などのトンネルを利用することも多い. また,組織内でも一部のルータが IPv6 に未対応であるなどの理由から,トンネルを利用している例も多いとかんがえられる.
このような場合,トンネルの終端点の設置場所にも依存するが,IPv4 を前提に構築したネットワーク・セキュリティ・モデルがうまく機能しなくなって,たとえばつぎのようなことがおこる可能性がある.
- IPv4 では強固なセキュリティ・ポリシー下にあったセグメントが,IPv6 では緩いセキュリティになったり,場合によっては IPv6インターネットから素通しになってしまっていることがありうる.
- 組織ネットワーク内でトンネルを利用した場合やネットワークに部分的に IPv6 を導入した場合などは,IPv4 のネットワークトポロジーと IPv6 のネットワークトポロジーが一致せず,結果としてセキュリティ問題を引き起こす可能性がある.
- 6to4 の利用を許していると,IPv4 的にはファイアウォール内部のノードだとしても, IPv6 的には世界中からアクセスフリーになっているようなことが実際に起こっている.
(この項目の記述にあたっては “IPv6 再発見” [Fuj 05] を参照した.)
参考文献
- [Fuj 05] 藤崎 智宏,“IPv6 再発見 第 7 回 IPv6 自体のセキュリティはどうなるのか”, IPv6style, http://www.ipv6style.jp/jp/tech/20050808/index.shtml.