IPv6を危険にさらす、アドレス生成方法に潜む6つの脆弱性 - TechTargetジャパン 情報セキュリティ

IPv6でホストスキャン攻撃を可能とする要因と対策を解説する記事。
IPv6を危険にさらす、アドレス生成方法に潜む6つの脆弱性 - TechTargetジャパン 情報セキュリティ


IPv6アドレスにある「インタフェースID」(サブネットにおける特定のネットワークインタフェースを識別するために利用)の選択方法が、

いずれの方法もアドレスの検索範囲を狭めるため、IPv6ホストスキャン攻撃が容易になり、攻撃成功の可能性が高まる

と指摘している。
選択方法とは、以下の6種。

  • MACアドレスの組み込み
  • 下位バイトアドレスの採用
  • IPv4アドレスの組み込み
  • 冗長なアドレスの使用
  • プライバシーアドレスや一時アドレスの使用
  • 移行技術や共存技術の利用

記事では、それぞれの方法における課題(脆弱性)を詳しく解説している。
その後、対策について紹介。
IETFの6manワーキンググループが予測が難しいIPアドレスの生成仕様の策定に取り組んでいるらしい。
ただし、

セキュアなIPv6導入を保証するためには、IETFがこの標準化を完成させなければならず、さらにベンダーがそれを実装する必要がある。

その他の対策として2種類が紹介されている。

DHCPv6サーバを有効にして予測不可能なアドレスが発行されるようにする方法と、手動でシステムを設定して予測不可能なアドレスを使う方法がある。DHCPv6の方がはるかに大規模なアドレス空間を生成するため、望ましいのは明らかだ。


絶対わかる!IPv4枯渇対策&IPv6移行超入門 (日経BPムック ネットワーク基盤技術選書)
日経NETWORK (編集)
内容紹介
2011年2月3日、ついにIPアドレスが枯渇した。正確に言えば、IPアドレス在庫の大元であるIANAにおいて、未割り振りのIPv4グローバルアドレスが枯渇したのだ。さらにその2カ月半後の4月15日には、アジア太平洋地域(APNIC)と日本(JPNIC)の在庫もなくなった。これによってすぐにIPv4ネットワークが使えなくなるわけではない。ただ、IPv4アドレスの枯渇対策とIPv6ネットワークへの移行は、プロバイダーのみならず企業のネットワーク担当者も、状況を把握し、対策プランを考えなければならないフェーズになったことは間違いない。
 そこで本書では、そもそもIPv4アドレス枯渇とは何かから始め、IPv6アドレスやIPv6ネットワークの基本を徹底解説する。当面はIPv4とIPv6が共存することになるが、どうやって共存させるのか。共存することによって起こり得る典型的なトラブルにはどんなものがあるか。その解決法は? など、IPv4からIPv6への移行のノウハウをまとめた。

コメントを残す

メールアドレスが公開されることはありません。