1.はじめに
IPv4アドレスの枯渇とネットワークアクセスユーザの増加の一途をたどる中、IPv6への移行が急務となっています。 新世代のネットワークプロトコルであるIPv6は、膨大なIPアドレスリソースを持つだけでなく、パケットをより大きくできるため、より信頼性の高い高速なデータ伝送を実現し、データヘッダにフロータグやサービスレベルを追加することでQoSを大幅に向上させ、どのような機器でもIPv6にアクセスした後に該当する設定を取得することができるため、ユーザの運用を大幅に簡素化し、モビリティなどの要件を満たすことができます。QoSは、任意のデバイスが大幅にモビリティなどの要件を満たすために、ユーザーの操作を簡素化し、IPv6にアクセスした後、対応する設定にアクセスすることができます。最も重要なポイントは、IPv6は、ネットワーク層のセキュリティを実現するためにIPSecを介してセキュリティの高いレベルを達成することですが、このセキュリティは、インターネットのセキュリティ脅威の新世代では、絶対的なものではありませんが、また、完全な解決策を見つけるために専門家の分野で見つける必要があります。
2.IPv6キーテクノロジーの研究
現段階で主流となっているアプリケーションのほとんどがIPv4ネットワークプロトコルに基づいて開発されており、新しいIPv6プロトコルはIPv4プロトコルと互換性がないため、サービスの継続性とエンドユーザーのオンライン体験を確保するためには、2つのネットワークの共存を長期間継続する必要があり、2つのネットワークの移行と相互運用性をどのように実現するかが、通信事業者、データセンター、コンテンツプロバイダーの注目の的となっています。そのため、2つのネットワークの移行と相互運用性をいかに実現するかが、通信事業者、データセンター、コンテンツプロバイダーの注目の的となっています。 以下では、現在存在し、一般的に使用されているIPv4からIPv6への移行のためのいくつかの主要技術を簡単に紹介します。
2.1 デュアル・スタック・テクノロジー
いわゆるデュアルスタック技術とは、その名の通りIPv4とIPv6の両方のプロトコルをサポートするネットワークのことで、ユーザー側からサービス側のエンドポイントに接続されるすべてのデバイスが両方のプロトコルをサポートする必要があります。2つのエンドポイントが通信する際には、対応するプロトコルがデータ伝送に使用されます。デュアルスタック・ソリューションは、相互運用性の問題を考慮する必要なく、IPv4とIPv6の両方のプロトコルをサポートします。しかし、大規模なネットワークでは、製品のアップグレードや交換の必要性さえ伴うため、実現可能性は比較的小さく、多くの財源と人手がかかります。展開と計画がより複雑になり、プロトコルの2つのセットがあるため、ネットワーク管理者の作業の難易度が大幅に増加します。ユーザが実際にIPv6ネットワークに移行していないので、そう、IPv6の推進と開発のための特定の障害まで。
変換技術は通常NAT-PTと呼ばれ、一般的にIPv4とIPv6ネットワークの端に変換ゲートウェイ装置を配置し、IPv4とIPv6パケットを変換して、IPv4ユーザーがIPv6リソースにアクセスできるようにし、IPv6ユーザーもIPv4リソースにアクセスできるようにします。トランスレーションゲートウェイの導入は比較的簡単で、複数のIPv6ホストが同時にIPv4アドレスを共有できるため、アドレス枯渇の問題をある程度解決できます。しかし、ゲートウェイはアプリケーションレイヤーをベースとしているため、アプリケーションごとに異なるALGを開発する必要があり、既存のネットワークアプリケーションは無限に存在するため、このソリューションを広く採用すると、様々なアプリケーションに対応したゲートウェイをリアルタイムに開発する必要があり、コストが大きい。
2.3 トンネル技術
トンネリング技術とは、IPv4パケットをIPv6パケットにカプセル化して伝送する技術です。この技術は実装が簡単で、ネットワーク管理者が新世代のプロトコルを迅速に導入し、ネットワークを最適化するのに役立ちます。しかし、パケットのカプセル化とカプセル化の解除が必要なため、トンネリングデバイスは一般的にペアで導入され、デュアルスタックアプローチと同じ欠点の1つは、大規模ネットワークの移行には適用できないということです。
2.4 ソックス64テクノロジー
この技術の基本原理は、クライアントとゲートウェイ間の通信を通じてIPv4ホストとIPv6ホスト間の相互接続を実現することです。ゲートウェイはIPv4とIPv6の両方のプロトコルスタックをサポートする必要があります。つまり、ゲートウェイでIPv4とIPv6の両方のネットワークにアクセスする必要があり、クライアントからのパケットはIPv4でもIPv6でもゲートウェイで処理され、対応する宛先に転送されます。ゲートウェイはプロトコルの変換と処理を行うため、大規模なネットワークに導入されると、ゲートウェイはスループット、処理性能の一定の基準を達成する必要があり、ネットワークの移行期間では、ゲートウェイは一般的に、より効率的にユーザーの要求に対処する能力を容易にするために、ネットワークのエッジに配置されます。このソリューションの利点は、ゲートウェイの正常に展開した後、アカウントにユーザー主導の要求の種類を取る必要はありませんが、データに転送することができるということです。しかし、クライアントのプロモーションとインストールが大きな問題となり、クライアントとゲートウェイ間の通信モードのため、特定のパフォーマンスのボトルネックが発生します。
3.IPv6ネットワークのセキュリティ研究
従来のIPv6ネットワーク・アーキテクチャでは、ネットワーク・セキュリティの戦略はアプリケーション層でのセキュリティ対策、つまり電子メールの暗号化やWebページへのアクセス時のデータ暗号化であり、ネットワーク層には対応していませんでした。1995年、IETFはIPSec(IP Security)として知られるIP層におけるセキュリティの仕様を策定しました。IPv6はIPSecプロトコルを統合しているため、IPSecはIPv6セキュリティアーキテクチャの中心にあります。
3.1 IPv6ネットワークセキュリティの利点 - IPSec
IPv6の最大の利点の1つは、IPSecが統合されていることです。つまり、データの送信元を強力に認証し、データ伝送の機密性と完全性を保証するだけでなく、データ伝送の繰り返しなどの攻撃に対抗するためのデータアクセス制御を含む、完全なセキュリティサービスを提供することができます。IPSecのアーキテクチャは、AHプロトコルは、データの整合性を保証し、データのソースを確認するために使用され、暗号化機能とメカニズムは、ESPプロトコルによって提供され、同時に、ISAKMPプロトコルは、主に情報セキュリティの交換で最初の2つのプロトコルを達成するために使用されている3つの基本的なプロトコルを含んでいます。
3.2 IPv6ネットワークセキュリティの利点 - アドレスの追跡可能性
現在採用されているIPv4アドレスプロトコルの最大の問題点は、多数のプライベートアドレスが使用されていることです。 NAT技術により、複数のプライベートアドレスが同一のパブリックIPアドレスを通じてインターネットにアクセスする可能性があり、セキュリティ上のリスクがあります。 ユーザが反感を買うような情報や違法な発言を公開した場合、IPアドレスをすぐに特定することができず、ネットワーク管理者の作業を困難にしています。IPv6の多数のIPアドレスは、プライベートアドレスの概念を完全に放棄し、各端末に個別のIPアドレスを割り当てるため、いったん問題が発生しても、発信元アドレスがすぐに判明し、ネットワークの健全性を確保することができます。
3.3 IPv6ネットワークセキュリティの利点 - 偵察防止機能
ほとんどのハッカーや悪意のあるプログラムは、攻撃するIPアドレス、アプリケーション、サービスを最終決定するためにサブネットをスキャンします。
4.IPv6ネットワークで起こりうる問題
4.1 ネットワーク層より上のセキュリティに対応できない
IPv6に統合されたIPSec機能は、ネットワーク層のセキュリティ問題を解決するだけであり、ネットワーク層より上の攻撃に対しては、IPv6では、スパム、悪意のあるコード、ワーム、システムの脆弱性などの攻撃を解決することができません。
4.2 データ復号処理に対応できない攻撃
IPv6はデータの暗号化を取りますが、ユーザーは普通にデータを受信した後、データを復号化する必要があります。攻撃者はどのように解決プロセスに関連する介入を追加し、復号化の時間を長くし、多くのシステムリソースを消費し、さらにシステムの麻痺を引き起こす可能性があります。
4.3 暗号化セキュリティリスク
IPSecでは、暗号化アルゴリズムと鍵の管理を行います。暗号化アルゴリズムについては、絶対的な安全性を確保できる暗号化アルゴリズムがなく、それ自体が限界であり、一方、鍵の管理については、PKIに依存するため、この技術が国際的に統一された完全な標準を形成しておらず、安全性が信頼できるかどうかもまだ証明されていません。
5.おわりに
IPv6への移行は一般的な傾向であり、移行技術が開発され、対応する標準が形成されていますが、利点と欠点があり、様々な技術の欠点を補うために必要な、一般的で実装が容易なソリューションの設計の包括的な使用。IPv6のネットワークセキュリティについては、それはすでにネットワーク層のセキュリティ障壁の層を確立しているが、まだ他のセキュリティ脅威があり、移行プロセスでは、IPv4のネットワークシステムの機器も一定の課題を提起しています。そのため、IPv6のキーテクノロジーにしろ、ネットワークセキュリティにしろ、スムーズで安全なネットワーク移行を実現するためには、まだまだ業界として研究・検証を続けていく必要があります。
