ISP やウェブ企業が World IPv6 Launch Day を設定してから 1 年が経ち、アカマイの報告によると、IPv6 コンテンツ・デリバリー・プラットフォームにおける IPv6 トラフィックは 250 パーセント増加し、毎日 100 億のリクエストが送信されています。このトラフィックはまだ IPv4 に遠く及ばないものの、増加の一途をたどっており、同時に IPv6 に関する誤解がプロトコルの導入や企業ネットワークのセキュリティに影響を与え続けています。
Network Computingは、多くのセキュリティおよびネットワーキングの専門家に話を聞いた結果、IPv6セキュリティに関するよくある誤解を4つ挙げています。
1.IPv4のみのネットワークではIPv6防御は不要
IPv6に関連する最初の誤解は、実際にはIPv4に関連するものです。IPv4ネットワークに関連する組織は、IPv6ベースの攻撃から安全であると考えるかもしれませんが、専門家によれば、そうではありません、「とTenable Network SecurityのCEOであるRon Gula氏は述べています。「このことは、IPv4ネットワークを運用または監査している場合、IPv6で会話したいシステムがたくさんあることを意味します。これは、ハッカーやマルウェアに多くの機会を与えることになります。
Rapid 7の主任研究員HD Moore氏によると、Windows、Mac OS X、Ubuntu Linux、iOS、Androidを含む最新のオペレーティングシステムは、デフォルトでIPv6に対応しています。「Windowsのホームグループ機能は、ローカルネットワーク管理にTCPを使用することに特化しています。各IPv6対応システムは、ローカルネットワーク上の他のすべてのマシンが接続できる "リンクローカル "アドレスを持っています。これにより、侵入者はローカルネットワークに直接、または侵害されたIPv4システム接続を介してアクセスし、IPv6インターフェースにアクセスしたり、攻撃したりすることができます。
SANS研究所の研究ディレクターであるヨハネス・ウルリッヒ氏は、IPv6を有効にしておきながらそれを制御しないことで、組織は脅威にさらされていると指摘します。同氏は最近、信頼できるネットワークから企業リソースに接続するためにVPNを使用している企業システムにとって頭痛の種となる、ある種の攻撃を実験しています。「とウルリッヒ氏。「例えば、出張中の従業員がホテルの無線ネットワークからインターネットに接続し、VPNトンネルを作成して企業ネットワークに接続するとします。このVPNはIPv4のデータストリームだけを転送します。攻撃者は、ホテルのネットワークにIPv6ルーターを作成し、ホストにIPv6アドレスを割り当て、IPv6プロトコルをサポートするDNSサーバーを提供することができます。このようにして、攻撃者は解読のためにVPNを通過するデータをブロックすることができます。"
2.IPSecが必須のIPv6は、IPv4よりも安全です。
IPv6の強みの1つがIPSecのサポートであることは広く認識されていますが、実際には両者は異なります。IPv6はトランスポート暗号化のためにIPSecをサポートしていますが、それは必須ではなく、デフォルトの設定でもありません。
3.IPv6による中間者攻撃の防止
IPv6では、中間者攻撃をブロックするために想定されているARP(Address Resolution Protocol)プロトコルを適用せず、実際にはICMPv6を使用してARPに代わるローカルアドレス用のプロトコルであるNeighbor Discovery Protocolを展開しているため、Neighbor Discovery ProtocolはARPと同様に中間者攻撃はARPと同様に中間者攻撃に対して脆弱です。
「侵害された内部ノードは、単純なルーティング・アナウンスメントで、すべてのローカルデバイスをグローバルIPv6ネットワークに公開することができます。
4.IPv6はIPv4ほど安全ではありません。
IPv6が非常に安全だと誤解している人がいる一方で、IPv6はNATがないためIPv4よりも安全性が低いと考えている人もいます。「ネットワークアドレス変換は、組織が個々のデバイスにプライベートでルーティング不可能なIPv4アドレスを割り当て、それらのデバイスにネットワーク接続を通じて限られた数のパブリックIPv4アドレスを提供できるようにする方法です。とNeohapsis共同セキュリティ・アドバイザーは述べています。
「にもかかわらず、プライベートアドレスはセキュリティ機能として誤って認識されており、その省略がIPv6を導入しない理由としてしばしば挙げられています。「IPv6拡張アドレスプールは、NATが解決する問題を解決します。NAT導入の真のセキュリティは、インバウンドトラフィックの静的検査を同時に使用することです。アクセス制御が適切に行われている限り、IPv6のセキュリティ保護性能はNATと比較してほとんど変わりません。
