PokuG Studio.h

Studio.hはおまじない

v6プラスのセキュリティ

以下2つ↓の続き

v6プラスを申し込んだ(@nifty)

v6プラスルータの設定

 v6プラスというかIPv6の話。

IPv6にはNATがない

元々NATはIPv4アドレスの枯渇対策だったと記憶してます。そしてこれを使えば副次的にセキュリティ対策にもなり、IPv4のこれまでの市販ルーターにはNAT機能がついてるのでそこそこのセキュリティは標準で担保されています。
以下サイトの事例のように、

ニュース - 「日本はルーターに守られた」、WannaCry流行でトレンドマイクロが分析:ITpro


市販ルータのIPv4のNAT経由でインターネットに接続するとある程度はデフォルトでセキュリティ対策されているので根拠もなく安心して機器をインターネットに接続できます。
すっごいうる覚えですがそれに対し、IPv6当初はすべてのIT機器にグローバルIPアドレスを持たせ、インターネットに直接接続できるようにするのが前提で究極にはP2P通信で個々に直接通信できるようになったらいいなという概念があり、IPv6のセキュリティはIT機器個々で設定しなさいという思想であると教わった記憶があります。(ダイヤルアップ接続のテレホーダイ時代に言われた記憶)

そんな放任主義的な思想があっても、ここまで一般化したインターネットなので、IT機器個々でセキュリティを設定するのではなく、ルーターである程度何とかならないのでしょうか?IPv6でもルーターで何かセキュリティ対策をデフォルトでやっていてほしいものです。

IPv6ではパケットフィルタリング機能を使うらしい

IPv6ではNATの代わりにパケットフィルタリング機能を使うらしい。。。???
ホームゲートウェイでもパケットフィルタリング機能ありました
結果から言うととりあえずセキュリティレベルは「高度」に設定にしておく。

 

f:id:yarufu101:20171206051720j:plain

補足:ホームゲートウェイのデフォルトのセキュリティレベルは「標準」

以下の文が・・・

IPv6ファイアウォール機能が「有効」でかつ、セキュリティレベルが「標準」の場合、NTT東日本NTT西日本フレッツ光ネクスト網内で折り返す通信(NTT東日本NTT西日本との契約により可能となるもの)は許容し、その他のIPv6通信を使用したインターネット側からの通信を拒否します。
※セキュリティレベルが「高度」の場合は、NTT東日本NTT西日本フレッツ光ネクスト網内で折り返す通信(NTT東日本NTT西日本との契約により可能となるもの)を拒否します。

「標準」の場合、同じNTT東日本NTT西日本フレッツ光ネクスト契約だとパケット通過させるみたい。なお「標準」でもフレッツ光ネクスト網外からの場合はパケットフィルタが適用されるみたい。
同じ網内だとP2P通信が速くなるや、余計なフィルタでアプリが動かないのを防ぐようにとか考えてのことなのでしょうか?
とりあえず同じ網内だとパケット通過させるみたいな記述なのでセキュリティレベルは「高度」に設定

その他セキュリティ対策

従来のIPv4と同様にWindowsのファイアウィール機能の使用、ノートン先生などのアンチウイルスソフトファイアウォールをパソコンにインストールしたりしてセキュリティを保つ。上で私が誰かから聞いたIPv6の思想だと、これをIT機器全部にやれってことだと思います。

疑問点

IPv6に対応していない機器も何故かネットに接続できるみたいですが、そのような機器のセキュリティってどうなっているか謎。

例えばapple TVってIPv6対応してないと思いますが、

IPv4(AppleTV)→IPv6(v6プラス)→IPv4orIPv6(ストリーミングサイトなど)

上記例の場合、IPv4のAppleTVのセキュリティってどうなるのでしょうか?

わかりません。

ホームゲートウェイの設定画面にIPv4のセキュリティ設定がないのでどうなっているのでしょうか?

f:id:yarufu101:20171206060923j:plain