Comments
Description
Transcript
講演資料
第13回情報セキュリティ・シンポジウム 第13回情報セキュリティ シンポジウム (2011年10月28日) IPv6 の導入におけるセキュリティ上の影響と対策 独立行政法人 情報通信研究機構 衛藤 将史 IPv6 技術検証協議会 セキュリティ評価 検証部会 部会長 セキュリティ評価・検証部会 1 目 次 1.背景 : IPv4 のアドレス枯渇と IPv6 への移行 2.IPv6 環境のセキュリティ上の脅威とは? 3.IPv6 技術検証協議会の活動 技術検証協議会 活動 4 脅威への対策手法の検討 4.脅威への対策手法の検討 5 IPv6における留意点 5.IPv6における留意点 6.おわりに 2 1.背景:IPv4のアドレス枯渇とIPv6への移行 3 IP アドレスとは? • IP (Internet Protocol : インターネットの通信規約) における 端末識別番号 – 1982 年 アメリカ国防総省において標準化 – グローバル IP アドレス : 世界で一意に定められた番号 – 家庭でインタ 家庭でインターネット接続契約をすると、一般的に ネット接続契約をすると、 般的に 1 つのグロ つのグローバル バル IP アドレスがブロードバンドルータに割り当てられる – 金融サービスでは、インターネットバンキングにおける Web サーバ 等で用いられている • 現在は IPv4 (IP version 4) が主流 – 32 ビットのアドレス空間 4,294,967,296 個のアドレス • グローバル IP アドレスは ICANN* から割り振られる * Internet Corporation for Assigned Names and Numbers 4 IPv4 アドレスの枯渇 • IPv4 アドレス枯渇問題 – 2011 年~ 2014 年の間に IPv4 アドレスが枯渇 • ICANN の中央在庫 2011/02/03 に枯渇 • アジア太平洋地域 (APNIC*) の在庫 2011/04/15 に枯渇 *APNIC:Asia Pacific Network Information Centre APNIC – – – – – 枯渇時期の予測 APNIC : 2011/04/15 RIPE/NCC : 2012/01/15 ARIN : 2013/05/30 LACNIC : 2014/02/16 AFRINIC : 2014/05/31 5 http://www.potaroo.net/tools/ipv4/index.html (2011/10/16 時点での予測) IP アドレス枯渇問題を放置すると… • インターネットの普及・拡大が停止 × 新規サービス事業者の参入 × 個人ユーザのインターネットへの新規加入 個人ユ ザのインタ ネットへの新規加入 • さまざまな IPv4 アドレスの延命措置 – NAT : 1 つのアドレスを複数の端末が共同で使用する技術 – アドレスの回収と再割り当て : 未使用のアドレスを回収して再利用 その他、数多くの努力が払われてきたが、枯渇は避けられない状況 • 新たな IP アドレス体系を導入する必要性 IPv6 ( Internet Protocol version 6 ) 6 IPv6(Internet Protocol version 6)の特徴 • 広大なアドレス空間 – 128 ビットのアドレス 32 ビットアドレス (IPv4) – IPv4:IPv6 IP 4 IP 6 = バケツの体積:太陽の体積 バケツの体積 太陽の体積 – 約340澗個 (澗 = 1036) 340,282,366,920,938,463,463,374,607,431,768,211,456個 澗 溝 穣 垓 京 兆 億 万千百十一 • End-to-End 原理への回帰 – 豊富なアドレスにより、すべての端末が固有のアドレスを 持つことが可能 (= どこからでも到達可能) に • さまざまな新機能 – アドレス自動設定機能(プラグアンドプレイ) – セキュリティ機能や同報通信(マルチキャスト)の標準サポート – 柔軟な拡張性による通信品質の向上 7 2.IPv6環境のセキュリティ上の脅威とは? 8 IPv6 の安全性 • IPv6 IPv6の世界は安全? の世界は安全? – 定説: • End End-to-End to End での暗号化 での暗号化・認証でセキュアに 認証でセキュアに – 実際: • セキュリティに関する考慮が不十分 IPsec (暗号化通信機能) の実装・使用はあくまでオプション 自動設定機構に起因する経路詐称などが非常に容易に 膨大なアドレス数を処理できずネットワーク機器が機能不全に ネットワーク境界で守る既存のセキュリティ戦略だけでは不十分に 9 セキュリティ上の課題の一例 ~境界防御の限界~ • 豊富なアドレスの悪用による境界防御機能 (ファイヤウォー ル等) をすり抜け 境界で守れば ひとまず安⼼ アドレスA アドレスB アドレスC アドレスD 途中経路では 何も分からない IPv4環境 IPv6環境 10 セキュリティ上の課題の一例 ~ 自動設定機能の弊害 ~ • IPv6 のプラグアンドプレイ機能 プ グ プ (自動設定機能) を悪用した データの盗聴 盗聴通信路 正規のデータ 通信路 偽の 経路情報 攻撃対象 IPv6環境 11 NICT における脅威の検討 • IPv4とIPv6 IPv4と IPv6の共存におけるセキュリティ上の問題 の共存におけるセキュリティ上の問題 点 – デュアルスタック方式 – トンネリング方式 グ方式 • • トンネリング方式の問題点 • – NAT-PT の問題点 ICMP を用いた脅威 • • • • • • • • • – – – – – 近隣広告・要請のなりすましよるセキュリティ問題 近隣広告 請 な すま る キ アドレス重複検出 (DAD) の阻害 ルータ広告のなりすましによる脅威 ルータ広告の悪用によるデフォルトルータの消去の問題 ICMP リダイレクトの利用に伴う脅威 偽プレフィックス問題 ネットワークの調査 マルチキャストアドレスへの ICMP フラッディング パス MTU 探索の阻害 インターフェース ID に起因するスキャン行為 特定ベンダ 狙いのマルウェア 特定ベンダー狙いのマルウェア RA およびマルチキャストアドレスによるセキュリティ問題 複数のアドレスによるセキュリティ問題 IPsec を悪用したマルウェア オプションヘッダ • • • • • • トンネリング手法全般の問題 6to4 の問題 ISATAP の問題 Teredo の問題 • • • IPv6 の環境におけるマルウェアとその対策手法 – SCTP における問題点 IPv6 環境での SCTP および今後利用される機能 SCTP を用いたときに起こると想定される IP 6 固有のセキュリティ問題 IPv6 固有のセキ リティ問題 ネットワークアドレス/プロトコル変換方式 • • TCP/UDP 以外のトランスポートプロトコルの課題 – – – デュアルスタックの問題点 – – – – – • – 経路制御ヘッダ Type0 の問題 経路制御ヘッダ利用によるアクセスフィルタの回避 ジャンボグラムによる性能圧迫 フラグメント化に関する攻撃 フラグメント化によるフィルタのすり抜け ホップバイホップオプションヘッダのルータ警報オプションを利用し た DoS トンネルカプセル化に関する脆弱性 モビリティヘッダに対する中間者攻撃 独自の拡張が濫立した場合の懸念 アドレス構造に起因する送受信者特定の手法 • IPv6 アドレスからの MAC アドレス抽出 – – – • IPv6 アドレスからの広域経路識別 – – – • 双方向トンネリング 経路最適化 Hierarchical Mobile IPv6 Host Identityy Protocol における移動の追跡 – – – DNS の逆引き WHOIS traceroute Mobile IPv6 における移動の追跡 – – – • インターフェース ID の構成法 MAC アドレスの抽出 ステートレスアドレス自動設定のプライバシ拡張 HIP Base Exchange の盗聴 UPDATE メッセージの盗聴 IPv6 の経路制御手法 • 近隣探索における攻撃 – – • 使用プロトコル 脆弱性と攻撃想定シナリオ 経路制御プロトコルにおける脆弱性と攻撃シナリオ – – – RIPng における経路情報の安全性と認証 OSPFv3 における未知の LSA 処理 OSPFv3 におけるフラディングスコープ指定 12 脅威の分類 • NAT-PT IPv4 / IPv6 • IPsec 共通の課題 • ICMPリダイレクト • • • • • • • • IPv6 • 固有の課題 • • • RAおよびマルチキャストアドレス • IPv6アドレス RA中間者 • ISATAP RA、NA詐称 ICMPフラディング • パスMTU • 経路制御ヘッダ SCTP OSPFv3のUビット • 複数アドレス • 6to4変換 変換 DAD • モビリティヘッダ 6t 4実装 • 6to4実装 • ジャンボグラムオプション プロトコルの課題 実装上の課題 HIP 広域経路識別 フラグメントヘッダ NAT-PT RIPng 13 IPv6 技術検証協議会の設立(2010年7月) IPv6 技術検証協議会 設立 : 2010 年 7 月 28 日 目的 : IPv6の安全性・相互運用性の向上 IP 6の安全性 相互運用性の向上 安心、安全な 安心 安全な IPv6 IP 6 の利用 【セキュリティ検証基盤の構築】 テストベッド @マイクロソフト大手町テクノロジーセンター 模擬攻撃 持ち寄り 会員 IPv6 対応製品 会員 IPv6 対応製品 会員 IPv6 対応製品 NICT IPv6 セキュリティ 検証ツール 検証ツ ル 【課題・対策手法の整理】 【課題 対策手法の整理】 • 未知の課題の抽出と検証 • 対策技術の検討と評価 外部組織・ 標準化団体 会員・ 外部組織・一般 14 会員企業(12企業・組織) 15 ロードマップ 2010 07/28 9 テストベッド 環境構築 12 03 2011 06 2012 09 12 攻撃 実証実験 第一次試行 第 次試行 対策手法の検討 テストベッド 環境見直し 対策手法 検証実験 第二次試行 検証結果まとめ 発起人会 兼 理事会 総会・ 中間報告 第一次試行 : テストベッド環境構築と攻撃の実証実験 および対策手法の検討 第二次試行 : テストベッド環境の見直しと対策手法の導入 および検証実験 まとめ 総会・ 最終報告 16 第一次試行における検証シナリオ 1. 1 2. 3. 4. 5 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18 18. 19. 20. 21. 22 22. 23. 24. 25. 26. 27. 28. 29. 不正なジャンボペイロードオプションを指定したパケットを大量に送付し通信を妨害する 不正なジ ンボペイロ ドオプシ ンを指定したパケ トを大量に送付し通信を妨害する フラグメントパケットの先頭パケットのみを大量に送付し通信を妨害する PAD1オプションを大量に指定したパケットを大量に送付し通信を妨害する アドレスを詐称したNAをルータに送付してトラフィックを妨害する 詐称したRAをルータに送付してトラフィックを妨害する 詐称したRAをル タに送付してトラフィックを妨害する オーバーラップしたフラグメントパケットを送付することでファイアウォールを無効化する RH0を使用したパケットを大量に送信してトラフィックを妨害する 詐称したICMPv6リダイレクトを送信してユーザトラフィックを攻撃ノードに誘導する 詐称したICMPv6リダイレクトを送信してユーザトラフィックを妨害する 詐称したRAを送信してユーザトラフィックを攻撃ノードに誘導する 詐称したRAを送信してユーザトラフィックを妨害する OSPFv3パケットを大量に送付してLSA DBをオーバーフローさせ、ユーザトラフィックを妨害する DADに対してNAを返し続けることによりユーザーノードのIPv6アドレス取得を妨害する DADに対してDADを返し続けることによりユーザーノードのIPv6アドレス取得を妨害する 複数のアドレスを使用したSCTPのアソシエーションでExploitコードを送信しIDSを回避 する マルチキャストパケットを用いて、ネットワーク内から特定機能を持つノードを取得する 送信元を詐称したマルチキャストパケットを送信し、パケットの増幅攻撃を行う 多量のNS NAを発生させて ル タのN i hb C 多量のNS・NAを発生させて、ルータのNeighbor Cacheを溢れさせる h を溢れさせる DHCPv6サーバから虚偽の情報を送付することによる中間者攻撃 大量のDHCPv6 Solicateメッセージを送信し、DHCPv6サービスを停止させる 大量のDHCPv6 によるアドレス取得を実施し、DHCPv6サービスのアドレスプールを枯渇させる P2Pリンクを使用した増幅攻撃を行う 6to4ルータを経由して送信元アドレスを詐称したDoS攻撃を実施する Exploitコードを6to4トンネル経由で送付することによりIDSを回避する Windowsの脆弱性攻撃をIPv6を使用して攻撃する thc-ipv6を使った攻撃(MTU縮小)を実施する p マルチキャストルーティングデーモンに対してDoSを行う 詐称したMLD listener doneを使用してマルチキャストストリームを強制的に切断する IPv6 通信を用いてリモートエクスプロイト攻撃を行う 17 3.IPv6技術検証協議会の活動 3 IPv6技術検証協議会の活動 ―検証環境構築― 18 実際に構築した検証環境 Shared Testbed Monitored Management ISP 0 ISP 1 Management Segment External Segment M‐B1 p1 EE‐C1 C1 VLAN 1101 p9 E‐V1 VM07 (E‐V1) x1 M R1 M‐R1 p1 p10 x0 VLAN 1 p2 P9(~16) p1 p1 E‐R1 p2 P17(~24) M‐A1 VLAN 1102 p1 M‐S2 em2 em0 D‐C2 D‐C1 em1 p18 p1 p16 p15 LAN p14 p1 D‐S4 D‐S3 p1 p1 D‐S2 p1 D‐S1 p2 p2 D‐C3 DMZ VLAN 1201 C‐T2 p26 p1 P9(~12) p25 (~36) C‐T3 p4 M‐V2 VM02 p8 p29 P3 Single Chassis of PA‐4020 D‐U1 D‐U1 D‐F2 p3 P4 p1 M‐S1 P1 P4 p3 VLAN 1401 p13 (~p24) B‐R1 VLAN 1501 Server Segment VLAN 1601 P33 (~p36) p25 (~p32) Wireless Segment p1 C‐C1 p1 p1 p13 13 p15 15 VM01 M‐V1 Client Segment S‐S2 p14 p6 6 p1 p1 p1 S‐S3 C‐C2 S‐S1 p3 3 p2 2 p2 p1 p1 VM05 p1 S‐V1 (S‐V1) M S4 M‐S4 D‐R1 em0 1 2 3 Backbone p16 p1 P7 VLAN 1202 VM06 (B‐V1) D‐V1 p1 S‐C1 p2 VLAN 1203 p27 M‐S3 P6 D‐I1 P5(~8) p13 (~24) p13 ( 24) p7 p1 P5 P2 D‐F1 p19 p17 p28 p2 P1 C‐T1 C‐T2 C‐V1 VM04 (C‐V1) C‐T3 p16 W‐A1 C‐B1 p1 p1 W‐C1 W‐C2 19 W‐V1 VM03 (C‐V1) 各社 (A~ F) が検証を希望した攻撃シナリオ A B C D E F 1 不正なジャンボペイロードオプションを指定したパケットを⼤量に送付し通信を妨害する ○ ○ ○ ○ ○ 2 フラグメントパケットの先頭パケットのみを⼤量に送付し通信を妨害する ○ ○ ○ ○ ○ 3 PAD1オプションを⼤量に指定したパケットを⼤量に送付し通信を妨害する ○ ○ ○ ○ ○ 4 アドレスを詐称したNAをルータに送付してトラフィックを妨害する ○ ○ ○ ○ ○ 5 詐称したRAをルータに送付してトラフィックを妨害する 6 オーバーラップしたフラグメントパケットを送付することでファイアウォールを無効化する ○ ○ ○ 7 RH0を使⽤したパケットを⼤量に送信してトラフィックを妨害する ○ ○ ○ 8 詐称したICMPv6リダイレクトを送信してユーザトラフィックを攻撃ノードに誘導する ○ ○ ○ ○ 9 詐称したICMPv6リダイレクトを送信してユーザトラフィックを妨害する ○ ○ ○ ○ 10 詐称したRAを送信してユーザトラフィックを攻撃ノードに誘導する ○ ○ ○ ○ 11 詐称したRAを送信してユーザトラフィックを妨害する ○ ○ ○ ○ 12 OSPFv3パケットを⼤量に送付してLSA DBをオーバーフローさせ、ユーザトラフィックを妨害する ○ ○ DADに対してNAを返し続けることによりユ ザ ノ ドのIP 6アドレス取得を妨害する 13 DADに対してNAを返し続けることによりユーザーノードのIPv6アドレス取得を妨害する ○ ○ ○ ○ ○ 14 DADに対してDADを返し続けることによりユーザーノードのIPv6アドレス取得を妨害する ○ ○ ○ ○ ○ 15 複数のアドレスを使⽤したSCTPのアソシエーションでExploitコードを送信しIDSを回避 する ○ ○ × 16 マルチキャストパケットを⽤いて、ネットワーク内から特定機能を持つノードを取得する ○ ○ ○ ? 送信元を詐称したマルチキャストパケットを送信し パケットの増幅攻撃を⾏う 17 送信元を詐称したマルチキャストパケットを送信し、パケットの増幅攻撃を⾏う ○ ○ ○ ○ 18 多量のNS・NAを発⽣させて、ルータのNeighbor Cacheを溢れさせる ○ ○ ○ 19 DHCPv6サーバから虚偽の情報を送付することによる中間者攻撃 ○ ○ ○ 20 ⼤量のDHCPv6 Solicateメッセージを送信し、DHCPv6サービスを停⽌させる ○ ○ ○ によるアドレス取得を実施し、DHCPv6サービスのアドレスプールを枯渇させる ビスのアドレスプ ルを枯渇させる 21 ⼤量のDHCPv6 によるアドレス取得を実施し、DHCPv6サ ○ ○ ○ 22 P2Pリンクを使⽤した増幅攻撃を⾏う ○ ○ 23 6to4ルータを経由して送信元アドレスを詐称したDoS攻撃を実施する ○ ○ ○ ○ × 24 Exploitコードを6to4トンネル経由で送付することによりIDSを回避する 25 Windowsの脆弱性攻撃をIPv6を使⽤して攻撃する 26 thc-ipv6を使った攻撃(MTU縮⼩)を実施する ○ ○ ○ ○ ○ ○ × 27 マルチキャストルーティングデーモンに対してDoSを⾏う ○ ○ 28 詐称したMLD listener doneを使⽤してマルチキャストストリームを強制的に切断する ○ ○ 29 IPv6 通信を⽤いてリモートエクスプロイト攻撃を⾏う ○ 20 3.IPv6技術検証協議会の活動 3 IPv6技術検証協議会の活動 ―検証結果のまとめ― 21 検証結果の概要 検証対象外 シナリオ, 5 検証対象 シナリオ, 24 全 29 シナリオ (うち 24 シナリオが実施対象に) 一部機器で 攻撃成功, 13 全機器で 攻撃成 全機器で攻 功, 5 撃失敗, 6 実施 24 シナリオの 検証結果の内訳 22 対象機器の全てで攻撃が失敗したシナリオ (1) 一部機器で攻撃成功, 機 , 13 検証対象外 シナリオ, 5 検証対象 シナリオ, 24 全機器で攻 撃成功, 5 全機器で攻 撃失敗, 6 • 全ての機器で攻撃が失敗したシナリオ(6つ) – – – – – – 特殊な経路情報(RH0:Routing Header Type 0)を使用したパケットを大量に送信してトラフィックを妨 害する 不正なジャンボペイロードオプションを指定したパケットを大量に送付し通信を妨害する オーバーラップしたフラグメントパケットを送付することでファイアウォールを無効化する 詐称した 詐称したICMPv6リダイレクトを送信してユーザトラフィックを攻撃ノードに誘導する リダイ クトを送信して ザトラ ィックを攻撃 ド 誘導する 詐称したICMPv6リダイレクトを送信してユーザトラフィックを妨害する マルチキャストルーティングデーモンに対してDoSを行う • 原因:RFC*によって既に無効とされている 原因:RFC によって既に無効とされている、または実装や運用 または実装や運用 によって回避可能なシナリオであったため *RFC(Request For Comments):インターネットの通信規約等の仕様文書 23 対象機器の全てで攻撃が失敗したシナリオ (2) 特殊な経路情報(RH0 特殊な経路情報(RH0:Routing R ti H Header d T Type 0)を使用したパケットを大 0)を使用したパケ トを大 量に送信してトラフィックを妨害する Y B 攻撃ノードXから境界ルータに、RH0ヘッダを使用したパケットを大量に送信する 想定される攻撃の効果 X 攻撃概要 A RH0ヘッダを使用したパケットが、攻撃ノードXと境界ルータの間を往復し続けるこ とで通信の帯域を占領し、正常な通信を妨害する 考察 RH0 は RFC5095 において無効化するよう標準化されているが、今回の検証では において無効化するよう標準化されているが 今回の検証では 評価対象となったすべてのシステムがこの RFC に準拠していることが確認された 24 対象機器の全てで攻撃が成立したシナリオ (1) 検証対象外 シナリオ, 5 • 2 種類以上のシステムを対象に実施されたシナリオのうち、すべてのシステム において攻撃が成立したシナリオ (5つ) – – – – – • 検証対象 シナリオ, 24 一部機器で攻撃成 功, 13 全機器で攻 撃成功 5 撃成功, 5 全機器で攻 撃失敗, 6 送信元を詐称したマルチキャストパケットを送信し、パケットの増幅攻撃を行う 詐称した経路情報を送信してユーザトラフィックを攻撃ノードに誘導する アドレスを詐称した隣接情報をルータに送付してトラフィックを妨害する アドレスを詐称した隣接情報をル タに送付してトラフィックを妨害する 詐称した経路情報を送信してユーザトラフィックを妨害する DHCPv6 サーバから虚偽の情報を送付することによる中間者攻撃 原因 RFC に準拠して正しく実装されていれば必ず攻撃が成立 原因:RFC 25 対象機器の全てで攻撃が成立したシナリオ (2) 送信元を詐称した同報通信用のパケ 送信元を詐称した同報通信用のパケット(マルチキャストパケット)を送信し、 ト(マルチキャストパケ ト)を送信し パケットの増幅攻撃を行う 送信元 Y 攻撃概要 攻撃ノードYから送信元アドレスをユーザーノードBに詐称した、不正なヘッダを持つマ ルチキャストパケット (ff02::1 宛) を送信する。 想定される攻撃の効果 B マルチキャストパケットに対する大量のICMP エラーメッセージ(ICMP Parameter Problem) がユーザーノードBに送信される 考察 ローカルの全てのノード宛(ff02::1) のマルチキャストパケットの処理についてはRFC において規定されている。それぞれの機器は RFC に準拠した機能を実装している が、結果的にこれが攻撃の成立に繋がっている。 26 対象機器の全てで攻撃が成立したシナリオ (3) 詐称した経路情報 (RA:Router (RA R t Advertisment) Ad ti t) を送信してユーザトラ を送信してユ ザトラ フィックを攻撃ノードに誘導する ユーザー ノ ドA ノードA 境界ルータ 正常な通信経路 RAにより誘導された通信経路 攻撃 ノードY デフォルトルータとして 攻撃ノードYを指定 ユーザー ノードB 攻撃概要 攻撃ノードYが、デフォルトルータとして攻撃ノードYを指定したRAをユーザーノード Bに送付する 想定される攻撃の効果 ユーザーノードB(例:エンドユーザーのPC)からユーザーノードA(例えば、Web サーバ)へのパケットが攻撃ノードYを経由するため、攻撃者がパケットを盗聴・改 ざん可能になる 考察 本攻撃が行われてもユーザーノードAとBが通信可能であり、攻撃を検知し難い。 また、暗号化されていない通信が盗聴されるリスクは、IPv4にも存在する。 27 一部の機器で攻撃が成立したシナリオ (1) 検証対象外 シナリオ, 5 検証対象 シナリオ, 24 一部機器で攻撃 成功, 13 全機器で攻撃 成功, 5 成 , 全機器で攻撃失 敗, 6 • 検証対象シナリオのうち 1 つ以上のシステムで攻撃が成立 し、かつそれ以外のシステムで攻撃が失敗したもの 一部の機器で成功した攻撃シナリオ(12個) – 小さく分割されたパケット(フラグメントパケット)の先頭パケットのみを大量に 送付し通信を妨害する – 大量のDHCPv6 によるアドレス取得を実施し、DHCPv6サービスのアドレス プールを枯渇させる 28 – など 一部の機器で攻撃が成立したシナリオ (2) 小さく分割されたパケット(フラグメントパケット)の先頭パケットのみを大量に送付し通 信を妨害する A X Y B 攻撃概要 攻撃ノードXからユーザーノードBにフラグメントパケットの先頭パケットを大量に送信 想定される攻撃 効果 想定される攻撃の効果 ユーザーノードBが誤動作を引き起こす 考察 攻撃により、3 社中2 社の機器では、システムの再起動や、パケット(HTTPトラフィッ ク) 送受信 能 陥 た ク)の送受信不能に陥った。 フラグメントパケットから元のパケットを復元するために、各フラグメントパケットをメモ リに保持し続けた結果、CPUやメモリ資源が枯渇したと考えられる 29 4.脅威への対策手法の検討 30 Rate Limit による対策 (1) 小さく分割されたパケット(フラグメントパケット)の先頭パケットのみを大 量に送付し通信を妨害する A Y X B 対策案 案1)単一のホストから受信するフラグメントパケットの数に上限(Rate Limit)を設定する(例えば、単位時間あたり最大1,000パケットとする)。 案2)単一のホストから大量にフラグメントパケットの先頭パケットを受信し た場合、それらを不正なパケットであると判定するロジックを導入する。 31 Rate Limit による対策 (2) 送信元を詐称したマルチキャストパケットを送信し、パケットの増幅攻撃を行う 送信元を詐称したマルチキャストパケ トを送信し パケ トの増幅攻撃を行う 送信元 Y B 攻撃の特徴 マルチキャストパケットを受信した各ノードがそれぞれエラーメッセージを 返信することで、攻撃対象となったユーザーノードBに大量のパケットが 攻撃対象とな たユ ザ ノ ドBに大量のパケ トが 届く。 対策案 ICMP に対する Rate R t Li Limit it を設定することにより、返答の頻度を制限 を設定することにより 返答の頻度を制限 する。 32 SeND、RA Guard による対策 詐称した経路情報(RA 詐称した経路情報(RA:Router R t Advertisment)を送信してユーザトラフィック Ad ti t)を送信してユ ザトラフィ ク を攻撃ノードに誘導する ユーザー ノードA 境界ルータ 境界ル タ 正常な通信経路 RAにより誘導された通信経路 攻撃 ノードY デフォルトルータとして 攻撃ノ ドYを指定 攻撃ノードYを指定 ユーザー ノードB 攻撃の特徴 パケットが攻撃ノードYを経由するような不正な経路情報(RA)を攻撃対象に送付 ケットが攻撃 ド を経由するような不正な経路情報( )を攻撃対象に送付 対策案 RA を悪用した攻撃については、SeND(Secure Neighbor Discovery:RAルータ認 証,, RFC3971) 、RA Guard ((RFC6105)) を用いて正規のルータのみしか RA を広告 できないことをL2 レベルで担保することが有効 33 対策手法のまとめ • 不正な経路情報による攻撃(Neighbor Discovery Protocol の悪用) – 対策)SeND 対策)S ND (RFC3971)に対応した機器の導入 – 対策)RA Guard(RFC6105)に対応した機器の導入 • DoS系の攻撃 – 対策)特定のパケット ((ICMP multicast など)) に Rate Limit を設定 – 対策)特定のパケットを破棄 • 特殊な通信路を用いた攻撃 – 対策)カプセル化を解除した上で検査を行う – 対策)SCTP(Stream 対策)SCTP(St Control C t lT Transmission i i P Protocol)では適切に t l)では適切に セッションを再構成した上で検査を行う ※ ただし、通信路が暗号化されている場合には、別の対策が必要 34 5.IPv6 導入における留意点 35 ネットワーク管理者が意識すべき点 「IPv6 対応」 ≠ 「IPv6 への移行」 • IPv4 ネットワークが直ぐになくなるわけではない (対外接続しないネットワーク等では、IPv4のまま使用される可能性がある) • 既存の IPv4 ネットワークに IP 4 ネ トワ クに IPv6 ネットワークを追加して運用 IP 6 ネ トワ クを追加して運用 • 二重のネットワーク運用 二重のネットワ ク運用 • 3つの視点での考慮が必要 • IPv4 ネットワーク • IPv6 ネットワーク IPv6 ネットワ ク • デュアルスタック・ネットワーク(IPv4とIPv6の両方に対応) • IPv4 だけのネットワーク運用との相違点を把握することが重要 36 IPv6 導入の検討にあたって • 現状の IPv6 ではセキュリティに関する考慮が不十分 – – – – 基本的に IPv4 と同様の課題を IPv6 は持っている IP 6 の仕様の理解と IPv4 IPv6 IP 4 との相違を把握することが重要 特に、デュアルスタックでの挙動の理解が重要 IPv4のみのネットワークでも IPv4のみのネットワ クでも IPv6 対応 OS が存在 IPv4 IPv4 IPv6 IP 6 IPv6 長期的なIPv6導入の流れ 37 6.おわりに 38 おわりに • IPv4 IP 4 アドレスの枯渇 ド の枯渇 – IPv6の導入は避けられない状況に • IPv6 環境のセキュリティ対策は万全? – 自動設定機構に起因する経路詐称などが非常に容易に – 膨大なアドレス数を処理できずネットワーク機器が機能不全に – IPv4 時代のセキュリティ対策を根本的に見直す必要あり • IPv6 技術検証協議会の今後の取り組み – 実証実験を通じて会員企業のIP 実証実験を通じて会員企業のIPv6のセキュリティ対策技術の 6のセキ リティ対策技術の 検証を継続 – 既知、未知の幅広のセキュリティ上の脅威の検証 – 具体的な対策の導出とその技術検証 IPv6 技術検証協議会 IPv6技術検証協議会について • IPv6 技術検証協議会では、検証作業の結果に基づき、 適切な形での外部 の情報公開を検討中 適切な形での外部への情報公開を検討中 – 他団体との検証連携、および成果物の共有 – 成果に基づく IPv6 環境構築のガイドライン発行、標準化 環境構築のガイドライン発行 標準化 • 協議会へのお問い合わせ先: 協議会へのお問い合わせ先 IPv6技術検証協議会 事務局 [email protected]