講演資料

by user

on 28 марта 2017

Category: Documents

>> Downloads: 0

views

Report

Comments

Description

Download 講演資料

Transcript

講演資料

第13回情報セキュリティ・シンポジウム
第13回情報セキュリティ
シンポジウム（2011年10月28日）
IPv6 の導入におけるセキュリティ上の影響と対策
独立行政法人情報通信研究機構
衛藤将史
IPv6 技術検証協議会
セキュリティ評価検証部会部会長
セキュリティ評価・検証部会
1
目次
１．背景 : IPv4 のアドレス枯渇と IPv6 への移行
２．IPv6 環境のセキュリティ上の脅威とは？
３．IPv6 技術検証協議会の活動
技術検証協議会活動
４脅威への対策手法の検討
４．脅威への対策手法の検討
５ IPv6における留意点
５．IPv6における留意点
６．おわりに
2
１．背景：IPv4のアドレス枯渇とIPv6への移行
3
IP アドレスとは？
• IP (Internet Protocol : インターネットの通信規約) における
端末識別番号
– 1982 年アメリカ国防総省において標準化
– グローバル IP アドレス : 世界で一意に定められた番号
– 家庭でインタ
家庭でインターネット接続契約をすると、一般的に
ネット接続契約をすると、般的に 1 つのグロ
つのグローバル
バル
IP アドレスがブロードバンドルータに割り当てられる
– 金融サービスでは、インターネットバンキングにおける Web サーバ
等で用いられている
• 現在は IPv4 (IP version 4) が主流
– 32 ビットのアドレス空間
 4,294,967,296 個のアドレス
• グローバル IP アドレスは
ICANN* から割り振られる
* Internet Corporation for Assigned
Names and Numbers
4
IPv4 アドレスの枯渇
• IPv4 アドレス枯渇問題
– 2011 年～ 2014 年の間に IPv4 アドレスが枯渇
• ICANN の中央在庫  2011/02/03 に枯渇
• アジア太平洋地域 (APNIC*) の在庫  2011/04/15 に枯渇
*APNIC：Asia Pacific Network Information Centre
APNIC
–
–
–
–
–
枯渇時期の予測
APNIC
: 2011/04/15
RIPE/NCC
: 2012/01/15
ARIN
: 2013/05/30
LACNIC
: 2014/02/16
AFRINIC
: 2014/05/31
5
http://www.potaroo.net/tools/ipv4/index.html (2011/10/16 時点での予測)
IP アドレス枯渇問題を放置すると…
• インターネットの普及・拡大が停止
× 新規サービス事業者の参入
× 個人ユーザのインターネットへの新規加入
個人ユザのインタネットへの新規加入
• さまざまな IPv4 アドレスの延命措置
– NAT : 1 つのアドレスを複数の端末が共同で使用する技術
– アドレスの回収と再割り当て : 未使用のアドレスを回収して再利用
 その他、数多くの努力が払われてきたが、枯渇は避けられない状況
• 新たな IP アドレス体系を導入する必要性
 IPv6 ( Internet Protocol version 6 )
6
IPv6（Internet Protocol version 6）の特徴
• 広大なアドレス空間
– 128 ビットのアドレス  32 ビットアドレス (IPv4)
– IPv4：IPv6
IP 4 IP 6 = バケツの体積：太陽の体積
バケツの体積太陽の体積
– 約340澗個（澗 = 1036）
 340,282,366,920,938,463,463,374,607,431,768,211,456個
澗
溝
穣
垓
京兆
億万千百十一
• End-to-End 原理への回帰
– 豊富なアドレスにより、すべての端末が固有のアドレスを
持つことが可能 (＝どこからでも到達可能) に
• さまざまな新機能
– アドレス自動設定機能（プラグアンドプレイ）
– セキュリティ機能や同報通信（マルチキャスト）の標準サポート
– 柔軟な拡張性による通信品質の向上
7
２．IPv6環境のセキュリティ上の脅威とは？
8
IPv6 の安全性
• IPv6
IPv6の世界は安全？
の世界は安全？
– 定説：
• End
End-to-End
to End での暗号化
での暗号化・認証でセキュアに
認証でセキュアに
– 実際：
• セキュリティに関する考慮が不十分
 IPsec (暗号化通信機能) の実装・使用はあくまでオプション
 自動設定機構に起因する経路詐称などが非常に容易に
 膨大なアドレス数を処理できずネットワーク機器が機能不全に
 ネットワーク境界で守る既存のセキュリティ戦略だけでは不十分に
9
セキュリティ上の課題の一例～境界防御の限界～
• 豊富なアドレスの悪用による境界防御機能 (ファイヤウォー
ル等) をすり抜け
境界で守れば
ひとまず安⼼
アドレスA アドレスB
アドレスC
アドレスD
途中経路では
何も分からない
IPv4環境
IPv6環境
10
セキュリティ上の課題の一例
～自動設定機能の弊害～
• IPv6 のプラグアンドプレイ機能
プグ
プ
(自動設定機能) を悪用した
データの盗聴
盗聴通信路
正規のデータ
通信路
偽の
経路情報
攻撃対象
IPv6環境
11
NICT における脅威の検討
•
IPv4とIPv6
IPv4と
IPv6の共存におけるセキュリティ上の問題
の共存におけるセキュリティ上の問題
点
–
デュアルスタック方式
–
トンネリング方式
グ方式
•
•
トンネリング方式の問題点
•
–
NAT-PT の問題点
ICMP を用いた脅威
•
•
•
•
•
•
•
•
•
–
–
–
–
–
近隣広告・要請のなりすましよるセキュリティ問題
近隣広告
請なすま
るキ
アドレス重複検出 (DAD) の阻害
ルータ広告のなりすましによる脅威
ルータ広告の悪用によるデフォルトルータの消去の問題
ICMP リダイレクトの利用に伴う脅威
偽プレフィックス問題
ネットワークの調査
マルチキャストアドレスへの ICMP フラッディング
パス MTU 探索の阻害
インターフェース ID に起因するスキャン行為
特定ベンダ狙いのマルウェア
特定ベンダー狙いのマルウェア
RA およびマルチキャストアドレスによるセキュリティ問題
複数のアドレスによるセキュリティ問題
IPsec を悪用したマルウェア
オプションヘッダ
•
•
•
•
•
•
トンネリング手法全般の問題
6to4 の問題
ISATAP の問題
Teredo の問題
•
•
•
IPv6 の環境におけるマルウェアとその対策手法
–
SCTP における問題点
IPv6 環境での SCTP および今後利用される機能
SCTP を用いたときに起こると想定される
IP 6 固有のセキュリティ問題
IPv6
固有のセキリティ問題
ネットワークアドレス／プロトコル変換方式
•
•
TCP/UDP 以外のトランスポートプロトコルの課題
–
–
–
デュアルスタックの問題点
–
–
–
–
–
•
–
経路制御ヘッダ Type0 の問題
経路制御ヘッダ利用によるアクセスフィルタの回避
ジャンボグラムによる性能圧迫
フラグメント化に関する攻撃
フラグメント化によるフィルタのすり抜け
ホップバイホップオプションヘッダのルータ警報オプションを利用し
た DoS
トンネルカプセル化に関する脆弱性
モビリティヘッダに対する中間者攻撃
独自の拡張が濫立した場合の懸念
アドレス構造に起因する送受信者特定の手法
•
IPv6 アドレスからの MAC アドレス抽出
–
–
–
•
IPv6 アドレスからの広域経路識別
–
–
–
•
双方向トンネリング
経路最適化
Hierarchical Mobile IPv6
Host Identityy Protocol における移動の追跡
–
–
–
DNS の逆引き
WHOIS
traceroute
Mobile IPv6 における移動の追跡
–
–
–
•
インターフェース ID の構成法
MAC アドレスの抽出
ステートレスアドレス自動設定のプライバシ拡張
HIP Base Exchange の盗聴
UPDATE メッセージの盗聴
IPv6 の経路制御手法
•
近隣探索における攻撃
–
–
•
使用プロトコル
脆弱性と攻撃想定シナリオ
経路制御プロトコルにおける脆弱性と攻撃シナリオ
–
–
–
RIPng における経路情報の安全性と認証
OSPFv3 における未知の LSA 処理
OSPFv3 におけるフラディングスコープ指定
12
脅威の分類
• NAT-PT
IPv4 / IPv6 • IPsec
共通の課題 • ICMPリダイレクト
•
•
•
•
•
•
•
•
IPv6
•
固有の課題
•
•
•
RAおよびマルチキャストアドレス
• IPv6アドレス
RA中間者
• ISATAP
RA、NA詐称
ICMPフラディング • パスMTU
• 経路制御ヘッダ
SCTP
OSPFv3のUビット • 複数アドレス
• 6to4変換
変換
DAD
• モビリティヘッダ
6t 4実装
• 6to4実装
• ジャンボグラムオプション
プロトコルの課題
実装上の課題
HIP
広域経路識別
フラグメントヘッダ
NAT-PT
RIPng
13
IPv6 技術検証協議会の設立（2010年7月）
IPv6 技術検証協議会
設立 : 2010 年 7 月 28 日
目的 : IPv6の安全性・相互運用性の向上
IP 6の安全性相互運用性の向上  安心、安全な
安心安全な IPv6
IP 6 の利用
【セキュリティ検証基盤の構築】
テストベッド
＠マイクロソフト大手町テクノロジーセンター
模擬攻撃
持ち寄り
会員 IPv6
対応製品
会員 IPv6
対応製品
会員 IPv6
対応製品
NICT IPv6 セキュリティ
検証ツール
検証ツ
ル
【課題・対策手法の整理】
【課題
対策手法の整理】
• 未知の課題の抽出と検証
• 対策技術の検討と評価
外部組織・
標準化団体
会員・
外部組織・一般
14
会員企業（12企業・組織）
15
ロードマップ
2010
07/28 9
テストベッド
環境構築
12
03
2011
06
2012
09
12
攻撃
実証実験
第一次試行
第
次試行
対策手法の検討
テストベッド
環境見直し
対策手法
検証実験
第二次試行
検証結果まとめ
発起人会
兼理事会
総会・
中間報告
第一次試行 : テストベッド環境構築と攻撃の実証実験
および対策手法の検討
第二次試行 : テストベッド環境の見直しと対策手法の導入
および検証実験  まとめ
総会・
最終報告
16
第一次試行における検証シナリオ
1.
1
2.
3.
4.
5
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18
18.
19.
20.
21.
22
22.
23.
24.
25.
26.
27.
28.
29.
不正なジャンボペイロードオプションを指定したパケットを大量に送付し通信を妨害する
不正なジ
ンボペイロドオプシンを指定したパケトを大量に送付し通信を妨害する
フラグメントパケットの先頭パケットのみを大量に送付し通信を妨害する
PAD1オプションを大量に指定したパケットを大量に送付し通信を妨害する
アドレスを詐称したNAをルータに送付してトラフィックを妨害する
詐称したRAをルータに送付してトラフィックを妨害する
詐称したRAをル
タに送付してトラフィックを妨害する
オーバーラップしたフラグメントパケットを送付することでファイアウォールを無効化する
RH0を使用したパケットを大量に送信してトラフィックを妨害する
詐称したICMPv6リダイレクトを送信してユーザトラフィックを攻撃ノードに誘導する
詐称したICMPv6リダイレクトを送信してユーザトラフィックを妨害する
詐称したRAを送信してユーザトラフィックを攻撃ノードに誘導する
詐称したRAを送信してユーザトラフィックを妨害する
OSPFv3パケットを大量に送付してLSA DBをオーバーフローさせ、ユーザトラフィックを妨害する
DADに対してNAを返し続けることによりユーザーノードのIPv6アドレス取得を妨害する
DADに対してDADを返し続けることによりユーザーノードのIPv6アドレス取得を妨害する
複数のアドレスを使用したSCTPのアソシエーションでExploitコードを送信しIDSを回避する
マルチキャストパケットを用いて、ネットワーク内から特定機能を持つノードを取得する
送信元を詐称したマルチキャストパケットを送信し、パケットの増幅攻撃を行う
多量のNS NAを発生させてルタのN i hb C
多量のNS・NAを発生させて、ルータのNeighbor
Cacheを溢れさせる
h を溢れさせる
DHCPv6サーバから虚偽の情報を送付することによる中間者攻撃
大量のDHCPv6 Solicateメッセージを送信し、DHCPv6サービスを停止させる
大量のDHCPv6 によるアドレス取得を実施し、DHCPv6サービスのアドレスプールを枯渇させる
P2Pリンクを使用した増幅攻撃を行う
6to4ルータを経由して送信元アドレスを詐称したDoS攻撃を実施する
Exploitコードを6to4トンネル経由で送付することによりIDSを回避する
Windowsの脆弱性攻撃をIPv6を使用して攻撃する
thc-ipv6を使った攻撃（MTU縮小）を実施する
p
マルチキャストルーティングデーモンに対してDoSを行う
詐称したMLD listener doneを使用してマルチキャストストリームを強制的に切断する
IPv6 通信を用いてリモートエクスプロイト攻撃を行う
17
３．IPv6技術検証協議会の活動
３
IPv6技術検証協議会の活動
―検証環境構築―
18
実際に構築した検証環境
Shared
Testbed
Monitored
Management
ISP 0
ISP 1
Management
Segment
External Segment
M‐B1
p1
EE‐C1
C1
VLAN 1101
p9
E‐V1
VM07 (E‐V1)
x1
M R1
M‐R1
p1
p10
x0
VLAN 1
p2
P9(~16)
p1
p1
E‐R1
p2
P17(~24)
M‐A1
VLAN 1102
p1
M‐S2
em2
em0
D‐C2
D‐C1
em1
p18
p1
p16
p15
LAN
p14
p1
D‐S4
D‐S3
p1
p1
D‐S2
p1
D‐S1
p2
p2
D‐C3
DMZ
VLAN 1201
C‐T2
p26
p1
P9(~12)
p25 (~36)
C‐T3
p4
M‐V2
VM02
p8
p29
P3
Single Chassis
of PA‐4020 D‐U1
D‐U1
D‐F2
p3
P4
p1
M‐S1
P1 P4
p3
VLAN 1401
p13 (~p24)
B‐R1
VLAN 1501
Server Segment
VLAN 1601
P33 (~p36)
p25 (~p32)
Wireless Segment
p1
C‐C1
p1
p1
p13
13
p15
15
VM01
M‐V1
Client Segment
S‐S2
p14
p6
6
p1
p1
p1
S‐S3
C‐C2
S‐S1
p3
3 p2
2
p2 p1
p1
VM05
p1
S‐V1
(S‐V1)
M S4
M‐S4
D‐R1
em0 1 2 3
Backbone
p16
p1
P7
VLAN 1202
VM06 (B‐V1)
D‐V1 p1
S‐C1
p2
VLAN 1203
p27
M‐S3
P6
D‐I1
P5(~8)
p13 (~24)
p13 (
24)
p7
p1
P5
P2 D‐F1
p19 p17
p28
p2
P1
C‐T1
C‐T2
C‐V1
VM04 (C‐V1)
C‐T3
p16
W‐A1
C‐B1
p1
p1
W‐C1
W‐C2
19
W‐V1
VM03 (C‐V1)
各社 (A～ F) が検証を希望した攻撃シナリオ
A
B
C
D
E
F
1 不正なジャンボペイロードオプションを指定したパケットを⼤量に送付し通信を妨害する
○
○ ○ ○ ○
2 フラグメントパケットの先頭パケットのみを⼤量に送付し通信を妨害する
○
○ ○ ○ ○
3 PAD1オプションを⼤量に指定したパケットを⼤量に送付し通信を妨害する
○
○ ○ ○ ○
4 アドレスを詐称したNAをルータに送付してトラフィックを妨害する
○
○
○
○
○
5 詐称したRAをルータに送付してトラフィックを妨害する
6 オーバーラップしたフラグメントパケットを送付することでファイアウォールを無効化する
○
○
○
7 RH0を使⽤したパケットを⼤量に送信してトラフィックを妨害する
○
○
○
8 詐称したICMPv6リダイレクトを送信してユーザトラフィックを攻撃ノードに誘導する
○ ○ ○ ○
9 詐称したICMPv6リダイレクトを送信してユーザトラフィックを妨害する
○ ○ ○ ○
10 詐称したRAを送信してユーザトラフィックを攻撃ノードに誘導する
○ ○ ○ ○
11 詐称したRAを送信してユーザトラフィックを妨害する
○ ○ ○ ○
12 OSPFv3パケットを⼤量に送付してLSA DBをオーバーフローさせ、ユーザトラフィックを妨害する
○
○
DADに対してNAを返し続けることによりユザノドのIP 6アドレス取得を妨害する
13 DADに対してNAを返し続けることによりユーザーノードのIPv6アドレス取得を妨害する
○
○ ○ ○ ○
14 DADに対してDADを返し続けることによりユーザーノードのIPv6アドレス取得を妨害する
○
○ ○ ○ ○
15 複数のアドレスを使⽤したSCTPのアソシエーションでExploitコードを送信しIDSを回避する
○ ○
×
16 マルチキャストパケットを⽤いて、ネットワーク内から特定機能を持つノードを取得する
○
○ ○ ？
送信元を詐称したマルチキャストパケットを送信しパケットの増幅攻撃を⾏う
17 送信元を詐称したマルチキャストパケットを送信し、パケットの増幅攻撃を⾏う
○
○
○ ○
18 多量のNS・NAを発⽣させて、ルータのNeighbor Cacheを溢れさせる
○
○
○
19 DHCPv6サーバから虚偽の情報を送付することによる中間者攻撃
○ ○ ○
20 ⼤量のDHCPv6 Solicateメッセージを送信し、DHCPv6サービスを停⽌させる
○ ○ ○
によるアドレス取得を実施し、DHCPv6サービスのアドレスプールを枯渇させる
ビスのアドレスプルを枯渇させる
21 ⼤量のDHCPv6 によるアドレス取得を実施し、DHCPv6サ
○ ○ ○
22 P2Pリンクを使⽤した増幅攻撃を⾏う
○
○
23 6to4ルータを経由して送信元アドレスを詐称したDoS攻撃を実施する
○
○
○ ○
×
24 Exploitコードを6to4トンネル経由で送付することによりIDSを回避する
25 Windowsの脆弱性攻撃をIPv6を使⽤して攻撃する
26 thc-ipv6を使った攻撃（MTU縮⼩）を実施する
○ ○ ○
○
○ ○ ×
27 マルチキャストルーティングデーモンに対してDoSを⾏う
○
○
28 詐称したMLD listener doneを使⽤してマルチキャストストリームを強制的に切断する
○
○
29 IPv6 通信を⽤いてリモートエクスプロイト攻撃を⾏う
○
20
３．IPv6技術検証協議会の活動
３
IPv6技術検証協議会の活動
―検証結果のまとめ―
21
検証結果の概要
検証対象外
シナリオ, 5
検証対象
シナリオ, 24
全 29 シナリオ
(うち 24 シナリオが実施対象に)
一部機器で
攻撃成功, 13
全機器で
攻撃成
全機器で攻功, 5
撃失敗, 6
実施 24 シナリオの
検証結果の内訳
22
対象機器の全てで攻撃が失敗したシナリオ (1)
一部機器で攻撃成功, 機
,
13
検証対象外
シナリオ, 5
検証対象
シナリオ, 24
全機器で攻
撃成功, 5
全機器で攻
撃失敗, 6
• 全ての機器で攻撃が失敗したシナリオ（6つ）
–
–
–
–
–
–
特殊な経路情報（RH0：Routing Header Type 0）を使用したパケットを大量に送信してトラフィックを妨
害する
不正なジャンボペイロードオプションを指定したパケットを大量に送付し通信を妨害する
オーバーラップしたフラグメントパケットを送付することでファイアウォールを無効化する
詐称した
詐称したICMPv6リダイレクトを送信してユーザトラフィックを攻撃ノードに誘導する
リダイクトを送信して
ザトラィックを攻撃
ド誘導する
詐称したICMPv6リダイレクトを送信してユーザトラフィックを妨害する
マルチキャストルーティングデーモンに対してDoSを行う
• 原因：RFC*によって既に無効とされている
原因：RFC によって既に無効とされている、または実装や運用
または実装や運用
によって回避可能なシナリオであったため
*RFC（Request For Comments）：インターネットの通信規約等の仕様文書
23
対象機器の全てで攻撃が失敗したシナリオ (2)
 特殊な経路情報（RH0
特殊な経路情報（RH0：Routing
R ti
H
Header
d T
Type 0）を使用したパケットを大
0）を使用したパケトを大
量に送信してトラフィックを妨害する

Y
B
攻撃ノードXから境界ルータに、RH0ヘッダを使用したパケットを大量に送信する
想定される攻撃の効果


X
攻撃概要


A
RH0ヘッダを使用したパケットが、攻撃ノードXと境界ルータの間を往復し続けるこ
とで通信の帯域を占領し、正常な通信を妨害する
考察

RH0 は RFC5095 において無効化するよう標準化されているが、今回の検証では
において無効化するよう標準化されているが今回の検証では
評価対象となったすべてのシステムがこの RFC に準拠していることが確認された
24
対象機器の全てで攻撃が成立したシナリオ (1)
検証対象外
シナリオ, 5
•
2 種類以上のシステムを対象に実施されたシナリオのうち、すべてのシステム
において攻撃が成立したシナリオ（5つ）
–
–
–
–
–
•
検証対象
シナリオ, 24
一部機器で攻撃成
功, 13
全機器で攻
撃成功 5
撃成功, 5
全機器で攻
撃失敗, 6
送信元を詐称したマルチキャストパケットを送信し、パケットの増幅攻撃を行う
詐称した経路情報を送信してユーザトラフィックを攻撃ノードに誘導する
アドレスを詐称した隣接情報をルータに送付してトラフィックを妨害する
アドレスを詐称した隣接情報をル
タに送付してトラフィックを妨害する
詐称した経路情報を送信してユーザトラフィックを妨害する
DHCPv6 サーバから虚偽の情報を送付することによる中間者攻撃
原因 RFC に準拠して正しく実装されていれば必ず攻撃が成立
原因：RFC
25
対象機器の全てで攻撃が成立したシナリオ (2)
 送信元を詐称した同報通信用のパケ
送信元を詐称した同報通信用のパケット（マルチキャストパケット）を送信し、
ト（マルチキャストパケト）を送信し
パケットの増幅攻撃を行う
送信元
Y

攻撃概要


攻撃ノードYから送信元アドレスをユーザーノードBに詐称した、不正なヘッダを持つマ
ルチキャストパケット (ff02::1 宛) を送信する。
想定される攻撃の効果


B
マルチキャストパケットに対する大量のICMP エラーメッセージ(ICMP Parameter
Problem) がユーザーノードBに送信される
考察

ローカルの全てのノード宛(ff02::1) のマルチキャストパケットの処理についてはRFC
において規定されている。それぞれの機器は RFC に準拠した機能を実装している
が、結果的にこれが攻撃の成立に繋がっている。
26
対象機器の全てで攻撃が成立したシナリオ (3)
 詐称した経路情報 (RA：Router
(RA R t Advertisment)
Ad
ti
t) を送信してユーザトラ
を送信してユザトラ
フィックを攻撃ノードに誘導する
ユーザー
ノドA
ノードA
境界ルータ
正常な通信経路
RAにより誘導された通信経路
攻撃
ノードY



デフォルトルータとして
攻撃ノードYを指定
ユーザー
ノードB
攻撃概要
 攻撃ノードYが、デフォルトルータとして攻撃ノードYを指定したRAをユーザーノード
Bに送付する
想定される攻撃の効果
 ユーザーノードB（例：エンドユーザーのPC）からユーザーノードA（例えば、Web
サーバ）へのパケットが攻撃ノードYを経由するため、攻撃者がパケットを盗聴・改
ざん可能になる
考察
 本攻撃が行われてもユーザーノードAとBが通信可能であり、攻撃を検知し難い。
また、暗号化されていない通信が盗聴されるリスクは、IPv4にも存在する。
27
一部の機器で攻撃が成立したシナリオ (1)
検証対象外
シナリオ, 5
検証対象
シナリオ, 24
一部機器で攻撃
成功, 13
全機器で攻撃
成功, 5
成
,
全機器で攻撃失
敗, 6
• 検証対象シナリオのうち 1 つ以上のシステムで攻撃が成立
し、かつそれ以外のシステムで攻撃が失敗したもの
 一部の機器で成功した攻撃シナリオ（12個）
– 小さく分割されたパケット（フラグメントパケット）の先頭パケットのみを大量に
送付し通信を妨害する
– 大量のDHCPv6 によるアドレス取得を実施し、DHCPv6サービスのアドレス
プールを枯渇させる
28
– など
一部の機器で攻撃が成立したシナリオ (2)
 小さく分割されたパケット（フラグメントパケット）の先頭パケットのみを大量に送付し通
信を妨害する



A
X
Y
B
攻撃概要
 攻撃ノードXからユーザーノードBにフラグメントパケットの先頭パケットを大量に送信
想定される攻撃効果
想定される攻撃の効果
 ユーザーノードBが誤動作を引き起こす
考察
 攻撃により、3 社中2 社の機器では、システムの再起動や、パケット（HTTPトラフィッ
ク）送受信能陥た
ク）の送受信不能に陥った。
 フラグメントパケットから元のパケットを復元するために、各フラグメントパケットをメモ
リに保持し続けた結果、CPUやメモリ資源が枯渇したと考えられる
29
４．脅威への対策手法の検討
30
Rate Limit による対策 (1)
 小さく分割されたパケット（フラグメントパケット）の先頭パケットのみを大
量に送付し通信を妨害する
A
Y
X
B
 対策案
 案１）単一のホストから受信するフラグメントパケットの数に上限（Rate
Limit）を設定する（例えば、単位時間あたり最大1,000パケットとする）。
 案２）単一のホストから大量にフラグメントパケットの先頭パケットを受信し
た場合、それらを不正なパケットであると判定するロジックを導入する。
31
Rate Limit による対策 (2)
 送信元を詐称したマルチキャストパケットを送信し、パケットの増幅攻撃を行う
送信元を詐称したマルチキャストパケトを送信しパケトの増幅攻撃を行う
送信元
Y
B
 攻撃の特徴
 マルチキャストパケットを受信した各ノードがそれぞれエラーメッセージを
返信することで、攻撃対象となったユーザーノードBに大量のパケットが
攻撃対象となたユザノドBに大量のパケトが
届く。
 対策案
 ICMP に対する Rate
R t Li
Limit
it を設定することにより、返答の頻度を制限
を設定することにより返答の頻度を制限
する。
32
SeND、RA Guard による対策
 詐称した経路情報（RA
詐称した経路情報（RA：Router
R t Advertisment）を送信してユーザトラフィック
Ad ti
t）を送信してユザトラフィク
を攻撃ノードに誘導する
ユーザー
ノードA
境界ルータ
境界ル
タ
正常な通信経路
RAにより誘導された通信経路
攻撃
ノードY
デフォルトルータとして
攻撃ノドYを指定
攻撃ノードYを指定
ユーザー
ノードB

攻撃の特徴

 パケットが攻撃ノードYを経由するような不正な経路情報（RA）を攻撃対象に送付
ケットが攻撃
ドを経由するような不正な経路情報（）を攻撃対象に送付
対策案

RA を悪用した攻撃については、SeND（Secure Neighbor Discovery：RAルータ認
証,, RFC3971）、RA Guard ((RFC6105)) を用いて正規のルータのみしか RA を広告
できないことをL2 レベルで担保することが有効
33
対策手法のまとめ
• 不正な経路情報による攻撃（Neighbor Discovery Protocol
の悪用）
– 対策）SeND
対策）S ND (RFC3971)に対応した機器の導入
– 対策）RA Guard（RFC6105）に対応した機器の導入
• DoS系の攻撃
– 対策）特定のパケット ((ICMP multicast など)) に Rate Limit を設定
– 対策）特定のパケットを破棄
• 特殊な通信路を用いた攻撃
– 対策）カプセル化を解除した上で検査を行う
– 対策）SCTP（Stream
対策）SCTP（St
Control
C t lT
Transmission
i i P
Protocol）では適切に
t
l）では適切に
セッションを再構成した上で検査を行う
※ ただし、通信路が暗号化されている場合には、別の対策が必要
34
５．IPv6 導入における留意点
35
ネットワーク管理者が意識すべき点
「IPv6 対応」 ≠ 「IPv6 への移行」
• IPv4 ネットワークが直ぐになくなるわけではない
（対外接続しないネットワーク等では、IPv4のまま使用される可能性がある）
• 既存の IPv4 ネットワークに
IP 4 ネトワクに IPv6 ネットワークを追加して運用
IP 6 ネトワクを追加して運用
• 二重のネットワーク運用
二重のネットワク運用
• ３つの視点での考慮が必要
• IPv4 ネットワーク
• IPv6 ネットワーク
IPv6 ネットワク
• デュアルスタック・ネットワーク（IPv4とIPv6の両方に対応）
• IPv4 だけのネットワーク運用との相違点を把握することが重要
36
IPv6 導入の検討にあたって
• 現状の IPv6 ではセキュリティに関する考慮が不十分
–
–
–
–
基本的に IPv4 と同様の課題を IPv6 は持っている
IP 6 の仕様の理解と IPv4
IPv6
IP 4 との相違を把握することが重要
特に、デュアルスタックでの挙動の理解が重要
IPv4のみのネットワークでも
IPv4のみのネットワ
クでも IPv6 対応 OS が存在
IPv4
IPv4
IPv6
IP 6
IPv6
長期的なIPv6導入の流れ
37
６．おわりに
38
おわりに
• IPv4
IP 4 アドレスの枯渇
ド
の枯渇
– IPv6の導入は避けられない状況に
• IPv6 環境のセキュリティ対策は万全？
– 自動設定機構に起因する経路詐称などが非常に容易に
– 膨大なアドレス数を処理できずネットワーク機器が機能不全に
– IPv4 時代のセキュリティ対策を根本的に見直す必要あり
• IPv6 技術検証協議会の今後の取り組み
– 実証実験を通じて会員企業のＩＰ
実証実験を通じて会員企業のＩＰｖ６のセキュリティ対策技術の
６のセキリティ対策技術の
検証を継続
– 既知、未知の幅広のセキュリティ上の脅威の検証
– 具体的な対策の導出とその技術検証
IPv6 技術検証協議会
IPv6技術検証協議会について
• IPv6 技術検証協議会では、検証作業の結果に基づき、
適切な形での外部の情報公開を検討中
適切な形での外部への情報公開を検討中
– 他団体との検証連携、および成果物の共有
– 成果に基づく IPv6 環境構築のガイドライン発行、標準化
環境構築のガイドライン発行標準化
• 協議会へのお問い合わせ先：
協議会へのお問い合わせ先
 IPv6技術検証協議会事務局
[email protected]