Download presentation
Presentation is loading. Please wait.
1
IPv6 Update SUZUKI, Shinsuke Hitachi, Ltd. / KAME Project suz@crl.hitachi.co.jp
2
Copyright(c)2003 All rights reserved, Hitachi, Ltd.2 Abstract zIETF における IPv6 関連動向の最新状況 y 基本仕様 y 経路制御 yDNS 関連 yIPv4→IPv6 移行 y セキュリティ関連
3
Copyright(c)2003 All rights reserved, Hitachi, Ltd.3 基本仕様 zSite-Local Address zPrefix Delegation zRFC2461bis, 2462bis zRouter Renumbering zMobile-IPv6
4
Copyright(c)2003 All rights reserved, Hitachi, Ltd.4 Site-local Address の問題 zSite-local address の特徴 y ローカルな使用 OK (192.168.0.0/16) y サイト境界ルータは、異なるサイトのアドレスを別物扱 い xe.g. FEC0::1%site1 and FEC0::1%site2 z 課題 y 重複するため、運用上不便 x 例. 2 つのネットワークを統合したら、両方 fec0:1:2::/48 を使って いた y サイト境界ルータは厄介者 x ベンダー、オペレータ、標準化
5
Copyright(c)2003 All rights reserved, Hitachi, Ltd.5 Site-local Address の見直し z 現状の Site-local を廃止して、新しい策を考える y 「サイト境界」は廃止するが、一意性とローカル使用は認める。 zGlobal-Unique Local Address (FC00::/7) ローカル使用 OK な、一意性のあるアドレス x2 40 個の /48 インターネットへ広告してはならない y2 種類 xFC00::/8= レジストリ経由でアサイン xFD00::/8= レジストリなしにアサイン z 標準化 ySite-local Address を廃止すること →WG Last call yGlobal-Unique Local Address→ まだ議論中 1111 110MD5-hashSLAInterface-ID0/1 7 bit40 bit 16 bit 64 bit
6
Copyright(c)2003 All rights reserved, Hitachi, Ltd.6 FC00::/7 の残課題 zIPv6-NAT が必要になる ? y グローバルアドレスと FC00::/7 の併用で十分ではないか ? zSource address selection yLongest-match algorithm (RFC3484) で十分ではないか ? zDNS サーバ yIPv4 プライベートアドレス同様、内向け DNS と外向け DNS とを分け る必要あり zWell-known address? y 例. DNS server address zFC00::/8 を配布する「レジストリ」とは ? z2 40 個で本当に十分 ?
7
Copyright(c)2003 All rights reserved, Hitachi, Ltd.7 Prefix Delegation ( 概要 ) z 特に SOHO Router 向けの Plug & Play z プロトコルを使って、プレフィックスを上流か ら下流へ自動的に通達 PC SOHO Router 自動的にプレフィックス貸与 ( 通常 /48) ISP Router RA でアドレ ス設定 (/64) PC へ配布するプレフィックスを選択
8
Copyright(c)2003 All rights reserved, Hitachi, Ltd.8 Prefix Delegation ( 状況 ) z 標準化 : ほぼ完了 y コンセプト / 要求事項 : IESG レビュー中 y プロトコル : いろいろあるが、 DHCPv6-PD がメジャー xIPv4 DHCP とは異なり、 IPv6 アドレスは配らない xDHCPv6 プロトコルの枠組を流用して、 IPv6 プレフィックスを 配布 x 他の情報 (e.g. DNS サーバ ) も同時に配布可能 xRFC として承認済。正式な DHCP オプション番号も割当済。
9
Copyright(c)2003 All rights reserved, Hitachi, Ltd.9 Prefix Delegation ( 実装 ) z 実装 yCPE 側 x6Wind, Allied-Telesis, Cisco, IIJ, KAME, NEC, USAGI, Yamaha yPE 側 Cisco, 富士通, 日立, KAME, NEC, USAGI z 相互接続試験も多数行われている yTAHI, Connectathon, IPv6 Showcase, DHCPv6- Interop z 一部の ISP で運用試験中
10
Copyright(c)2003 All rights reserved, Hitachi, Ltd.10 RFC2461bis, 2462bis z 課題 yNDP, RA を使ってみると、いろいろ不便な点が ある xdefault route がないとき、全てのアドレスは onlink yNDP, RA を作ってみると、仕様が不明確な点も ある x セキュリティ面 x モバイル IPv6 との関連 x その他諸々 (valid-lifetime > preferred-lifetime) z 状況 ICMPv6 の仕様修正作業中 実装者には楽になる方向な修正 ユーザにも便利になる方向の修正
11
Copyright(c)2003 All rights reserved, Hitachi, Ltd.11 Router Renumbering z 概要 yRouter Renumbering プロトコル (RFC2894) は、 現実に 役に立つ ? z 状況 y あまり役に立たない x アプリに埋め込まれた IPv6 アドレスを書き換えられない DNS レコード パケットフィルタ IPv4/v6 トランスレータ 組み込みアプリ (e.g. OS のインストーラ ) y ある X-day に一気に renumbering しなくてもよい x 旧プレフィックスと新プレフィックスを共存させながら、手 動で renumbering する手順を明確化
12
Copyright(c)2003 All rights reserved, Hitachi, Ltd.12 Router Renumbering (cont.) z4 ステップの手動動作による Renumbering 手順 1. 新しいアドレスをネットワーク上のルータに設定 x 古いアドレスも継続使用 2. アプリケーションを新しいアドレスで動かす x 古いアドレスでも動くようにしたまま e.g. DNS レコードに新しいアドレスを設定 3. アプリケーションを古いアプリで動かなくする e.g. 古いアドレスの DNS レコードを削除 4. 古いアドレスをネットワーク上のルータから削除 z 参考 ydraft-baker-ipv6-renumber-procedure-01.txt
13
Copyright(c)2003 All rights reserved, Hitachi, Ltd.13 Mobile-IPv6 z 現状 y 基本仕様は RFC 化承認済 xRFC 発行待ち xICMPv6 オプション番号も正式割当済 y 実運用上の課題を検討中 x 高速ハンドオーバ x ホームプレフィックスの自動割当方法 xIPsec との相性
14
Copyright(c)2003 All rights reserved, Hitachi, Ltd.14 経路制御関連 z 概要 z マルチホーム
15
Copyright(c)2003 All rights reserved, Hitachi, Ltd.15 経路制御プロトコル全般 zIPv6 固有なプロトコル課題は稀 yIPv6 でプロトコル課題が見つかったら、大抵同じ課 題が IPv4 にもある z 「複数のプロトコルを同時に扱う」という点で の課題はいくつかある y ベンダー向けの課題 y オペレータはほとんど気にする必要はない
16
Copyright(c)2003 All rights reserved, Hitachi, Ltd.16 マルチホーム z 概要 y あるサイトが複数の上流 ISP とつなぎたいときには、ど うすればいいのか ? x1. AS 番号を取得して、 E-BGP 運用 x2. 各 ISP からプレフィックスを取得し、宛先に応じて適切なソ ースアドレスを選択 y 今の IPv4 の流儀でマルチホームをしたとして、経路表 エントリ数は多くなりすぎないか ? z 状況 yMulti6 WG で議論中 x マルチホームをするにあたっての要求事項を整理 Locator/Identifier の分離 モビリティを考慮するか否か x それに基づき様々な提案を分析
17
Copyright(c)2003 All rights reserved, Hitachi, Ltd.17 DNS 関連の課題 zDNS サーバ検出 zAAAA vs A6 zip6.int vs ip6.arpa zPTR record の使い方 IPv6 問合せ処理の典型的なバグ
18
Copyright(c)2003 All rights reserved, Hitachi, Ltd.18 DNS サーバ検出 ( 概要 ) zRA では IPv6 アドレス以外の情報を自動設定不能 ye.g. DNS server, NTP server,... z 特に DNS 関連は、 IPv6 アドレス長を考えると大 切 yDNS サーバアドレス yDNS ドメインサーチパス zDNSOP WG で議論中
19
Copyright(c)2003 All rights reserved, Hitachi, Ltd.19 DNS サーバ検出 ( 現状 ) z3 種類の候補 ywell-known な固定アドレス x 具体的なアドレスは未定 yRA 拡張 ystateless DHCPv6 z どうするかは未定 y1 候補に絞る ? y 複数候補使い、使い分ける ? z 主な課題 yDNS サーバアドレス更新方法 y 複数サーバ存在時の挙動 y 他の DNS サーバ自動設定 (e.g. DHCPv4) との競合 PCRouter RA 返答 (新 NDP オプション付 ) PCRouter DHCPv6 Reply (DNS サーバオプション付 ) DHCPv6 Information-Request DNS サーバアドレス = 新 NDP オプション内の アドレス DNS サーバアドレス =DNS サーバオプションのアドレス RS 送信
20
Copyright(c)2003 All rights reserved, Hitachi, Ltd.20 AAAA vs A6 z 概要 y2 種類の DNS レコードが存在 xAAAA: A レコードを IPv6 向けに単純拡張 xA6: Router Renumbering を考慮した IPv6 レコード z 結論 y 通常運用では AAAA のみ使う yRenumbering は運用でカバー
21
Copyright(c)2003 All rights reserved, Hitachi, Ltd.21 ip6.int vs ip6.arpa z 概要 y かつては、 IPv6 逆引きレコード =“ip6.int” y“ip6.int” は国際 TLD として予約された z 現状 y“ip6.arpa” を用いる x2001::/16 については、 “ip6.arpa” を使用 x3ffe::/16 は、 “ip6.int” を使用 “ip6.arpa” 導入は計画中 z 参考 draft-ymbk-6bone-arpa-delegation-01.txt
22
Copyright(c)2003 All rights reserved, Hitachi, Ltd.22 逆引きレコードの使い方 zDNS の逆引きレコードを認証に使うアプリ・プロ トコルが存在 y ソースアドレスの逆引きレコードがあれば、信頼できる z 本当に実用的 ? y 全ての IPv6 アドレスが逆引き登録されるわけではない xLink-local アドレス xRA で生成された IPv6 アドレス xPrivacy address extension y 単にアドレスから名前を引きたいだけならば、 ICMPv6 でも実現可能 (Node-Information-Query)
23
Copyright(c)2003 All rights reserved, Hitachi, Ltd.23 IPv6 問合せ処理の典型的バグ z 概要 yDNS サーバが IPv6 レコード問合せを処理する ときの典型的なバグをリストアップ : x(IPv6 レコードの有無にかかわらず )IPv4 レコード がなければ、常に「エントリなし」エラーを返す xIPv6 アドレス問合せを無視する xA レコードで IPv6 アドレスを答える z 参考 draft-morishita-dnsop-misbehavior-against-aaaa- 00.txt
24
Copyright(c)2003 All rights reserved, Hitachi, Ltd.24 移行メカニズムの課題 z 分類 z 課題 zv6ops WG
25
Copyright(c)2003 All rights reserved, Hitachi, Ltd.25 移行メカニズムの分類 zTunnel ベース y トンネルセッションプロトコル xDTCP, TSP y 自動トンネルプロトコル x6to4, ISATAP, Teredo, DSTM zTranslator ベース yNAT-PT, SIIT, FAITH zProxy ベース y アプリケーションレベルゲートウェイ (HTTP proxy, SMTP gateway など )
26
Copyright(c)2003 All rights reserved, Hitachi, Ltd.26 課題 z 完全なメカニズムは存在しない yTunnel ベース xIPv6 network topology IPv4 network topology xIPv4 アドレス必須 i.e. IPv4 アドレス不足の根本解ではない xNAT 経由では動かない (Teredo は唯一の例外だが、複雑すぎ ) yTranslator ベース xIPv4→IPv6 変換は困難 x アプリケーションデータ内に埋め込まれたアドレスは変換不 能 link yProxy ベース x 特定のプロトコルについてしか動かない z 結局何をいつ使えばいい ?
27
Copyright(c)2003 All rights reserved, Hitachi, Ltd.27 V6ops WG z 概要 y 適用場面ごとに、移行に必要な技術要素を解析 x 携帯 xISP xUnmanaged( 家庭 /SOHO ネットワーク ) xManaged( 企業 / エンタープライズネットワーク ) z 現状 y 具体的なソリューションの議論は、上記解析が済んで から x 現在は解析を進めている段階 z 参考 v6ops WG xhttp://www.6bone.net/v6ops yIssue Tracker https://rt.psg.com/ (id=ietf/passwd=ietf)
28
Copyright(c)2003 All rights reserved, Hitachi, Ltd.28 セキュリティ関連の課題 zSecuring Neighbor Discovery z 自動トンネルのセキュリティ課題 zIPv6 Firewall Architecture
29
Copyright(c)2003 All rights reserved, Hitachi, Ltd.29 Securing Neighbor Discovery z 概要 yPlug & Play は不正ネットワーク使用につながりうる xNA spoofing による、偽 NDP キャッシュ生成 xRA spoofing による、誤った RA 広告 z 現状 yCGA (Cryptographically-Generated Address) x 公開鍵のハッシュから生成されたリンクローカルアドレスを用いて NDP 通信 xSEND WG で議論中 yL2 認証 xPAP/CHAP (PPP), 802.1x (Ethernet)... z 参考 ydraft-ietf-send-psreq-04.txt ydraft-ietf-send-cga-02.txt
30
Copyright(c)2003 All rights reserved, Hitachi, Ltd.30 自動トンネルのセキュリティ課題 z 概要 y 自動トンネル (e.g. 6to4) xIPv6 アドレスに埋め込まれた IPv4 アドレスを、 IPv6 over IPv4 トンネリングに使用 y 自動トンネルリレーを悪用すると、攻撃も可能 xSource spoofing xIPv4/v6 DoS attack z 現状 y 起こりうる攻撃とその対策の分析 参考 ydraft-ietf-v6ops-6to4-security-00.txt
31
Copyright(c)2003 All rights reserved, Hitachi, Ltd.31 IPv6 Firewall Architecture z2 種類の課題 yIPv6 プロトコル由来の課題 x 数珠繋ぎの拡張ヘッダスキャン, Privacy Address Extension... y‘End-to-End’ 通信との相性の悪さ xIPsec, P2P... z 現状 y 問題点の洗い出しを開始 y 具体的な方策については未定 x 本当に IPv6WG や v6ops WG で行うべき仕事 ? z 参考 ydraft-savola-v6ops-firewalling-02.txt
32
Copyright(c)2003 All rights reserved, Hitachi, Ltd.32 まとめ IETF における IPv6 関連動向の最新状況 z 基本仕様 yICMPv6, RA などの仕様の不明点の明確化 z 経路制御関連 y マルチホーム関連の議論方針で紛糾中 zDNS 関連 yDNS サーバ検出方法の標準化がホットトピック zIPv4→IPv6 移行 y どの移行技術をどの場面で使うかの整理中 z セキュリティ関連 y プロトコル別のセキュリティ課題の洗い出し中
Similar presentations
© 2024 slidesplayer.net Inc.
All rights reserved.