Presentation is loading. Please wait.

Presentation is loading. Please wait.

IPv6 Update SUZUKI, Shinsuke Hitachi, Ltd. / KAME Project

Similar presentations


Presentation on theme: "IPv6 Update SUZUKI, Shinsuke Hitachi, Ltd. / KAME Project"— Presentation transcript:

1 IPv6 Update SUZUKI, Shinsuke Hitachi, Ltd. / KAME Project suz@crl.hitachi.co.jp

2 Copyright(c)2003 All rights reserved, Hitachi, Ltd.2 Abstract zIETF における IPv6 関連動向の最新状況 y 基本仕様 y 経路制御 yDNS 関連 yIPv4→IPv6 移行 y セキュリティ関連

3 Copyright(c)2003 All rights reserved, Hitachi, Ltd.3 基本仕様 zSite-Local Address zPrefix Delegation zRFC2461bis, 2462bis zRouter Renumbering zMobile-IPv6

4 Copyright(c)2003 All rights reserved, Hitachi, Ltd.4 Site-local Address の問題 zSite-local address の特徴 y ローカルな使用 OK (192.168.0.0/16) y サイト境界ルータは、異なるサイトのアドレスを別物扱 い xe.g. FEC0::1%site1 and FEC0::1%site2 z 課題 y 重複するため、運用上不便 x 例. 2 つのネットワークを統合したら、両方 fec0:1:2::/48 を使って いた y サイト境界ルータは厄介者 x ベンダー、オペレータ、標準化

5 Copyright(c)2003 All rights reserved, Hitachi, Ltd.5 Site-local Address の見直し z 現状の Site-local を廃止して、新しい策を考える y 「サイト境界」は廃止するが、一意性とローカル使用は認める。 zGlobal-Unique Local Address (FC00::/7)  ローカル使用 OK な、一意性のあるアドレス x2 40 個の /48  インターネットへ広告してはならない y2 種類 xFC00::/8= レジストリ経由でアサイン xFD00::/8= レジストリなしにアサイン z 標準化 ySite-local Address を廃止すること →WG Last call yGlobal-Unique Local Address→ まだ議論中 1111 110MD5-hashSLAInterface-ID0/1 7 bit40 bit 16 bit 64 bit

6 Copyright(c)2003 All rights reserved, Hitachi, Ltd.6 FC00::/7 の残課題 zIPv6-NAT が必要になる ? y グローバルアドレスと FC00::/7 の併用で十分ではないか ? zSource address selection yLongest-match algorithm (RFC3484) で十分ではないか ? zDNS サーバ yIPv4 プライベートアドレス同様、内向け DNS と外向け DNS とを分け る必要あり zWell-known address? y 例. DNS server address zFC00::/8 を配布する「レジストリ」とは ? z2 40 個で本当に十分 ?

7 Copyright(c)2003 All rights reserved, Hitachi, Ltd.7 Prefix Delegation ( 概要 ) z 特に SOHO Router 向けの Plug & Play z プロトコルを使って、プレフィックスを上流か ら下流へ自動的に通達 PC SOHO Router 自動的にプレフィックス貸与 ( 通常 /48) ISP Router RA でアドレ ス設定 (/64) PC へ配布するプレフィックスを選択

8 Copyright(c)2003 All rights reserved, Hitachi, Ltd.8 Prefix Delegation ( 状況 ) z 標準化 : ほぼ完了 y コンセプト / 要求事項 : IESG レビュー中 y プロトコル : いろいろあるが、 DHCPv6-PD がメジャー xIPv4 DHCP とは異なり、 IPv6 アドレスは配らない xDHCPv6 プロトコルの枠組を流用して、 IPv6 プレフィックスを 配布 x 他の情報 (e.g. DNS サーバ ) も同時に配布可能 xRFC として承認済。正式な DHCP オプション番号も割当済。

9 Copyright(c)2003 All rights reserved, Hitachi, Ltd.9 Prefix Delegation ( 実装 ) z 実装 yCPE 側 x6Wind, Allied-Telesis, Cisco, IIJ, KAME, NEC, USAGI, Yamaha yPE 側  Cisco, 富士通, 日立, KAME, NEC, USAGI z 相互接続試験も多数行われている yTAHI, Connectathon, IPv6 Showcase, DHCPv6- Interop z 一部の ISP で運用試験中

10 Copyright(c)2003 All rights reserved, Hitachi, Ltd.10 RFC2461bis, 2462bis z 課題 yNDP, RA を使ってみると、いろいろ不便な点が ある xdefault route がないとき、全てのアドレスは onlink yNDP, RA を作ってみると、仕様が不明確な点も ある x セキュリティ面 x モバイル IPv6 との関連 x その他諸々 (valid-lifetime > preferred-lifetime) z 状況  ICMPv6 の仕様修正作業中  実装者には楽になる方向な修正  ユーザにも便利になる方向の修正

11 Copyright(c)2003 All rights reserved, Hitachi, Ltd.11 Router Renumbering z 概要 yRouter Renumbering プロトコル (RFC2894) は、 現実に 役に立つ ? z 状況 y あまり役に立たない x アプリに埋め込まれた IPv6 アドレスを書き換えられない DNS レコード パケットフィルタ IPv4/v6 トランスレータ 組み込みアプリ (e.g. OS のインストーラ ) y ある X-day に一気に renumbering しなくてもよい x 旧プレフィックスと新プレフィックスを共存させながら、手 動で renumbering する手順を明確化

12 Copyright(c)2003 All rights reserved, Hitachi, Ltd.12 Router Renumbering (cont.) z4 ステップの手動動作による Renumbering 手順 1. 新しいアドレスをネットワーク上のルータに設定 x 古いアドレスも継続使用 2. アプリケーションを新しいアドレスで動かす x 古いアドレスでも動くようにしたまま e.g. DNS レコードに新しいアドレスを設定 3. アプリケーションを古いアプリで動かなくする e.g. 古いアドレスの DNS レコードを削除 4. 古いアドレスをネットワーク上のルータから削除 z 参考 ydraft-baker-ipv6-renumber-procedure-01.txt

13 Copyright(c)2003 All rights reserved, Hitachi, Ltd.13 Mobile-IPv6 z 現状 y 基本仕様は RFC 化承認済 xRFC 発行待ち xICMPv6 オプション番号も正式割当済 y 実運用上の課題を検討中 x 高速ハンドオーバ x ホームプレフィックスの自動割当方法 xIPsec との相性

14 Copyright(c)2003 All rights reserved, Hitachi, Ltd.14 経路制御関連 z 概要 z マルチホーム

15 Copyright(c)2003 All rights reserved, Hitachi, Ltd.15 経路制御プロトコル全般 zIPv6 固有なプロトコル課題は稀 yIPv6 でプロトコル課題が見つかったら、大抵同じ課 題が IPv4 にもある z 「複数のプロトコルを同時に扱う」という点で の課題はいくつかある y ベンダー向けの課題 y オペレータはほとんど気にする必要はない

16 Copyright(c)2003 All rights reserved, Hitachi, Ltd.16 マルチホーム z 概要 y あるサイトが複数の上流 ISP とつなぎたいときには、ど うすればいいのか ? x1. AS 番号を取得して、 E-BGP 運用 x2. 各 ISP からプレフィックスを取得し、宛先に応じて適切なソ ースアドレスを選択 y 今の IPv4 の流儀でマルチホームをしたとして、経路表 エントリ数は多くなりすぎないか ? z 状況 yMulti6 WG で議論中 x マルチホームをするにあたっての要求事項を整理 Locator/Identifier の分離 モビリティを考慮するか否か x それに基づき様々な提案を分析

17 Copyright(c)2003 All rights reserved, Hitachi, Ltd.17 DNS 関連の課題 zDNS サーバ検出 zAAAA vs A6 zip6.int vs ip6.arpa zPTR record の使い方  IPv6 問合せ処理の典型的なバグ

18 Copyright(c)2003 All rights reserved, Hitachi, Ltd.18 DNS サーバ検出 ( 概要 ) zRA では IPv6 アドレス以外の情報を自動設定不能 ye.g. DNS server, NTP server,... z 特に DNS 関連は、 IPv6 アドレス長を考えると大 切 yDNS サーバアドレス yDNS ドメインサーチパス zDNSOP WG で議論中

19 Copyright(c)2003 All rights reserved, Hitachi, Ltd.19 DNS サーバ検出 ( 現状 ) z3 種類の候補 ywell-known な固定アドレス x 具体的なアドレスは未定 yRA 拡張 ystateless DHCPv6 z どうするかは未定 y1 候補に絞る ? y 複数候補使い、使い分ける ? z 主な課題 yDNS サーバアドレス更新方法 y 複数サーバ存在時の挙動 y 他の DNS サーバ自動設定 (e.g. DHCPv4) との競合 PCRouter RA 返答 (新 NDP オプション付 ) PCRouter DHCPv6 Reply (DNS サーバオプション付 ) DHCPv6 Information-Request DNS サーバアドレス = 新 NDP オプション内の アドレス DNS サーバアドレス =DNS サーバオプションのアドレス RS 送信

20 Copyright(c)2003 All rights reserved, Hitachi, Ltd.20 AAAA vs A6 z 概要 y2 種類の DNS レコードが存在 xAAAA: A レコードを IPv6 向けに単純拡張 xA6: Router Renumbering を考慮した IPv6 レコード z 結論 y 通常運用では AAAA のみ使う yRenumbering は運用でカバー

21 Copyright(c)2003 All rights reserved, Hitachi, Ltd.21 ip6.int vs ip6.arpa z 概要 y かつては、 IPv6 逆引きレコード =“ip6.int” y“ip6.int” は国際 TLD として予約された z 現状 y“ip6.arpa” を用いる x2001::/16 については、 “ip6.arpa” を使用 x3ffe::/16 は、 “ip6.int” を使用 “ip6.arpa” 導入は計画中 z 参考  draft-ymbk-6bone-arpa-delegation-01.txt

22 Copyright(c)2003 All rights reserved, Hitachi, Ltd.22 逆引きレコードの使い方 zDNS の逆引きレコードを認証に使うアプリ・プロ トコルが存在 y ソースアドレスの逆引きレコードがあれば、信頼できる z 本当に実用的 ? y 全ての IPv6 アドレスが逆引き登録されるわけではない xLink-local アドレス xRA で生成された IPv6 アドレス xPrivacy address extension y 単にアドレスから名前を引きたいだけならば、 ICMPv6 でも実現可能 (Node-Information-Query)

23 Copyright(c)2003 All rights reserved, Hitachi, Ltd.23 IPv6 問合せ処理の典型的バグ z 概要 yDNS サーバが IPv6 レコード問合せを処理する ときの典型的なバグをリストアップ : x(IPv6 レコードの有無にかかわらず )IPv4 レコード がなければ、常に「エントリなし」エラーを返す xIPv6 アドレス問合せを無視する xA レコードで IPv6 アドレスを答える z 参考  draft-morishita-dnsop-misbehavior-against-aaaa- 00.txt

24 Copyright(c)2003 All rights reserved, Hitachi, Ltd.24 移行メカニズムの課題 z 分類 z 課題 zv6ops WG

25 Copyright(c)2003 All rights reserved, Hitachi, Ltd.25 移行メカニズムの分類 zTunnel ベース y トンネルセッションプロトコル xDTCP, TSP y 自動トンネルプロトコル x6to4, ISATAP, Teredo, DSTM zTranslator ベース yNAT-PT, SIIT, FAITH zProxy ベース y アプリケーションレベルゲートウェイ (HTTP proxy, SMTP gateway など )

26 Copyright(c)2003 All rights reserved, Hitachi, Ltd.26 課題 z 完全なメカニズムは存在しない yTunnel ベース xIPv6 network topology  IPv4 network topology xIPv4 アドレス必須 i.e. IPv4 アドレス不足の根本解ではない xNAT 経由では動かない (Teredo は唯一の例外だが、複雑すぎ ) yTranslator ベース xIPv4→IPv6 変換は困難 x アプリケーションデータ内に埋め込まれたアドレスは変換不 能 link yProxy ベース x 特定のプロトコルについてしか動かない z 結局何をいつ使えばいい ?

27 Copyright(c)2003 All rights reserved, Hitachi, Ltd.27 V6ops WG z 概要 y 適用場面ごとに、移行に必要な技術要素を解析 x 携帯 xISP xUnmanaged( 家庭 /SOHO ネットワーク ) xManaged( 企業 / エンタープライズネットワーク ) z 現状 y 具体的なソリューションの議論は、上記解析が済んで から x 現在は解析を進めている段階 z 参考  v6ops WG xhttp://www.6bone.net/v6ops yIssue Tracker  https://rt.psg.com/ (id=ietf/passwd=ietf)

28 Copyright(c)2003 All rights reserved, Hitachi, Ltd.28 セキュリティ関連の課題 zSecuring Neighbor Discovery z 自動トンネルのセキュリティ課題 zIPv6 Firewall Architecture

29 Copyright(c)2003 All rights reserved, Hitachi, Ltd.29 Securing Neighbor Discovery z 概要 yPlug & Play は不正ネットワーク使用につながりうる xNA spoofing による、偽 NDP キャッシュ生成 xRA spoofing による、誤った RA 広告 z 現状 yCGA (Cryptographically-Generated Address) x 公開鍵のハッシュから生成されたリンクローカルアドレスを用いて NDP 通信 xSEND WG で議論中 yL2 認証 xPAP/CHAP (PPP), 802.1x (Ethernet)... z 参考 ydraft-ietf-send-psreq-04.txt ydraft-ietf-send-cga-02.txt

30 Copyright(c)2003 All rights reserved, Hitachi, Ltd.30 自動トンネルのセキュリティ課題 z 概要 y 自動トンネル (e.g. 6to4) xIPv6 アドレスに埋め込まれた IPv4 アドレスを、 IPv6 over IPv4 トンネリングに使用 y 自動トンネルリレーを悪用すると、攻撃も可能 xSource spoofing xIPv4/v6 DoS attack z 現状 y 起こりうる攻撃とその対策の分析  参考 ydraft-ietf-v6ops-6to4-security-00.txt

31 Copyright(c)2003 All rights reserved, Hitachi, Ltd.31 IPv6 Firewall Architecture z2 種類の課題 yIPv6 プロトコル由来の課題 x 数珠繋ぎの拡張ヘッダスキャン, Privacy Address Extension... y‘End-to-End’ 通信との相性の悪さ xIPsec, P2P... z 現状 y 問題点の洗い出しを開始 y 具体的な方策については未定 x 本当に IPv6WG や v6ops WG で行うべき仕事 ? z 参考 ydraft-savola-v6ops-firewalling-02.txt

32 Copyright(c)2003 All rights reserved, Hitachi, Ltd.32 まとめ IETF における IPv6 関連動向の最新状況 z 基本仕様 yICMPv6, RA などの仕様の不明点の明確化 z 経路制御関連 y マルチホーム関連の議論方針で紛糾中 zDNS 関連 yDNS サーバ検出方法の標準化がホットトピック zIPv4→IPv6 移行 y どの移行技術をどの場面で使うかの整理中 z セキュリティ関連 y プロトコル別のセキュリティ課題の洗い出し中


Download ppt "IPv6 Update SUZUKI, Shinsuke Hitachi, Ltd. / KAME Project"

Similar presentations


Ads by Google