IPv6のフォールバックどころか、そもそもM2Mが問題な件

ネットワーク

IPv6 Dayもが終わり、IPv6への移行も現実味を帯びてきています。その中で話題の中心といえば、IPv6のフォールバック(遅延)の件だと思います。本日、ひとつのニュースが流れ、解決に向けて行動が始まったようです。



■ネット次世代規格 遅延対策へ

http://www3.nhk.or.jp/news/html/20120417/k10014495531000.html


ただ、個人的にはもう一つ問題だと感じていることがあります。それはIPv6の理想、M2M(Machine to Machine)と深く関係している問題です。



IPv6の理想

まず、IPv6の理想論を思い出してみましょう。NATが不要であらゆるものにIPアドレスが割当たってNAT越えのような複雑な技術は労せず、機器同士が直に繋がり合うんだと。そういう世界でしたよね。



http://www.nic.ad.jp/ja/newsletter/No20/sec0700.html


>少なくとも元々のInternetはPeer to Peerを前提としており、サーバ/クライアント型を指向するものではない、ということはいえるでしょう。IPv6によって無尽蔵にグローバルIPアドレ スが使えるのであれば、この原点に回帰できるというわけです。またNATを回避するための技術的な工夫をしなくてすめば、それだけ別のことに注力できてビジネスチャンスも広がろうというものです。



確かに、このように昔は理想に燃えていた時代がありました。しかし、機器同士が直接つながるのであれば、攻撃者からもつながってしまいます。このことは比較的早い段階から、懸念されていました。



http://www.atmarkit.co.jp/fnetwork/tokusyuu/10ipevent/ipevent04.html


IPv6導入で考えられるデメリット
>・NAT/プロキシがなくなることによる、内部ネットワークへの直接攻撃の可能性(外部から内部への攻撃機会の増大)

>・グローバルIPアドレスの固定化による、特定アドレスへの継続的な攻撃可能性

>・グローバルIPアドレスでの常時接続による攻撃機会(時間的)の劇的な増大NAPTなどが持っていたダイナミック・フィルタ的効果の喪失



確かにIPSec等あるから、IPv6では大丈夫という楽観もあったと思うのです。しかし、考えてみると、この懸念を覆すことはかなり難しいと思います。



そして、長い議論の結果が、下記リンクのような形にまとめられています。



IPv6家庭用ルータガイドライン

http://www.v6pc.jp/jp/entry/wg/2010/08/ipv620_2010729.phtml



RFC 6092(Recommended Simple Security Capabilities in Customer Premises Equipment (CPE) for Providing Residential IPv6 Internet Service)

http://www.rfc-editor.org/rfc/rfc6092.txt


これらを読んでいただくとわかりますが、確かにNATは要らなくます。しかし、インターネット側からのアクセスは排除しなくてはいけないという、IPv4時代に獲得した智慧(フィルタリング)に何ら変わりはありません。結局、End to Endで直接通信しようとしても、相手側のフィルタリングに阻まれることになります。機器同士を繋ぐにはホールパンチングや中継サーバーなど、IPv4時代と変わらぬ手口が必要なことに変わりはありません。それが結論です。



ソフトウェア技術者の方はIPv6といえば最初のバラ色のイメージ図が強く刷り込まれていると思いますが、ソフトウェア技術者はIPv6でも解決に至らなかった問題が多く残っていることを理解しておく必要があると思います。



■地雷が設置され続けている現実

さて、一方で現実はどうなっているでしょう?NAT不要を喧伝してきた弊害だと思いますが、市場に投入されている家庭用ルーターIPv6対応の多くはなんと「素通し」です。



http://qa.itmedia.co.jp/qa7325013.html


こういったルーターIPv6を使えば最初の図のようにM2Mもできますが、家の中の機器に攻撃かけ放題という状態になってしまいます。(なので、通常はIPv6はオフにされているはずです)



家の中の個々の機器が安全であれば素通しでも問題ないです。つまり、家にある金庫がそれぞれ素晴らしければ盗難される恐れはないでしょう。しかし、それでもわざわざ家の鍵を開けておく必要はないわけです。特にIPv6になれば家庭内から沢山の機器をネットワークに繋ぐはずなので、どれかの機器になんらかの問題を持つ家庭も増えるはずです。そのことを加味すると、いっそう家の鍵をあける行為はおかしいわけです。個人的には今ある家庭用ルーターIPv6は機能が不十分ですので、IPv6を有効にするのは疑問です。



ところが、インフラ屋さんはフレッ○光みたいにどんどんサービスを広げていますし、機器屋さんはIPv6対応を謳った機器を発売しています。うちのルーターIPv6対応しているとIPv6機能を有効にするたびに、ご家庭にどんどん穴が開いていく状態になっています。このルーターはフレっ○にも使えると、買ってくるたびにご家庭に穴があきます。私としてはネットワークに携わる企業がこれで良いのか首を傾げたくなります。(フレッ○は閉じたネットワーク網とはいえ)



IPv6を前提とするサービスをやるならガイドラインに従ったルーターを推奨し、家庭向けルーターを売るなら、素通し(パススルー)じゃなくて、ちゃんとガイドラインの機能を実装する、それぞれが責任感を持ってやっていただけないものでしょうか。安心して利用できる環境を一般ユーザーが揃えられるようにした上でIPv6のサービスを推進していくべきではないかと、あくまで個としては、そう思います。