Title: Security of IPv6 WG activity report in 2004 Author(s): 廣海 緑里 (hiromi@inetcore.com) 近藤 賢志 (satoshi_kondo@trendmicro.co.jp) Date: 1/26/2005 < 目次 > 1. はじめに 2. 活動概況 3. IPv6ネットワークにおけるセキュリティ上の脅威と課題 4. 検疫モデルに関する考察 5. 今後の課題と活動方針 6. 参考資料 7. Copyright Notice 1. はじめに 「Security of IPv6」(secure6 WG)は、IPv6ネットワーク環境におけるセキ ュリティのあり方を議論、提言するために 2003年9月から活動している。  2004年は、昨年からの活動を継続し、IPv6ネットワーク環境の普及に伴うセ キュリティ対策の変化を整理し、それによって顕在化する既存のセキュリティ モデルの問題点を指摘するとともに、新たなセキュリティモデルに関する議論 を行った。  特に、『検疫モデル』については、一般的なモデル定義を行いInternet-Dra ftの発行、雑誌等への寄稿[1]などモデルの提案を行うとともに、具体的な実 装手法の検討として、PANA[2]フレームワークを用いた検証を行った。  本ドキュメントは、これらの2004年の主なWG活動内容について報告するもの である。 2. 活動概況  本WGの本年度の活動状況は、(1)定例会やメーリングリスト、(2)発表活動、 (3)文書化などの作業、(4)検証作業の大きく4分類できる。それぞれの活動状 況を簡単にまとめ、報告する。それぞれの成果については、以降の章で詳述す る。 (1)定例会  今年度の定例会は、昨年度のようなセキュリティモデルについて議論をつく すための対面ミーティングという形態から、各種の発表活動や執筆活動への準 備や状況確認といったより問題点を絞った形で実施された。 ミーティングでの主な議題は下記のとおりである。 #1 2004.01.20 IETFに向けて、ドラフト執筆などの打ち合わせ 実証実験構築に関しての意見交換 #2 2004.02.23 WIDE貼る合宿のBoF内容についての打ち合わせ IETF v6ops WGでの発表に関して・状況報告 #3 2004.04.22 v6opsで発表のあったDistributed FWモデルに関しての議論 PANAの紹介・説明 類似のモデル、既存の製品・ソリューションのまとめ 家庭・一般ユーザーにおける検疫モデルの意義に関する議論 I-Dのアップデートについて #4 2004.05.25 総務省のV6移行実証実験に関して PANAに関する技術的な解説 PANAを検疫モデルで利用する際の技術的な議論 #5 2004.06.16 I-Dの執筆・更新に関しての打ち合わせ #6 2004.08.13 雑誌原稿執筆に関する打ち合わせ WIDE秋合宿のBoFの打ち合わせ #7 2004.10.18 WG活動内容、マイルストーンなどの更新に関する議論 IPv6ネットワークでのセキュリティ問題の整理について ドキュメント化に向けた検討 ネットワーク分割手法に関しての技術的な議論 PANAにおける実装方法について(EAPに対する実装方法) #8 2004.11.24 60th IETF報告、今後のIETFへのアプローチに関する議論 BCP主導のアプローチを検討する PANAによる実装の状況報告 類似モデルに関してのディスカッション・情報交換 12月研究会についての打ち合わせ  メーリングリストについては、議事録や各種活動報告や状況報告など、情報 共有の場として、昨年度同様活用した。参加人数についての変動はほとんどな かった。 (2)発表活動  2月のIETF59でモデルの提案およびIDのサブミットを実施した。これを受け る形で、Euro6提案モデルとのコラボレーションなどの話しが進んだ。  3月と8月のWIDE研究会では、これまでの議論のまとめの発表を広く行い、引 き続きセキュリティモデルやその具体的要素について議論も実施した。  9月には、ASCII社発行の月刊誌への特集記事寄稿という形でも、WGの活動や セキュリティモデルの提言を実施した。  12月のWIDE報告会では、PANAを用いた検証についての報告を行い、多くの意 見をもらった。  2005年1月には、SAINTでの発表を予定している。 (3)文書化作業など  本年度は、前述のとおり、発表活動と連動した文書化作業が主なものだった。 (4)検証作業  本年度は、PANAプロトコルの認証、端末検出、端末情報交換の仕組みなどを 利用した検疫モデルの検証を実施した。PANAプロトコルを十分に活用すること によるこのモデルの有効性を見極めることができたが、一方でIPアドレスの配 布と取得など、実用面での課題も新たにわかった。 3. IPv6ネットワークにおけるセキュリティ上の脅威と課題  本WGでは、IPv6ネットワークにおけるセキュリティ上の脅威の変化や課題に ついて、整理を行った。これらの脅威の変化については下記の3つに分類でき る。 (1) ネットワークの利用形態の変化による脅威  L3のプロトコルバージョンに限らず、最近のネットワークの利用形態の変化 により表面化したセキュリティ問題としては下記のものがある。 ・ポートベースのフィルタリング ・アプリケーションレイヤ(L7)でのフィルタリング ・端末識別子とセキュリティポリシー設定 ・セキュリティポイントでのトラフィックボトルネック ・VPN、トンネリング (2) IPv6ネットワークでより顕在化するセキュリティ脅威  IPv4でも同様なセキュリティ上の脅威が存在するが、IPv6によってその脅威 がより深刻化・顕在化するものとしては下記のものがある。 ・Grobal unicast AddressとNo-NAT環境 ・VPN ・IPsec ・Mobile IP ・匿名性とプライバシー問題 (3) IPv6特有のセキュリティ脅威  IPv6プロトコルや仕様上特有なセキュリティ上の脅威には以下のものがあげ られる。 [技術的な問題] ・NDPとアドレス自動設定 ・RA詐称問題 ・ICMPv6 ・マルチキャスト ・トンネリング [オペレーションの問題] ・組み込み機器やThin Client端末 ・End-to-Endアプリケーション ・マルチホーム、multi prefix  これらの課題については、プロトコル・仕様の改善や拡張またはあらたな手 法の実現によって解決すべきもの、フレームワークとして統合的に検討すべき レベル、運用・オペレーション、ユーザーリテラシによって改善すべき点など、 実際の対応については、それぞれのレイヤごとに検討を行う必要がある。2004 年ではこれらの課題の列挙にとどまったが、今後はWGとして対処すべき課題の 掘り下げと、対処すべきレイヤと手法の検討などが必要となる。 4. 検疫モデルに関する考察  WGでは、昨年度のネットワークセキュリティモデルに関する議論から『検疫 モデル』を提唱し、モデルに関する議論を深めてきた。検疫モデルとは、ネッ トワークに端末が接続された際に、セキュリティポリシーの適合性検査を行い、 適合性の状態に従って、複数に分割されたネットワークセグメントのいずれか に端末を割り振る仕組みを持つものを指す。それぞれのネットワークセグメン トにおいては、管理者が定義したセキュリティポリシーに従って、ルーティン グ経路やアクセス制限、トラフィック監視や帯域制御などネットワーク上のリ ソース、パラメータなどが設定され、セキュリティポリシーの適合度に応じて 端末がアクセスできるネットワークリソースを管理し、ネットワーク利用ポリ シーをネットワークセグメント単位に適用する。検疫モデルに関してはすでに Internet-Draftとして発行済みであり[3]、詳細はそちらを参照いただきたい。  本ドキュメントでは、以後WG内で議論が進められた点などを踏まえて、概要 を報告する。 4.1 ネットワーク分割手法についての考察  検疫モデルにおけるネットワーク分割手法として、ネットワークレイヤ別(L 2/L3)の手法がエンフォースメントポイントによって分類され、主に下記のも のが利用できると考えられている。 (1) L2でのネットワーク分割  L2でのネットワーク分割手法は、VLAN(802.1Q)による方法が有望である。た だし、物理的なネットワーク構成や機器に依存する点がデプロイメント上の障 害となる。現在、ルータ・スイッチなどの機器に対して、セキュリティポリ シー設定に基づいた制御を行うための有効な標準化された手法は特にない。SM TPやCOPS-PRなど、既存のプロトコルについては、検討・評価してゆかなけれ ばならない。  また、エンドポイントでのVLAN制御については、管理者による手動設定が主 体であって、検疫検査に応じて設定を制御するために実際に利用可能な手法に ついては今後の検討課題として挙げられる。 (2) L3でのネットワーク分割  IPv6のprefixを利用してIPアドレスレベルでのネットワーク分割を行う手法 である。L3によるネットワーク分割の課題の多くは端末へのアドレス設定手法 とその制御に依存している。IPv6の設計ポリシーの一つであるAuto configura tionと検疫モデルなどのセキュリティ対策上の考え方とは大きく異なるため、 既存のアドレス設定プロトコルを利用した場合には、整合性を保つのが難しい。 特にRAによるprefix情報の配信などステートレスプロトコルの場合には、端末 ごとに異なるprefixを割り振ることが出来ない。  また、IPアドレスの詐称やprefixを手動設定した端末の特定と隔離、MACア ドレスをベースとした端末識別の詐称など、端末特定や詐称問題に対する有効 な対策を検討しなければならない。  prefixによるネットワーク分割には、一度配布したprefix情報の無効化、別 のprefixへの端末の再設定などの制御に関する問題も残されている。既存のpr efix情報配信では、prefixの有効期間などの制御は可能であるが、適時、特定 の端末に対するprefix情報を変更・引き剥がすことは考慮されていない。  複数のセキュリティセグメントに所属する端末の場合には、複数のprefixを 持つことになるがこの場合は一般的なマルチprefix、マルチホーム問題も解決 しなければならない。  今後は、DHCPv6プロトコル拡張、TSPなどトンネル設定を利用した制御、IPs ecのセキュリティアソシエーション設定を利用したEnd-to-Endベースのネット ワークアクセス制御などについて、実現可能性を検討する予定である。 (3) トンネルを利用したネットワーク分割  IPv6のトンネルサーバーを利用して、IPv6デュアルスタック環境であっても、 トンネルサーバーを経由して通信を行うことによって、トンネルサーバーをセ キュリティエンフォースメントポイントとしてネットワーク分割を行う手法も 一つの実現方法として検討の余地がある。TSPなどトンネル設定プロトコルを 拡張することによって、検疫検査に応じた適切なトンネルサーバーに端末を誘 導し、トンネルサーバーにてアクセス制御を行うことで物理的なネットワーク トポロジーに依存してルータ・スイッチ上でのアクセス制御を行う代わりにセ キュリティポリシーに応じたネットワーク分割を実現する。  デュアルスタック環境においても、常にトンネルサーバーを経由して通信を 行うため、多少のオーバーヘッドが懸念されるが、通信効率などについては今 後の実装検証が必要となる。 (4) アクセスポリシーによるネットワーク分割  いわゆる分散ファイアウォールと呼ばれる手法のように、エンドホストがも つアクセス制御機能に対して、ポリシールールを配信することによって、ネッ トワーク分割をおこなう方法もある。セキュリティ境界がエンドホストにある ため、より厳密なアクセス制御、ネットワーク分割、端末の隔離を行うことが 可能であるが、ポリシーの記述方法、配信プロトコルなどについては、明確な 標準仕様が存在しない。実装による検証のためにはこれらの仕様の整備が必要 となる。  また、ネットワークから配信されるセキュリティポリシーと、端末利用者が あらかじめ設定してあるポリシーとの整合性問題についても、解決しなければ ならない点としてあげられる。 4.2 検疫検査内容についての考察  既存の検疫検査機能を実装したものには、Microsoft社のMicrosoft Baselin e Security Analyzer(MBSA)[4]、FreeBSDを対象としたPortAudi[5]などが存在 する。これらのほかにも各ベンダーよりいくつか類似の製品が開発されている が、いずれも相互運用性や脆弱性データベースの共用といったことは可能では なく、独自仕様のものになっている。これらの点は、一般的なPCだけではな く、情報家電や組み込み機器など、多様なマルチベンダ環境が当たり前となる ことが考えられるIPv6ネットワークの場合に有効に運用してゆくことは難しい。  標準的な脆弱性情報記述形式や情報交換のためのフレームワークなど、標準 化作業が必要であるが、現状では活発な活動は見られていない。  また、セキュリティポリシーを策定する際に、どのような検査基準を設ける のか、といった検査対象に対する基本的な考え方も運用者の試行錯誤など明確 に定まっていない点が検疫検査の有効性と客観的な評価の指針を検討するうえ での課題となっていることが挙げられた。 4.3 セキュリティポリシー  検疫モデルでは、端末のセキュリティ対策状態など管理者のセキュリティ運 用ポリシー基準に応じて複数のネットワークセグメントに分割し、管理するア プローチを提唱しているが、どのようなセキュリティポリシーを定義するのが 有効なのか、その場合の検査基準にはどのようなものがあるかといった運用上 の知見については十分な議論がなされていない。単純に通常セグメントと隔離 セグメントの二つに分けるだけで十分なのか、より細やかなネットワーク分割 とポリシー定義の有効性などについては、検証環境が十分に整い、実験環境で の継続的な運用経験などが必要となる。 4.4 認証フレームワーク  検疫モデルにおいては、802.1X/PANAに代表される既存の認証フレームワー クとの統合が一つの課題として挙げられてきた。2004年は主にPANAフレーム ワークを用いた実装を検証することによって、これらの課題を確認することが できた。  検疫検査においては、検査対象、検査情報など、従来の認証フレームワーク が想定していたアカウントベースの端末・利用者認証と比較して、より多くの 複雑な情報をやり取りしなければならないが、既存の認証フレームワークのメ ッセージフォーマットであるEAPを拡張して対応することには限界があること が検討の結果明らかになっている。  検疫検査については、独自のプロトコル上で行い、シングルサインオンのた めに、認証結果をダイジェスト情報として、EAPメッセージに付加するといっ たような手法が必要となる。  今後は、検疫検査プロトコルや実装、EAPへのダイジェストメッセージの実 装使用などの検討を行う予定である。 5. 今後の課題と活動方針 (1) 文書化  これまでの議論の成果は、雑誌の特集記事への寄稿という形でまとめること が出来たが、WIDE ProjectのWGとしての成果の発表という点では課題が残る。 セキュリティ研究者などからのコメントを広く集め、またリファレンスされる ために、WIDE DraftとしてこれまでのWGでの議論の成果をまとめる必要がある。  近年、WG内で議論していた『検疫モデル』に類する実際の製品が各ベンダー より発表されているが、機能の差異や比較のために基準となる指針、一般的な モデルの提示や共通概念としてのタームの定義などが、リファレンス・ドキュ メントとして求められる。 (2) ユースケースによるセキュリティモデルの評価  実際のセキュリティ対策や問題点の質は、利用シーンや対象となるユーザー のネットワーク環境や利用者によって、かなり大きく異なることが、これまで の議論の中で指摘されてきた。今後は、SOHO・家庭ユーザー環境、モバイル、 エンタープライズなど各セグメントごとのユースケースを分析し、それぞれの 環境で求められるセキュリティの要求分析をもとに、モデルの評価を実施して ゆかなければならない。 (3) 実証実験・周辺技術・仕様の評価  2004年は、実証実験として主にPANAフレームワークを利用した検疫モデルの 構築を目指してきた。まずは、これらの実証評価のレポート、評価キットなど の公開、諸問題の提示など、これまでの検証で得られた知見を公開してゆく。  また、2005年は他の技術要素を用いた検証をはじめ、各実装手法ごとの特徴、 利点と問題点を整理するなど、解決すべき問題点の提示とともに今後のWGでの 研究対象を定めたい。 (4) リエゾン・標準化活動・実装評価  既存の周辺技術・使用に基づいた検疫モデルの実装の評価や実証実験で得ら れた知見を元に、必要に応じて新規プロトコルや拡張機能の提案などの活動が 必要と考えられる。  現在、IPv6上で利用されている各標準化プロトコルには、特にprefixアドレ ス設定に関しては、ホストコンフィグレーションとネットワーク分割手法上、 WGで検討している新しいセキュリティモデルの実現のためには、より効率的な アプローチや新たなプロトコルの設計・提案が必要となる。本WGでは、実証実 験や既存手法の評価や問題点の指摘とともに、それらを解決できる新たなソリ ューション、プロトコルの実装の提示といった活動を視野に入れてゆくことを 検討している。 6. 参考資料 [1] UNIX Magazine 2004年11月号 特集『ポスト・ファイアウォールとセキュ リティ』 [2] "Protocol for Carrying Authentication for Network Access (PANA)", IETF draft-ietf-pana-pana-05.txt [3] "Quarantine Model Overview for IPv6 network security", IETF draft- kondo-quarantine-overview-01.txt [4] http://www.microsoft.com/japan/technet/security/tools/mbsahome.msp x [5] http://sourceforge.net/projects/portaudit/ 7. Copyright Notice Copyright (C) WIDE Project (2005). All Rights Reserved.