WIDE Technical-Report in 2009 security of IPv6 (secure6) WG 最終報告書 wide-tr-secure6-final_report-00.txt WIDE Project: http://www.wide.ad.jp/ If you have any comments on this document, please contact to ad@wide.ad.jp. Title: security of IPv6 (secure6) WG 最終報告書 Author(s): 近藤 賢志 (satoshi_kondo@trendmicro.co.jp), 廣海緑里(hiromi@inetcore.com) Date: 2009-02-17 1. はじめに  本ドキュメントは、2007年度をもってWIDE Projectにおけるsecurity of IPv6 WGを終了するにあたり、これまでの活動内容およびWG内での議論を整理したものである。  おもにWG内での議論の方向性、および議論の中で示された方向性などについて示すとともに、最終章では、現状と残された課題をまとめている。 2. WG設立の趣意  security of IPv6 WG (secure6 WG)は、2007年9月に開催されたWIDE Project秋合宿にて、有志によるNon WG BoFをきっかけとして設立された。  WG設立時の趣意は、IPv6の普及・一般化により従来のIPv4ネットワークにおけるセキュリティ対策手法の適用上の課題を整理するとともに、新たなセキュリティモデルの確立を目指すものであった。  WG設立時点においては、従来的なセキュリティモデルは、Firewallをはじめとする境界防衛モデルであったが、NAT/NAPT環境が一般的であるIPv4ネットワークにおけるセキュリティモデルとしては有効に機能していたが、IPv6の設計上の特徴であるEnd-to-Endの疎通性をはじめとして、グローバルユニキャストアドレス、ゼロコンフィグレーション、ユビキタス機器のIPネットワークへの接続・利用といった利用形態や特徴と背反する(IPv4との機能的優位性や違いを示しにくい)対策手法と考えられた。  このような前提から、IPv6ネットワークにて、プロトコル設計上の特徴や特質を損なわない、より適したセキュリティモデルの検討を行うことを目的とした。 3. これまでの活動内容  WG活動について、現在までの活動内容をまとめたものを下記に示す。 2003年 9月  WG発足        以後、数回のFace to Faceミーティングにて、現状の境界防衛セキュ リティモデルの問題点、およびIPv6ネットワーク普及時に求められる セキュリティモデルについて議論が交わされた。 2003年 末  検疫モデルの基本的なコンセプトの確立 2004年 2月  59th IETF v6ops BoFにて検疫モデルのInternet Draft案の発表。 同BoFにて発表が行われたDistributed Firewallモデルに関する論議。        エンドホストの安全性検証と、エンドホストの隔離という技術的課題        について、WG内部では、おもにネットワーク上での隔離制御について        技術的な実装手法の検討に議論の中心が移った。 2004年10月  PANAを用いた検疫モデルの実装に関する検討 2005年    DHCPv6を用いた検疫モデルの実装に関する技術検討 2006年 3月  WIDE Project 春合宿にてDHCPv6を用いた検疫モデルの実装と実験の実施 4. WGにおける議論の変遷 4.1 境界防衛モデルの課題  WG発足時には、既存の境界防衛モデルの課題についての議論がなされた。WGメンバーの意識としては、これらの課題を解決できるより良いセキュリティモデルをIPv6ネットワークを踏まえて実現することが、よりセキュアな環境としてIPv6ネットワークの有効性につながり、普及に貢献できるという意識が高いものであった。 ・組織ネットワークセグメント内は安全という幻想  ウイルスに感染したエンドホストをはじめとして、攻撃ベクトルは必ずしも組織ネットワークセグメント外から行われるだけではなく、ネットワーク内部のエンドホストから発信されることを無視することはできない。 ・全トラフィック検査とスループット  セグメント境界のゲートウェイポイントにおけるトラフィック検査は、トラフィック帯域の拡大とともに、非常にコストの高い処理となり、処理ボトルネックとなっている問題がある。 ・P2Pなど新しいアプリケーション・サービスとの親和性  IPアドレスとポート番号によるアクセスポリシー管理では、P2P型のアプリケーションをはじめとしてEnd-to-Endでエンドホスト同士が通信するアプリケーション、サービスを阻害する。 ・外部からの安全なアクセス セキュリティを保ちながら、外部ネットワークからのEnd-to-End透過性をどのように保障するのかといった問題。 ・端末はネットワーク内外を移動する モバイルPCなど、ネットワークセグメントを物理的に移動するエンドホストの管理。  ただし、これらの問題については既存のIPv4ネットワークにおいても同様な課題であり、検疫モデルは、IPv4/IPv6といったプロトコルレベルでの差別化や違いよりも、境界防衛モデルを補完するセキュリティ対策手法の一つとしての位置づけとして語られることになった。 4.2 境界防衛モデルに代わるセキュリティモデル これまでのネットワークセキュリティ対策手法として一般的であった境界防衛モデルに対して、IPv6に適用時に課題となるものとして、WGでは以下のものを想定した。 a) 自己防御と防火服 IPv6ネットワークの利用形態について、その設計思想的理想に沿って考えた際には、ネットワーク境界上にNAT/NAPTが存在しない、シンプルなアドレス空間を持つ均質的なネットワークを想定していた。 End-to-End疎通性を保障し、グローバルユニキャストアドレスを用いて、外部ネットワークの機器とも直接的な通信を行うことを前提とした場合、組織境界上のおよびセキュリティ境界およびアクセスポリシー制御機構としてのファイアーウォールをどのように位置づけるのか? といった問題と対峙しなければならない。 境界防衛モデルに対する対極的なセキュリティモデルとしては、エンドホストによる自己防衛モデルがある。 しかしながら、センサーノードなど計算能力やリソースが乏しい比較的小型の機器などを接続することもIPv6ネットワークの利用のソリューションのひとつとして検討されていたことから、このような利用事例においては、エンドホスト上で個々にセキュリティ機能を実装することは現実的とは考えにくかった。 b) 検疫モデル 検疫モデルは、WG設立前夜のBoFおよびフリーディスカッションの時点から、すでにその基本的なアイデアが議論されていた。 議論初期のモデルの基本的なアイデアは下記のようなものであった。 ・組織内セキュリティポリシーの維持  ネットワークに接続し、他の端末と通信を行う際には、自身の安全性を証明しなければネットワークに参加することを許可しない。あるいは何らかの制限を行う。このようにネットワークの終端(エッジ)にてネットワークに接続する機器の安全性を検証することによって、ネットワークに自由に接続・移動するノードに対しても、セグメント内にセキュリティポリシーに違反した危険な端末の進入を防ぐ。 ・検査対象トラフィックの絞込み  また、ワームなどの検査など通信パケットに対する詳細な検査・検証の対象として、これらの安全性が保証されていない端末間・ネットワークセグメント間の通信に絞ることによって、全流量検査を省き現実的な検査を行うことを可能とする。 ・軽量クライアントへの対応  同一セグメント間の通信はすべて、セキュリティポリシーに沿った端末からの通信であることを保証することによって、端末内部でのファイアーウォールやIDSなどのパケット検査などの負荷を軽減する。 ・セキュリティ対策ソフトによる検査・評価結果  脆弱性検証プログラム・アンチウィルスソフトウェアなどによる、端末の安全 性評価を基準に判断する。これらの評価結果については有効期限を設け、適時検 査結果を更新する。 ・検疫処理時の動作  検疫確認の結果に応じて、以下のような動作を行う。 (1) 検査合格  最低限の検査を除き、すべての通信を自由に行える。ただし通信相手の組織の ポリシーによっては、相手先とのポリシー調整の結果、相手組織の境界に位置す る機器、または自組織の境界上の機器にて詳細検査が必要となる。 (2) 詳細検査  危険性のある端末・通信と判断された場合には、管理者のポリシーなどに従っ てパケット検査などより詳細なチェックを行う。 (3) 隔離処理  グローバルアドレスプレフィックスを通知しない、他のセグメントへの通信を すべて遮断する、特定のVLANにアサインするなどネットワーク上から隔離を 行う。(IPv6の場合、リンクローカルアドレスからの通信先を制限するなど) 5. ドキュメント化とモデルの提示  WGにて議論された検疫モデルについては、58th IETF v6ops BoFにてInternet Draftとして提案を行うとともに、雑誌への寄稿などを通じて検疫モデルを提示した。  これらの活動と前後して、各ベンダーより一般的に検疫ソリューションとして呼ばれる類似のモデルを実現したセキュリティ対策手法および対応製品が提案されている。各ベンダーによる製品が広く市場に提供されることにより、結果として検疫モデルの示したセキュリティモデルについて広く一般的な理解と認識を得ることとなった。 6. 実装および合宿ネットワークにおける実験  検疫モデルの有効性を検証する目的として、WGではPANAおよびDHCPv6を用いた実装に関する技術的検討を行った。  特に、DHCPv6については、2006年のWIDE春合宿にて、合宿ネットワーク上で合宿参加者に対する実験を行った。実験内容および、詳細については次のWIDE memoを参照されたい。 wide-memo-secure6-meeting-20060309-00.txt 7. 課題とまとめ 7.1 検疫モデルについて ・エンドホストの検証とインターオペラビリティ エンドホストのセキュリティ危険性の検証と検疫ネットワーク制御については、ベンダー間でのインターオペラビリティは十分ではなく、マルチベンダーによる統合的な検疫モデルの利用には課題が残されている。 これらのインターオペラビリティの解消に向けて、エンドホストの検査情報を通知するためのプロトコル使用の標準化に向けた動きがIETF NEA WGを中心に進められている。 7.2 検疫モデル以外の方法論  一方で、個々の利用ケースに適した、現実的な適用解やガイドラインにより有効な対策手法を示すことも、一つの議論の方向性として考慮すべきものであったが、当時の議論では個別解によるユースケースといった手法よりも、IPv6ネットワーク利用における汎用的なモデルの検討、構築を目指すといった意識が強かったという面があったように思われる。 この点については、WG運営上の問題点として反省すべき点であることをここで強調したい。 現実問題として、IPv6の導入および普及は、当初想定していたよりも緩やかなペースで、特定のソリューションやアプリケーションとして、段階的に導入されたものが多く、本格的にIPv4の既存のサービスを置き換えるような、大規模な事例は見られない。 IPv6が利用されているケースについても、新規サービス・機能として、物理的にはIPv4ネットワークと混在している場合においても、運用上は切り離されているものも多く(VoIP電話サービスなど)、汎用的なセキュリティモデルではなく、用途・目的に応じた対処的な検討、設計において十分要求を満たしていたと考えられる。 (グローバルでシームレスなIPv6上でのサービスよりも、特定ローカルネットワーク上または、サービス主体によるクローズドなネットワークでの運用) しかしながら、いづれ本格的なIPv6の普及・利用に応じて、IPv6ネットワーク上にさまざまな機器・サービスが相互に利用する環境が到来する際には、特別な運用や設計に基づいた特定ユースケースに対応したセキュリティ対策手法では対処することができない課題として、浮上することが十分に考えられる。 このようなときに、ポリシーに応じた、論理的なネットワークセパレーションという検疫ネットワーク(マルチポリシーによるネットワーク)という手法は、個々のサービス・ユースケースを分離し管理する方法として選択肢の一つとして検討されるモデルであると考えられる。 7.3 その他、IPv6における一般的なセキュリティ対策手法について  従来の一般的な境界防衛モデルの問題点の改善という視点によるモデル案に対する議論が中心となってしまったため、結果として「IPv6ネットワーク利用時には、最低限このようにすればよい」といった基本的な知識の整理といった点については、十分な議論と整理を含めた活動を行うことができなかった。  このような、今日的な課題について、IPv6を利用するサイト、エンドホスト上で、必要最低限の設定がなされているかをテストおよびガイドラインを示す診断ツールの開発や提供を通じて、利用者の意識の向上と全体的なセキュリティレベルの底上げを目指すような活動については、新たなWGにおけるテーマとして検討すべき課題として残されている。 7.4 最後に  IPv4ネットワークとの共存、移行といった流れの中で、いよいよIPv6ネットワークの導入が現実的となってきている。セキュリティについては、ネットワーク導入時、本格運用時、拡張時などいろいろな局面で検討がされ、進化変容していくことと思うが、本WGでの活動内容がその一助になれば幸いである。