私が自宅内にプロキシサーバを構築した理由 #1

事の発端

自宅のインターネット接続に使用している OCN for ドコモ光 が、既存の利用者向けにIPoEによるIPv6インターネット接続機能の提供を始めた。

https://support.ntt.com/ocn/information/detail/pid2500000h9b
https://www.ntt.com/personal/services/internet/hikari/ipv6/ipoe.html

OCNの個人メールアドレスにも、2018年4月20日に、
「【重要】ＯＣＮ ＩＰｖ６インターネット接続機能（ＩＰｏＥ)」の提供について」
という件名で通知がなされており、私の住んでいるNTT東日本エリアにおいては、特に申し込みや接続設定などは必要なく、自動的に利用可能な状況に移行していたようだ。

NGN回線において、IPv6アドレスが付与されるという動作は以前からあった。ただ、これはNGN内部のサービスを利用するためだけに使われているもので、インターネット接続には利用できなかった。
それが今回、インターネット接続可能なIPv6アドレスが付与されるようになったのである。

IPv4におけるセキュリティ

自宅では、NTTから貸与されているホームゲートウェイ(HGW)を経由してインターネットに接続している。
2015年に回線契約した際に貸与されたのは、PR-500MI。ONUとブロードバンドルータが一体になっているやつである。従来はここからPPPoEでプロバイダに接続(IPv4)していた。

この場合、グローバルIPアドレスが付与されるのはPPPoEクライアントであるHGWのWAN側ポートであり、PC等の各端末はLAN側の異なるネットワークに接続し、プライベートIPアドレスが付与されるという動作になる。

WAN側とLAN側でネットワークが異なること、二つのネットワークでNAT(NAPT)によるアドレス変換が行われることで、LAN側の各端末にインターネット上から能動的に接続することはできず、これが一種のセキュリティ対策として働いていた。

特に、元にわかIT技術者である私は、このアドレス変換を過信していた節があり、「LAN側の端末のファイアウォール設定など適当でいい」と考えていた。

自宅にはWebサーバやDBサーバ、ファイルサーバなどが存在するのだが、こういった背景からサービスへの接続用のポートは開けたままであり、LAN側からは自由に接続できる状態になっていた。

IPv6によって覆されたセキュリティの概念

今回利用可能となったIPv6インターネット接続は、IPoEによるものである。
HGWのPR-500MIは、IPv6のパケットを、LANに接続している端末に直接届ける動作をする(IPv6パススルー機能)。
つまり、IPv4で行われていたNATによるアドレス変換などは一切行われず、各端末に直接グローバルなIPv6アドレスが割り当てられる訳である。

これによって何が起こるか。

今時のOSは、明示的に無効化しない限り、IPv6が利用可能である。
当然、自宅サーバとして利用しているLinux(CentOS 7, Ubuntu 18.04)も例外ではない。
そして、ApacheもMySQLもSSHもSambaも、何も考えずにサービスを起動すると、IPv4とIPv6の両方でリスニングしてしまう。

IPv4に関してはLAN内でしか直接通信できないために、気軽にポートを開けたままにしていたが、IPv6では直接インターネット上からアクセスできる状態になってしまうのである。

誰にも公開せずに使っているつもりが、いつの間にか全世界にサービスを公開していた、という想定外の事態。このことに気づいたときは大いに焦った。

次回に続く。

私が自宅内にプロキシサーバを構築した理由 #2

前回の続き。 対応方法を探す まず思いつくのは、HGW側にパケットフィルタの設定はないのか？ということ。 HGWの設定画面を眺めてみると、それらしき設定が存在する。 気になるのは、赤字で書かれた「ひかり電話サービスをご契約でない場合、IPv...

chiritsumon.net

2019.03.16