事の発端
自宅のインターネット接続に使用している OCN for ドコモ光 が、既存の利用者向けにIPoEによるIPv6インターネット接続機能の提供を始めた。
https://support.ntt.com/ocn/information/detail/pid2500000h9b
https://www.ntt.com/personal/services/internet/hikari/ipv6/ipoe.html
OCNの個人メールアドレスにも、2018年4月20日に、
「【重要】OCN IPv6インターネット接続機能(IPoE)」の提供について」
という件名で通知がなされており、私の住んでいるNTT東日本エリアにおいては、特に申し込みや接続設定などは必要なく、自動的に利用可能な状況に移行していたようだ。
NGN回線において、IPv6アドレスが付与されるという動作は以前からあった。ただ、これはNGN内部のサービスを利用するためだけに使われているもので、インターネット接続には利用できなかった。
それが今回、インターネット接続可能なIPv6アドレスが付与されるようになったのである。
IPv4におけるセキュリティ
自宅では、NTTから貸与されているホームゲートウェイ(HGW)を経由してインターネットに接続している。
2015年に回線契約した際に貸与されたのは、PR-500MI。ONUとブロードバンドルータが一体になっているやつである。従来はここからPPPoEでプロバイダに接続(IPv4)していた。
この場合、グローバルIPアドレスが付与されるのはPPPoEクライアントであるHGWのWAN側ポートであり、PC等の各端末はLAN側の異なるネットワークに接続し、プライベートIPアドレスが付与されるという動作になる。
WAN側とLAN側でネットワークが異なること、二つのネットワークでNAT(NAPT)によるアドレス変換が行われることで、LAN側の各端末にインターネット上から能動的に接続することはできず、これが一種のセキュリティ対策として働いていた。
特に、元にわかIT技術者である私は、このアドレス変換を過信していた節があり、「LAN側の端末のファイアウォール設定など適当でいい」と考えていた。
自宅にはWebサーバやDBサーバ、ファイルサーバなどが存在するのだが、こういった背景からサービスへの接続用のポートは開けたままであり、LAN側からは自由に接続できる状態になっていた。
IPv6によって覆されたセキュリティの概念
今回利用可能となったIPv6インターネット接続は、IPoEによるものである。
HGWのPR-500MIは、IPv6のパケットを、LANに接続している端末に直接届ける動作をする(IPv6パススルー機能)。
つまり、IPv4で行われていたNATによるアドレス変換などは一切行われず、各端末に直接グローバルなIPv6アドレスが割り当てられる訳である。
これによって何が起こるか。
今時のOSは、明示的に無効化しない限り、IPv6が利用可能である。
当然、自宅サーバとして利用しているLinux(CentOS 7, Ubuntu 18.04)も例外ではない。
そして、ApacheもMySQLもSSHもSambaも、何も考えずにサービスを起動すると、IPv4とIPv6の両方でリスニングしてしまう。
IPv4に関してはLAN内でしか直接通信できないために、気軽にポートを開けたままにしていたが、IPv6では直接インターネット上からアクセスできる状態になってしまうのである。
誰にも公開せずに使っているつもりが、いつの間にか全世界にサービスを公開していた、という想定外の事態。このことに気づいたときは大いに焦った。
次回に続く。
This document was created using the official VMware icon and diagram library. Copyright © 2012 VMware, Inc. All rights reserved. This product is protected by U.S. and international copyright and intellectual property laws. VMware products are covered by one or more patents listed at http://www.vmware.com/go/patents.
VMware does not endorse or make any representations about third party information included in this document, nor does the inclusion of any VMware icon or diagram in this document imply such an endorsement.
コメント