ページ

2023-09-07

IPv6 のお話し

 

 

IPv6 アドレスは、128ビットで構成されるアドレスで、上64ビットがプリフィックス、下64ビットがインタフェース識別子となっています。

 

Mac や PC には3種類の IPv6 アドレスがあります。

 

 

Mac の場合ターミナルから "ifconfig" と入力して得られる結果の中の "en0" の部分に Ether network アドレスが含まれています(① ② ③ 部分)。

 

付き数字の部分は後述の説明番号に対応

     

 

PC の場合は "ipconfig" コマンドではリンクローカルしかわからないようです。

 

 

PC(Windows11)の場合は、

 

[ネットワークとインターネット] → [ネットワークの詳細設定] → [ネットワークアダプターオプションの詳細] → [イーサネット] をダブルクリック → [イーサネットの状態] → [詳細]

で「ネットワーク接続の詳細」が表示されます。

 

下図はほかのサイトからの抜粋です。

 ※ ウチには PC がなく、VMWare で Windows11 は動きますが、
   この場合は仮想マシン上なのでリンクローカルしか表示されません



この中に、以下のものがあります。

 

  リンクローカル IPv6 アドレス(LAN 内でのみ使える)

  IPv6 アドレス(再起動でアドレスが変わらない)

  一時的な IPv6 アドレス(再起動でアドレスが変わる)

 

 

 

 

Mac の場合 [システム設定] → [ネットワーク] → [Ethernet] → [詳細] → [TCP/IP] でも得られます。

この場合、"IPv6アドレス欄" に2行表示され、そのうちの1番目が IPv6 アドレスです。

 

2番目は 一時 IPv6 アドレスです。

 

 

 

 

付き数字のそれぞれは次の内容です

 

リンクローカル  :IPv4 のローカルアドレスに相当

  LAN 内でのみ使える IPv6 アドレスです

 

  IPv4 のプライベート IP アドレスに相当します

 

 

IPv6 アドレス   :原則的に再起動で変わらない

  昔は EUI-64 に基づき MAC アドレスをベースにインタフェース識別子
  を生成していたが、現在はランダム生成しています

 

  EUI-64 方式は MAC アドレスが容易にわかってしまうためです

 

  ランダム生成といっても再起動ではアドレスは変わりません

 

 

一時 IPv6 アドレス:再起動で変わる

  通常はこちらをソースアドレスとしてインターネットアクセスしています

 

  の IPv6 アドレスをソースアドレスとして使用しないのは、変わらない
  アドレスをインターネット上にさらさないためです

 

  パケットキャプチャーされて、インターネット上でソースアドレスとして認識
  されないように、Mac や PC の IPv6 アドレス特定の回避が理由です

 

 

 

はフィルタリングの発信元や宛先に使います。

またインターネット上に IPv6 Web サイトを公開する場合などに使います。

 

これら以外にはあまり意識して使うことはありません。

 

 

は通常、インターネットアクセスのソースアドレスとして使われます。

 

 

 

 

IPv6 アドレス一時 IPv6 アドレスも)はグローバル IP ですが、ルーターが外部からのアクセスをフィルター機能によりブロックしており、外からは IPv6 アドレスは見えません。

 

 

パケットキャプチャーでアドレス抽出されてしまうのは通常は一時 IPv6 アドレスです。

 

 

不正なアクセスを試みようとするヤカラは、パケットキャプチャーによってアドレスを抽出し、このアドレスに向かって様々なポートで侵入を試みます。

 

一時 IPv6 アドレスで穴あけすることはまずありませんから、ルーターがブロックして侵入を拒否します。

 

 

IPv6 アドレスの方は、穴の空け方によっては自分のネットワークを危険に陥れることになります。

 

 

これは IPv4 であっても同様の危険性があります。

 

IPv4 の場合はフィルタリングでブロックするとともに NAT によっても守られていますが、IPv6 はNAT がありません。

 

 

なのでフィルターで不用意な穴あけをすると危険度が一気に高まります。

 

 

ましてや IPv6 ブリッジ(または IPv6 パススルー)は絶対にしてはなりません

 

 

 

 

これまでに Rakuten Casa 接続がうまくいかない、という相談を多くいただきまきました。

 

そのときに IKE/IPSec を WAN → LAN 方向に通過設定するようにお答えしました(一部プロトコルとポートだけ穴あけする)。

 

 

相談された方々はともかく、楽天モバイルのサポートに尋ねて「IPv6 ブリッジ(または IPv6 パススルー)してください」といわれ、そのようにした人たちが少なからずおられるようです。

 

これでは無防備にインターネットに IPv6 アドレスと、すべてのポートが筒抜けになってしまいます。

 

 

楽天モバイルのサポートの技術的知識のなさには困ったもんです。

 

また、ほかにも「IPv6 ブリッジでうまくいったので、困ってる人はそうしてください」などという誤った情報をブログなどで拡散した人たちもいます。

 

これも困ったちゃんです。

 

 

 

ちなみに HGW(ホームゲートウェイ)を使っている場合は留意すべき点があります。

 

「IPv6 のセキュリティレベル」がデフォルトで「標準」設定になっていますが、これは NGN 網内では IPv6 が筒抜け状態になります。

 

高度」にしましょう。

 

NTT は NGN 網内には善意のユーザーしかいないと考えているのでしょうか(笑えません)。

 

 

正しい知識で行うのならばいいのですが、鵜呑みや思い込みで行うのは危険です。

 

 

 

よく理解できていないなら不用意に穴あけなどしないことです。

 

ましてやほかの人たちに誤った情報を与える行為はやめていただきたいものです。

 

 

 

 

 

 

 

0 件のコメント:

コメントを投稿