--------------------------------------------------------------------- IPv6Biz meeting @ IIJ date: 2002/02/01(Fri) 出席者: 藤本、近藤、猪俣、橘、中井、荒野、熊谷、向井 ---------------------------------------------------------------------- charterの確認 今、検討している内容は現実のネットワークに適用すると、 ちょっと違うことになる。 今後、どのように適用していくのかが問題。 - モデルをつくる。 - 要求をまとめたい。 気になるところはいくつかある。 - アドレスをどうやって、企業にばらまくとかが問題になるだろう。 discustion pointのものとタイムラインを照らし合わせて、 何ができていて、何ができていないのかをリサーチしてみよう。 - 11/14の中間報告の時のppt参照。 検討項目として、 - 企業におけるv6化のメリット、そのものが検討項目になる。 - エンジニア、SIerに対するIPv6対応が結構、ネックになる。   - まずIPv4かなぁ   - どこに必要かというところを重点的に検討したほうがよい。  ただ単に、必要だというのを前提に話すとたいへん。     --------------- 荒野さんスライド for NET&COM2002 ☆企業ネットへの導入メリット。 企業網がなぜIPになったのか? IPv6のメリット。 実際にはメリットがたらないことがおおい。 企業サイトのセキュリティ エンドエンドセキュリティ ポリシーがかわらなくても、インプリの方法がいくつかある。 より細かなセキュリティを実現できる。 アドオンが容易なVPN サイトセキュリティとエンドエンドセキュリティを組み合わせるとよいかも しれない。 某企業での実験モデル。 X社の人以外には、データをみせたくない 出向者にもデータをみせたくないモデル。 セキュリティポリシーがかぶるときにどのようなことを考えればよいのか? これを実現するのに、IPv4よりもIPv6だと解決できるというようなモデルが あるとよい。 トランジション すこしずつ、IPv6/IPv4な機器がふえてくるだろう。 IPv6のみのノードのために、トランスレータが必要になってくる。 完全なプライベートなネットワーク アドレッシング問題 サイトローカルの定義でもめる:-) プライベートとサイトローカルは等しいか? 企業ネット内部でのグローバル vs サイトローカルの選択 IPv4のように、プライベートを使うべしというような認知された アドレスポリシーはない。 グローバルをつかったときの自由度 グローバルをつかったときのセキュリティ上のケア サイトローカルがたまに動作する実装がある。 サイトローカルのルーティングテーブルは、サイトの境界では 他のサイト・グローバルとのルーティングテーブルとの2つ(複数)もつ。 導入のタイミング そとの状況にあわせて、中も対応させていく必要がある。 - 事例があったら、それを共有したい。 - 内部だったら特には、アレだけど、外につなぐとなったら、 ちょっと問題になるケースがある。 -------------------------------------------------------------------------- ☆今後の検討内容 - ネットワークモデル 例がでているので掘り下げる必要はないかな - ノードのスタック - アドレッシング 例がでているので掘り下げる必要はないかな - 経路制御 例がでているので掘り下げる必要はないかな - セキュリティ 絵をかく。 - アプリケーション - 管理・監視系 - メリット・デメリット - できる・できない・やりたくない - 必要性 利用シーンが明確にならないと、つらい 基本的にモデルは2種類 サーバクライアントモデル peer to peerモデル DMZってIPv6に必要? 穴をあける必要があるかどうか? 箱がかわりにやってくれる? 許されている場所での非武装地帯をつくる。 DMZの役割 被害が最小限。 攻撃をくらった時に時間かせぎができる。 グローバルをふってしまうと、侵入される可能性があるから、 情シスな人の心配どころになるだろうと。 DMZがあることで、時間稼ぎができるので、DMZのモデルはIPv4の時と かわらず必要だろう。 メールのウィルスチェック、ウェブのアクセス制限というのは、IPv6でも 必要になる。 peer2peer通信が必要なものは、このモデルではできない。 proxyモデルは適用できないけど、このモデルを他のアプリケーションにも 適用するというのは、ちょっと違う。 statefullパケットフィルタリングだと内側からのアクセスのみ 許可するが、外からのアクセスを認証してアクセスを許すような モデルが必要になるかもしれない。 演習問題をこなして、ある程度のモデルを考える必要がある。 モデリングはできるだろう。 このような問題があるとはいえるが... ここまでできるというのをコンサルティングしてあげて、リスク判断まで してあげないとつかってもらえない可能性がある。 - 逆につかってくれるか?:-) IPSecで、ソースがany、アプリanyなモデルというのは無理だろうと。 認証ができて、認証できたものはFWに穴をあけるようなモデルがあるといい。 外から中へのモデルができないとつらい。 認証の単位は、今は、個人単位 理想は、セッション単位での認証 ☆セキュリティなモデルの話:とりあえず、モデルになるような絵をかきます? ケーススタディ、宿題としましょう。 こんなのどう?っていうモデルをかんがえる。 IPv6だからエンドエンドのセキュリティがまもれるというのを書いてみよう。 - 絵でかく 企業内でマルチプレフィックスをふると、どれだけ幸せか? ポリシーをかえることができる。 - 物理的な線は一緒だけど。 ソースアドレスセレクションは信用できないけど、社内アプリとして、 どのアプリをつかませるかというのを選べるように実装すればできるかも しれない。 プロトコルレベルで選ばせるのか? 企業が導入して、どれだけメリットがあるのかを明示できないとダメ。 メリットを一人一つ次回までに考えてくる。(宿題) PnPは、実は不便? ホストごとのアクセスコントロールができない。 でも、configrationがいらないね。 実際のところは、セキュリティを確保するためにMACアドレスフィルタリング。 アクセス制限のために、一人に/64をふっちゃえ的な解決方法がある。 - L2アクセスを許可するかどうかの問題に近い。 - L3でのアクセス制限をしようというのは難しいのではないか? - どちらにしろ、相手が特定できないといけない。 端末のセキュリティをどうするのか? - RAに認証がついたら良い - デメリットとしてあげる?? - 使っていないオプションをつかって認証をしてもよいのではないか? なぜ、認証が必要か? - IPv6は、defaultでアドレスがあるので、つなげると通信が可能になる。 - ほぼ無制限アドレスを割り当てることができて、通信ができてしまう。 - 便利とセキュリティをトレードオフすることになる。 MACアドレスで通信ができるとセキュリティが破綻する。 まとめ。 P2Pのモデルをやってみましょう - グローバルアドレスをつかったもの RAにたいして、問題点を指摘できると。 IPv4のときのアドレス割り振り/割り当てのスキームはIPv6では通用しない。 セキュリティの話、メリット・デメリット、できる・できないの 話をしっかりまとめておきたい。 セキュリティの人をもうちっと増やしてもいいかな。 企業のネットワークは、ほとんどがセキュリティの話に終始する。 協議会の方で、セキュリティのWGができた。 面子は偉い人がおおいなあ 解決策をあげずに、たたき台をまとめて、集中議論をする? 専門家に集中ヒアリングをしませう。 白橋さんとか、英さんとか、歌代さんとか。 企業のFW系を知ってる人 次回: 4月ぐらい。