ページの先頭です
2012年5月22日
IIJでは2012年5月よりLTEによるIPv6接続を開始し、LTEに対応した端末ではIPv6インターネット接続をご利用いただけるようになりました。ここでは、IPv6の接続方式やセキュリティについての考察を簡単に紹介します。
IIJではMVNO(Mobile Virtual Network Operator)事業者として、MNO(Mobile Network Operator)事業者であるNTTドコモと相互接続を行っています。NTTドコモとの接続ではGTPv2-Cを使用する、いわゆるレイヤ2接続を採用(参考:MVNOによるLTE接続)しています。相互接続の詳細な仕様については、技術条件集としてNTTドコモから開示されており、IIJはこれに従ってPGW(Packet Data Network Gateway)の実装を行っています。
LTEの接続シーケンス(Initial Attach)を図示すると次のようになります。
LTEの特徴としては、「always-on」が挙げられます。always-onでは、ユーザが端末の電源を投入することで自動的に接続が開始され、PGWとの接続は維持されます。つまり、LTE端末は常にPGWからIPアドレスの割り当てを受けた状態となります。なお、手動接続可能な端末もありますが、未接続時はLTE網にアタッチ(ネットワークに登録)していない状態になるため、接続するまでは圏内かどうかわからないという不便さがあります。
接続シーケンスのとおり、PGWでは「Create Session Request」と呼ばれるLTE端末からの接続要求を受け付けます。このパラメータの1つとして「PDN Type」が定義されており、「IPv4」「IPv6」「IPv4v6」のいずれかが設定されます。PGWでは、「PDN Type」として「IPv4」が指定された場合にはIPv4アドレスのみ、「IPv6」が指定された場合にはIPv6アドレスのみ、「IPv4v6」が指定された場合にはIPv4アドレスとIPv6アドレスの両方を割り当てます。
PGWは、「Create Session Request」に対する応答として「Create Session Response」を返します。このパラメータの1つとして「PDN Address Allocation(PAA)」が定義されており、この中に割り当てたIPアドレスの情報が含まれます。一例として、「IPv4v6」を指定した場合の該当箇所を抜き出してみると次のようになります。
PDN Address Allocation (PAA) :
IE Type: PDN Address Allocation (PAA) (79)
IE Length: 22
000. .... = CR flag: 0
.... 0000 = Instance: 0
.... .011 = PDN Type: IPv4/IPv6 (3)
IPv6 Prefix Length: 64
PDN Address and Prefix(IPv6): 20010db82401206100000001809a4301
PDN Address and Prefix(IPv4): 192.0.2.2 (192.0.2.2)
IPv6アドレスでは、IPv6プレフィックスとインタフェース識別子の情報が含まれ、LTE端末のリンクローカルアドレスはこのインタフェース識別子を用いて生成されます。IPv6プレフィックス情報は接続確立後に送られるRA(Router Advertisement)でも通知されます。なお、割り当てるIPv6アドレス空間の大きさ(プレフィックス長)は64でネットワーク分割できませんのでモバイルWi-Fiルータでは簡単に利用できません。現時点ではDHCPv6をベースにした prefix delegationは規格化されているものの実装はされておらず、代わりにモバイルWi-FiルータにてRFC4389 (Neighbor Discovery Proxy)を実装するアイデアが提案されています。また、IPv6 DNSサーバの情報は「Protocol Configuration Options (PCO)」パラメータ内に含めてLTE端末に渡すことができます。
このように、「PDN Type」はLTE端末が指定するパラメータであり、IPv6接続を使うか否かはLTE端末が、すなわち、ユーザが自由に選択できます。
LTE端末に割り当てられるIPv6アドレスはインターネットとの到達性があり、IPv4と同様にセキュリティ対策を行う必要があります。ここでは、モバイル接続の特徴を踏まえて考察します。
割り当てられるIPv6アドレス空間に対して、インターネット側からアドレススキャンが行われる可能性があります。IPv6アドレス空間は広大なため、実際はかなり非効率ですが、一旦スキャンが行われると、ユーザのモバイル回線の帯域が埋められる可能性があります。
ユーザが使用するIPv6アドレス空間は動的に割り当てられ、使い回しによる再利用が行われます。そのため、過去に別のユーザが使用していたIPv6アドレスに対してインターネット側からDoS攻撃などの通信が行われ、IPv6アドレス空間(プレフィックス)の一致から現在使用しているユーザのモバイル回線の帯域が埋められる可能性があります。
なお、IPv6アドレスのうち、上位64bitはIIJの設備が動的に決めますが、下位64bitはLTE端末が自由に設定できるので、128bit長のIPv6アドレスが完全一致することでLTE端末が直接攻撃される確率はかなり低いと考えられます。確率の問題ではありますが、この点については広大なアドレス空間をもつIPv6のメリットです。
IIJではこれらの対策として、ユーザがその時点で使用しているIPv6アドレスを一時記憶し、割り当てたIPv6アドレス空間のうち一時記憶したアドレス以外を宛先とするパケットはPGWに到達した時点でフィルタします。これにより、前述のアドレススキャンやIPv6アドレスの再利用に起因する攻撃によって、ユーザのモバイル回線の帯域が埋められる可能性を排除します。これは貴重な無線リソースの浪費を防止することでもあり、重要な取り組みだと考えています。ただ、ユーザがその時点で使用しているIPv6アドレスに対する直接攻撃は可能なままです。その対策として、本来の目的とはやや異なりますが、RFC4941 (Privacy Extensions for Stateless Address Autoconfiguration in IPv6)を利用してユーザが使用するIPv6アドレスを順次変更することで、直接攻撃を受ける可能性を下げることができます。もちろん、LTE端末自体でも適切なセキュリティ対策を施すことが望まれます。
以上、LTEによるIPv6の接続方式やセキュリティにポイントをおいて紹介しました。今後も、多様なサービスを開発し、安心安全なインターネット環境を提供できるよう努めて参ります。
執筆者プロフィール
宮本 外英(みやもと そとひで)
IIJ サービス本部 ネットワークサービス部 サービス開発課
1999年IIJ入社。専用線接続サービスの導入・運用業務を経て、ネットワークインテグレーション業務に従事し経験を積む。その後、VPNサービス、モバイルサービス等の法人向けネットワークサービスの開発を担当。
関連リンク
ページの終わりです