2017年6月25日日曜日

IPv6パススルーを許可した結果..

バッファロー製ルーターのヘルプには、「IPv6パススルー」の設定項目に、以下のような注意書きがあります。

「インターネット側からLAN側の機器への意図していない通信が行われる可能性があります。」

世の中の全てのデバイスがIPv6のグローバルIPアドレスを持ち、直接インターネットに接続される時代が来る..?のかどうかはさておき、IPv6 (IPoE)を利用中のPCは、IPv6のグローバルIPアドレスを持ち、全てのポートを開放(公開)したまま直接インターネットに晒された状態になります。

これはv6プラスを利用する際も例外ではありません。
だからこそ、セキュリティを考慮してルーターに「NDプロキシ」を設定したり、市販のセキュリティソフトを導入してPCのガードを固めているわけですね。

しかし、IPv6を利用するだけで、本当に自宅のPCが外から丸見えになってしまうのでしょうか?
実際に試してみましょう。

ここではあえてルーターへ「IPv6パススルー」を設定しておき、第三者がインターネット側から自宅PCへアクセスできるのかどうか確認してみました。


事前にルーター側の設定を「IPv6パススルーを使用する」にしておきます。
また、IPv6通信を阻害しないよう、Windows標準のファイアウォールやセキュリティソフトなども一時的に止めておきます。

さて、どうやってインターネット側からのアクセスを試すのか?ですが、分かりやすいところで「Windowsのファイル共有」を使って確認してみます。
自宅の外、別の回線でインターネット接続したPCから、自宅にあるPCの共有フォルダの中へアクセスできるかどうかを試します。

やりかたは簡単。
具体的には、何かウィンドウを開いて上部にある「アドレスバー」へ接続先である自宅PCのIPアドレスを、UNC表記(先頭に¥¥をつけて書く奴)で入力するだけです。
「IPv6で共有フォルダへアクセスする方法」
https://dotsukareta.blogspot.jp/2017/06/ipv6fileshare.html

テストに使う外部インターネット回線ですが、そちらもIPv6で通信できる必要があります。
今回はモバイル用回線を使ってテストしてみました。
ちょうど契約中だった格安スマホ用の「イオンSIM (タイプ1)」が、IPv6接続サービスをサポートしているIIJモバイル系列のSIMだったので、これを利用します。

ここにWindowsノートPCをテザリング接続して、インターネットの外から自宅PCへ、IPv6でアクセスを試みてみました。



はい、見事にインターネット側から自宅PCの共有フォルダへアクセスできてしまいました。


自宅にいる時と同様、自由に読み書きできます。
これは「便利!」というよりも、ちょっと怖いですね。
IPv6アドレスさえ分かれば、世界中誰でも私のPCへ入れる状態なのですから..


ノーガード戦法はやめましょう

バッファロー製ルーターの場合は、「NDプロキシ」の利用をお勧めします。
「NDプロキシ」を使用することでIPv6パケットフィルターとファイアウォールが有効化され、外部からのアクセスをルーターでブロックできるようになります。

IO-DATA製ルーターの場合は「IPv6 SPI」機能を有効にしておきましょう。
バッファローの「NDプロキシ」ほど高機能ではありませんが、「IPv6 SPI」をチェックしておくだけで外部からの接続要求をブロックしてくれます。

もしフレッツのサービスを利用中などの理由により、どうしても「IPv6パススルー」設定でないと都合が悪いという場合は、PC側でのセキュリティ対策を忘れずに。
とりあえずWindows標準のファイアウォールを有効にしておくだけでも、野晒し状態は避けられます。
可能であれば、市販のセキュリティソフトを併用するのも良いでしょう。


一時IPv6アドレス(匿名アドレス)について

スピード計測サイトや、IPv6接続判定サイト等では、アクセスしに来たあなたのPCのIPv6アドレスが、画面上に表示される場合があります。(赤色で隠した部分)


ここに表示されるIPv6アドレス(あなたが外部サイトへアクセスするために利用したIPv6アドレス)は「一時IPv6アドレス(匿名アドレス)」といって、短期間だけ有効なプライバシーが考慮された物です。

しかし、それであっても外部に晒されたグローバルIPアドレスであることに変わりありません。
実際に試してみたところ、「一時IPv6アドレス」であっても、有効期間内であれば外部からのアクセスは可能でした。

もしも上のようなスクリーンショットをうっかりそのまま公の場にアップしてしまうと、しばらくの間あなたのPCは丸見えです。
標的にされてしまう可能性もありますので注意しましょう。