NEC無線ルータ「Aterm」がIPv6 IPoEに対応。IPv6の気になるセキュリティについて






IPv6



NECのAtermはこれまでIPv6 IPoEに未対応だった?


NECから無線ルータ「Aterm」シリーズの新機種が発売となり、ニュースリリースで以下の文面がありました。

NECプラットフォームズ、「IPv6」に対応したWi-Fiホームルータ プレミアムモデル3機種を発売
新商品の3機種は、「IPv6 IPoE」および「IPv4 over IPv6」に対応したモデルで、これによりインターネット回線が混み合う時間帯でも快適な通信が可能となりました。


あれ?

AtermだとIPv6(IPoE)を使う事ができなかった?と不思議に思い、改めて確認しました。

IPv6パススルー


まずAtermではIPv6パススルー/IPv6ブリッジ/IPv6トンネルには以前から対応しています。(機種によって表記の違いがあります)


これは、端末からのIPv6パケットをAtermは何もしないでそのまま外部へ流しますから、Atermは関与しません。(パススルー)

IPv6ネットワークへは端末が直接通信してください、という形でIPv6(IPoE)通信を実現していました。


たしかにこれではルータがIPv6パケットを通過させているだけで、IPv6対応とは言えないですね。


それが今回ルータがIPoEに対応することで、ルータ自身がIPv6ネットワークにつながった状態となります


またIPv4 over IPv6にも新規に対応しているため、IPv6未対応端末からの通信もルータがパケットをカプセル化することでv6ネットワークに届ける事が可能です。


なるほど。

これなら「IPv6 IPoE」「IPv4 over IPv6」対応と謳えますね。


IPv6とルータとセキュリティ


IPv6 IPoEに対応した事で、セキュリティ面の変化についてはどうでしょう?


これまでのIPv6パススルーで接続していた場合、PCがIPv6ネットワークに野ざらしにされていた接続環境でした。(ルータでセキュリティ設定できる機器もあり。後述)


PCとIPv6ネットワーク間にルータが入ることでセキュリティが若干上がった状態になった気がしますが、正直微妙すぎてよく判りません。


IPv4と異なりIPv6ではNATする必要もないため、パケットをルーティングしているだけと考えるなら野ざらしと変わりないですね。



そこで少し調べてみたところ、IPv6用にパケットフィルタリングを実装したルータがありました。

ルータによるセキュリティ機能


バッファローのルーター:NDプロキシ機能(Neighbor Discovery Proxy)
IO DATAのルーター:IPv6 SPI機能(IPv6 Stateful Packet Inspection)


ただNECのAtermのこれまでの機種では、それらしい機能が見当たらず、マニュアルでは以下の記述しか確認できませんでした。

「IPv6ブリッジ機能」では、外部からのアクセスが可能になり、セキュリティが低下します。
セキュリティ対策ソフトなどをご使用になることをお勧めします。


とりあえず、自宅で現在使用中のバッファローのルータにおいて、NDプロキシ機能を設定できるか管理画面を確認してみました。

設定項目が見当たりません。
NDプロキシ機能なし


3,000円台の安価な無線ルータでは未対応だったようです。

むむむ。

セキュリティがザルとわかると気になりだします。


ルーターの買い替えを検討


バッファローの製品紹介ページから、各機器のマニュアルとファームの更新履歴を追いかけNDプロキシ機能について言及されているか確認していきます。


上から(おそらく)安価な順に並べています

NDプロキシ機能について


WSR-300HP    NDプロキシ機能の言及なし
WCR-1166DS    NDプロキシ機能の言及なし
WSR-1166DHP3-BK    NDプロキシ機能の言及なし
WHR-1166DHP4    NDプロキシ機能の言及なし
WXR-1750DHP2    NDプロキシ機能の言及あり
WSR-2533DHP    NDプロキシ機能の言及なし
WXR-1901DHP3    NDプロキシ機能の言及あり
WTR-M2133HP    NDプロキシ機能の言及あり
WXR-2533DHP2    NDプロキシ機能の言及あり


高そうなWSR-2533DHPに言及がないのが気になりますが、WXR-1750DHP2がNDプロキシを利用できる一番安い機種ですね。


ただそれでも1万円前後とやや高い。


今回NECが発売する3機種Aterm WG2600HP3、Aterm WG1900HP2、Aterm WG1200HP3で、一番安価なAterm WG1200HP3が7500円前後となるようです。


仕様を見るとこれまでのAtermでは記載のなかったIPv6パケットフィルタリング対応表記があります。


ただ自分でフィルタリングルールを作る必要があるかどうか、細かい仕様は読み取れません。


マニュアルが公開されてからもう一度確認してみようと思います。

「追記」WG1200HP3のマニュアル公開

WG1200HP3が発売し、マニュアルが公開されました。
WAN側のセキュリティを強化する
・IPv6パケットフィルタリング
インターネットとの通信を制限する機能です。IPv6パケットの送受信を制限することができるため、セキュリティの高いネットワークが構築できます。

・IPv6ファイアウォール機能(Stateful Packet Inspection)
LAN側の子機(パソコンなど)がIPv6でアクセスすると、それに応じてWAN側のポートが開き、通信を開始する機能です。
外部へのアクセスが行われていないときは、ポートがすべてフィルタリングされていますので、外部からの不正なアクセスを防ぐことができます。IPv6動作モードが「ND Proxy」の場合に有効な機能です。
 
IPv6でもセキュリティを保てますね。


別ページのマニュアルを見ると、パケットフィルタリングも初期値に445のポートなどを閉じる設定が入っており、自分で定義する必要性はありません。

なかなか良さそうなので、ブリッジ接続している環境から乗り換えの検討に値します。











■関連記事

0 件のコメント :

コメントを投稿