6to4 リレールーターとの間のトンネルについての考慮事項 (IPv6 の管理)

IPv6 の管理

6to4 リレールーターとの間のトンネルについての考慮事項

6to4 リレールーターは、6to4 ではないネイティブ IPv6 ネットワークと通信を行う必要がある 6to4 ルーターからのトンネルのエンドポイントとして機能します。本来、リレールーターは 6to4 サイトとネイティブ IPv6 サイトとの間のブリッジとして使用されます。この手法は安全ではないため、Solaris オペレーティングシステムのデフォルト設定では 6to4 リレールーターのサポートは無効になっています。しかし、サイトでこのようなトンネルが必要な場合には 6to4relay コマンドを使用して以下に示すようなトンネリングを有効にすることができます。

図 4–6 6to4 サイトと 6to4 リレールーター間のトンネル

この図は、6to4 ルーターと 6to4 リレールーター間のトンネルを示しています。この図の内容は、次の段落で詳しく説明しています。

図 4–6 では、6to4 サイト A はネイティブ IPv6 サイト B に存在するノードと通信を行う必要があります。この図は、サイト A から IPv4 ネットワーク経由の 6to4 トンネルへと続くトラフィックの経路を示しています。このトンネルは、6to4 ルーター A と 6to4 リレールーターをエンドポイントとして使用しています。6to4 リレールーターより先は IPv6 ネットワークであり、IPv6 サイト B はこのネットワークに接続されています。

6to4 サイトとネイティブ IPv6 サイト間のパケットフロー

この節では、6to4 サイトからネイティブ IPv6 サイトに対するパケットフローについて説明します。ここでは、図 4–6 で示されているシナリオを例として使用しています。

6to4 サイト A 上のホストから、ネイティブ IPv6 サイト B 上のホストに向けて伝送を行います。フロー内の各パケットヘッダーには、その発信元アドレスとして 6to4 派生アドレスが指定されています。宛先アドレスは標準の IPv6 アドレスです。
6to4 ルーター A は、出力パケットを受け取り、IPv4 ネットワーク上で 6to4 リレールーターとの間のトンネルを構築します。

6to4 リレールーターエニーキャストグループの一部である 6to4 リレールーターには、192.88.99.1 というアドレスが割り当てられます。このエニーキャストアドレスは、6to4 リレールーターのデフォルトアドレスです。特定の 6to4 リレールーターを使用する必要がある場合は、デフォルトを上書きしてそのルーターの IPv4 アドレスを指定できます。
サイト A の 6to4 ルーターは、各パケットを宛先である 6to4 ルーターの IPv4 アドレスを持つ IPv4 ヘッダーとともにカプセル化します。この 6to4 ルーターは、標準の IPv4 ルーティング手続きを使用し IPv4 ネットワークを介してこのパケットを転送します。パケットが遭遇する IPv4 ルーターが、6to4 リレールーターにパケットを転送します。
サイト A に物理的にもっとも近いエニーキャスト 6to4 リレールーターが、192.88.99.1 エニーキャストグループ宛てのパケットを検出します。
このリレールーターは、IPv4 ヘッダーを取り除いて 6to4 パケットのカプセル化を解除し、ネイティブ IPv6 宛先アドレスを明らかにします。
続いてこのリレールーターは、IPv6 のみとなったパケットを IPv6 ネットワークに送信します。IPv6 ネットワークにおいて、パケットは最終的に Site B のルーターによって検出されます。続いてこのルーターが、宛先である IPv6 ノードにパケットを転送します。

6to4 リレールーターサポートのセキュリティ問題

本来、6to4 ルーターと 6to4 リレールーター間のトンネルは安全ではありません。これらのルーター間のトンネルには、以下のようなセキュリティ問題が内在しています。

6to4 リレールーターはパケットのカプセル化とカプセル化の解除を行いますが、パケット内に含まれるデータのチェックは行いません。
アドレスのスプーフィングは、6to4 リレールーターとの間で構築されるトンネルにおける際立った問題です。着信トラックについては、6to4 ルーターはリレールーターの IPv4 アドレスを送信元の IPv6 アドレスと対応させることができないという問題があります。このため、IPv6 ホストのアドレスは簡単にスプーフィングされかねません。6to4 リレールーターのアドレスもスプーフィングの可能性があります。
デフォルトの設定では、6to4 ルーターと 6to4 リレールーター間に信頼できるメカニズムは存在しません。したがって、6to4 ルーターは 6to4 リレールーターが信頼できるものであるかどうかを識別できず、正規の 6to4 リレールーターであるかすら確認できません。このようなことから、6to4 サイトと宛先の IPv6 サイト間に信頼関係が存在していることか、あるいは攻撃を受けるという可能性を両サイトとも受け入れることが求められます。

これらの問題を始めとする 6to4 リレールーターのセキュリティ問題については、インターネット文書『Security Considerations for 6to4』で説明されています。一般には、6to4 リレールーターのサポートは以下のような場合だけ検討してください。

信頼できるプライベートな IPv6 ネットワークとの間で 6to4 サイトが通信を行う場合。たとえば、独立した 6to4 サイトとネイティブ IPv6 サイトから構成されるキャンパスネットワーク上などでこのサポートを有効にすると便利かもしれません。
ビジネス上の理由で、6to4 サイトと特定のネイティブ IPv6 ホストとの通信を避けることができない場合。
インターネット文書『Security Considerations for 6to4』で提唱されている検査と信頼できるモデルを導入した場合。