Help us understand the problem. What is going on with this article?

NTTでフレッツ・v6オプションを契約している人は切れた方がいい(デフォルト設定でのセキュリティは皆無)

はじめに

デフォルト設定でフレッツを使っている皆さん、あなたのお宅は丸裸です。
こんな設定をデフォルトにしたNTTは狂っているとしか言いようがありません。
本気で信じられない。最初は冗談かと思ったさ。
本日、会社でIPv6の疎通試験をしていて発見した事実をありのまま話します。

NASAのこんな話は、対岸の火事ではなく、知識不足、環境、業者あたりがそろうと簡単に起きる話です。
https://www.gizmodo.jp/2019/06/nasa-hacker-raspberry-pi.html

1.フレッツ・v6オプションはデフォルトで有効

NTT東西、フレッツ・v6オプションの工事費を変更、東日本はデフォルトで提供
2012/5/29以降にNTT東日本でフレッツ光を契約した皆さん、あなたのお宅はフレッツ・v6オプションが有効になっております。

さらに、ISP側が勝手にフレッツ・v6オプションを有効にしている例もあるらしい。
勝手にフレッツ・v6オプション付加サービス申し込み内容のご案内がNTTから届いた件について

「IPv6接続機能」の標準提供について

2.HGWのデフォルト設定は折り返し通信を許可する設定

以下は我が家に設置されているPR-400KIの設定画面だか、赤字で色々書いてあり重要な設定項目であることがわかる。
デフォルトの設定内容は以下の通りであり、文面からは網内折り返し通信が有効であることが記載されている。

IPv6セキュリティのレベル デフォルト設定値
IPv6ファイアウォール機能 有効
IPv6セキュリティのレベル 標準

IPoE filter.png

1と2からわかる標準的な設定値の意味とは

総合すると様々な理由はあるがフレッツ・v6オプションはいつの間にやら有効になっており、HGWの設定は触っていない人は、IPv6網内折り返し通信が有効になっているということである。

v6optionvpng02.png

網内での折り返しサービスとしては他にはフレッツ・VPN ワイドがあるが、IPが振られ直接通信できるのは、ルーターのWANポートまでであった。まあ、IPv4なんで当然NATが入ってくるのでね。

01_flets_next_case4[1].jpg

このため、IPv6網内折り返しもHGWのWANポートまでで、ローカル側はHGWのIPv6パケットフィルタ設定で許可しないとだめだと思っていた。

ほんとのところはどうなのよ

今日何気に実験してみたのだ。フィルタで止まっているだろうなと思いながらも・・・。
許可していないSSHが通じてしまったorz。
つまり、デフォルト設定ではIPv6アドレスとポート番号さえわかれば、フレット網内からは、アクセスし放題であることがわかった。

もちろん、立ち上げたばかりのラズパイをSSHで乗っ取られるくらいならかわいいもんだ。(十分問題であるが・・・。)

という訳で

今すぐ、トップページ > 詳細設定 > セキュリティ設定 > IPv6パケットフィルタ設定(IPoE) > IPv6セキュリティのレベルを高度に変更するべし。

HGWのIPv6パケットフィルタ設定(IPoE)の仕様はIPoEの設計のミスマッチと相まって本当に使えない。
IPoEの仕様は半固定IPのため、時たまプレフィックスが書き換わるという仕様である。プレフィクスとはIPv6アドレス128bitの前半64bitのことを示す。例をあげると
2000:1:2:3:4:5:6:7:a0:b0:c0:d0:e0:f0:0:1
が、以下のように書き換わる。
2000:9:8:7:6:5:4:3:a0:b0:c0:d0:e0:f0:0:1

IPv6パケットフィルタ設定(IPoE)の仕様は、このアドレスの前半何bitまでが一致するかでアドレス範囲を指定する仕様のため、アドレスが書き換わるとアドレスの指定が外れてしまう。結果的に、書き換わる前に通信できていたものが出来なくなり、遮断していたものがスルーしてしまうという状態になる。
このリスクを考えると、全遮断か、全開放しか選択肢がなくなり、個別設定であるIPv6パケットフィルタ設定(IPoE)は全く使えないことがわかる。

NTTの技術がしょぼくてIPv6パケットフィルタ設定(IPoE)の仕様がまともに作れなかったのはしょうがないとしても、それをフィルタ全開放にしてユーザーに負担を押し付けるのはどういうコンプライアンスなのか、NTTにはぜひ説明して欲しいものである。

まあ、筆者は自称元NTTの子会社のユージーンとか言う会社の社長だったといっている人間にコンサルタントを依頼したことがあるが、彼の提案してきた事業は18歳以下の子供に向け、通常は標準搭載されているコンテンツフィルタを外したSIMを名義を差し替えて代理販売することで大儲けしよというものであった。

・・・・・・・・・。
それコンプライアンス違反どころか違法ですwwww。

彼いわく、これくらいのことNTTの人間はみんなやっているよとのことであったので、それに比べるとHGWのフィルタなんぞこんな仕様でも、まあしょうがないかと思うのですが、ふつうは怒るよね。

唯一の救える点は、折り返しが有効であろうが、IPv6パケットフィルタが無効であろうが、HGWのhttpプロトコルには外部からアクセスできないことくらいであろうか。しかし、pingは返ってくるので何が開いているのか信用できないんだよな。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした