V6プラスでホームゲートウェイ(HGW)のIPv6パケットフィルタが機能しない件

147 名前：不明なデバイスさん[sage] 投稿日：2021/09/17(金) 12:00:41.98 ID:ctj6ioj3
すごい話だな

>フレッツのIPv6パケットフィルタが筒抜けだった件
>「IPv6セキュリティレベル」がデフォルトで「標準」になっています。標準というのはNTT網内からの折り返し通信を許可することを意味しています。
>他のフレッツの加入者が、自分のLAN内にアクセスできてしまうびっくり設定なんです。
>「ひかり電話」契約なしの場合、(「IPv6セキュリティレベル」を「高度」に)設定はできるが機能しない。

148 名前：不明なデバイスさん[sage] 投稿日：2021/09/17(金) 13:21:55.02 ID:sMcoMh/A
>>147
NGNのサービスだけで使う前提の古い仕様なんよね
フレッツ・v6オプション付けて網内折り返し通信が有効になる前なら標準でも問題なかったし
網内折り返しするような使い方は企業の拠点網繋ぐとかだからセキュリティ考慮されてた
VNEを入れてインターネット通信させるようになって前提が崩れてるから標準から高度にしようなってなってる

149 名前：不明なデバイスさん[sage] 投稿日：2021/09/17(金) 17:23:48.58 ID:1KMVt2vF
煮詰まり警察からきますた

150 名前：不明なデバイスさん[sage] 投稿日：2021/09/17(金) 22:03:35.19 ID:V1YRRryR
>>148
フレッツ・v6オプションがデフォルトで有効になってからは、ユーザーが意図しなくても網内折り返しができるようになってしまっているから
IPoEをインターネットに使わなくても前提が崩れてしまっている

151 名前：不明なデバイスさん[sage] 投稿日：2021/09/17(金) 23:38:07.51 ID:GkGHDppM
>>150
そうだv6オプションはもうデフォルトでしたね
HGWの該当項目もデフォルトで高度にしたらいいのに…

152 名前：不明なデバイスさん[sage] 投稿日：2021/09/18(土) 09:49:11.80 ID:ukp3k70+
おいらも高度にしました

153 名前：不明なデバイスさん[sage] 投稿日：2021/09/18(土) 10:42:52.01 ID:MwchPC/8
無効にしました

154 名前：不明なデバイスさん[sage] 投稿日：2021/09/18(土) 12:00:32.04 ID:PAMfjo+0
>>147
もっと酷い状況らしい


>「ひかり電話」契約なしの場合、
>「IPv6ファイアウォール機能」を「無効」に設定したのと同じ状態です。

「標準」にすらならないという……

https://mevius.5ch.net/test/read.cgi/hard/1630979231/147-154

というわけでひかり電話契約なしだとIPv6パケットフィルタは無効らしい。

フレッツのIPv6パケットフィルタが筒抜けだった件（ひかり電話あり/なしで異なる結果に） – アキバではたらくプログラマのBlog

946 自分：不明なデバイスさん[sage] 投稿日：2022/03/23(水) 19:39:21.86 ID:nibwwbzg
RS-500KIで、BIGLOBEのV6プラスで接続しているんですが、詳細設定のところに「IPv6パケットフィルタ設定」がありません。
まぁ設定できなくてもどうせ外からの通信はDenyしてるだろうと思って放っておいたのですが、試してみたら>>147-154みたいな状況で外からHGWより内側のIPv6アドレスにPingが通ってしまいました。ひかり電話の契約はありません。
ファイアウォールというかIPv6でパケットフィルタを利用するにはHGWの下にルーターでもぶら下げるしかないんでしょうか？

947 返信：不明なデバイスさん[sage] 投稿日：2022/03/23(水) 19:55:26.34 ID:UW6uaJ1i
>>946
HGWのパケットフィルタやDHCPv6-PDなどのためにひかり電話を契約する(電話としては使わない)
という手はある

948 名前：不明なデバイスさん[sage] 投稿日：2022/03/23(水) 20:21:06.51 ID:KWqoeLME
通常は光電話やWi-fiを解約するとHGWのルーター機能が無効になりONU化されるけど
RS-500KIに関してはルーター機能が無効化されないとの記事は見た
その代わりにIPv6ファイアーウォールを無効化されるんかw

949 名前：不明なデバイスさん[sage] 投稿日：2022/03/23(水) 21:52:14.06 ID:l7t1gy6G
ギガスマ回線だったりホームゲートウェイレンタル契約があったりすれば、ひかり電話契約なしでもルーター機能は有効のまま
でもIPv6 IPoEのパケットフィルタは働かない

またひかり電話タイプ1の場合、ひかり電話契約があってもHGWのIPv6 IPoEのパケットフィルタは働かない

ルーター機能が無効化されないことのかわりに無効化されるとかではなくて、RA回線で働くIPv6 IPoEパケットフィルタ機能をそもそも持っていないだけ

https://mevius.5ch.net/test/read.cgi/hard/1630979231/946-949

RakutenMobileから宅内IPv6にPingが通ってしまった。
アドレス空間が広大だからピンポイントで狙われることが（確率的に）ないとはいえ、あるべきフィルタがないのは気持ち悪い。

ひかり電話サービスをご契約でない場合、IPv6 PPPoE接続状態が「停止」または「待機中」の時は、本設定が有効になりません。

IPv6パケットフィルタ設定 (IPoE)

詳細設定－IPv6パケットフィルタ設定 (IPoE)｜「Web設定」の使いかた｜PR-500KI / RS-500KI / RT-500KI 機能詳細ガイド｜NTT東日本

V6プラスだとIPv6 PPPoEは「接続」にすることができない。

951 自分：946[sage] 投稿日：2022/03/24(木) 07:14:27.66 ID:8W8I6G8C
契約は（Ｎ・ギガＭＳ１）と記されていたので光ネクストギガマンション・スマートタイプだと思います。IDはCAF～です。
RS-500KIの画面はこのようになっています。https://i.imgur.com/w4yBTgD.png
>>950 にあるIPv6パケットフィルタ設定（IPoE)がありません。少なくとも私にとっては大問題ですね。SSHも通ってしまったのでラズパイにはファイアウォール入れました。
>>949 そもそも機能がないのであればHGWの設定でどうこうできる問題じゃないということですね。
>>948 Wi-Fiは利用できており、ルーター機能は有効だと思います。
>>947 なるほど…？でも中古ルーターぶら下げて解決できるなら月額で料金は払いたくないです。
セキュリティログ見るとIPv4はSPIで弾いたログが100件見えるんですけど、IPv6は0 entriesなんですよね。これ、IPv6はパススルー状態ということでしょうか？

952 名前：不明なデバイスさん[sage] 投稿日：2022/03/24(木) 10:18:49.29 ID:45srb/k6
>>950
タイプ1の人の画面は見たことはないけど、おそらくギガスマと同様にその項目はないのでは

IPv6 IPoEインターネットの契約は基本的にはCOPでもできる
(ごく一部のISPでは、COPでは申し込みの入力ができない(CAFしか入れられない)等で問題が全くないわけではないけども)
で、タイプ1だとフレッツ・ジョイントは利用できないのでHGWでのIPv4 over IPv6などは利用できないが
IPv6 IPoEインターネット接続は利用できる

たとえIPv6 IPoEインターネットの契約ができないもしくはしないままであっても
フレッツ・v6オプションは利用できるし近年ではデフォルトでオプション有効もしくは回線にあらかじめ備わってるから、網内の他のユーザーからのパケットは通る

それでもHGWの IPv6セキュリティのレベル のデフォルトがいまだに 標準 のままなのを見ると、おそらくNTT東西は問題とは考えてないんじゃないかな

953 名前：不明なデバイスさん[sage] 投稿日：2022/03/25(金) 09:06:05.89 ID:+tPBqO8r
まじか光電話やめた罰が怖ええな

https://akibabara.com/blog/5350.html

俺は西日本、会社のネットとして
光電話なしのネクストにRT-500MIをレンタルして
IP4 PPPoE接続だけでIPv6は使ってなかった
メニューは　>>950 こんな感じでIPSec VPNも使ってた

けど一時期、実験的にV6オプションを有効にして別拠点間との接続テストしてそのまんま
IPv6的にはザルなのか？不安になってきた

954 名前：不明なデバイスさん[sage] 投稿日：2022/03/25(金) 15:04:03.92 ID:clPxbARa
IPv6的にはザルだよ、まあザルだからといって直ちに問題が起こるわけではないけど
IPv6は使ってなかったつもりでも、IPv6有効な端末をつないだら使えてしまうし
フレッツ・v6オプション有効なら、自分がわかってやってる別拠点だけでなく、よそのユーザーからでもパケットを送られたら届く

955 自分：946[sage] 投稿日：2022/03/25(金) 15:24:38.64 ID:7+B+Nuvx [1/2]
で、そういう状態の場合、フィルタ使うにはHGWの下にルーターぶら下げるしかないの？

956 名前：不明なデバイスさん[sage] 投稿日：2022/03/25(金) 16:18:12.70 ID:hF6DoY5D
基本的には端末のファイヤーウォールで自身のPrefix/56以外のアドレスから届くパケットに対して防御をする。windows firewallならデフォで/64だがその程度の防御はしてる。
家電やその他の機器はルーターでフィルタリングするか透過モードのUTM置くかしないと脆弱性突かれたら終わり。

957 自分：946[sage] 投稿日：2022/03/25(金) 16:24:31.58 ID:7+B+Nuvx [2/2]
まぁそういうことですよね…。
中古のルーター探します。ありがとうございました。

https://mevius.5ch.net/test/read.cgi/hard/1630979231/

854 自分：login:Penguin (ﾜｯﾁｮｲ d9b7-q+eG)[sage] 投稿日：2022/03/28(月) 12:21:08.36 ID:6FW/zCvK0 [1/8]
HGWにIPv6パケットフィルタの設定項目が無いから基本的にインバウンドはDenyしてるんやろと思ってたが、
外出先からIPv6アドレス打ったら宅内のラズパイにSSHが通ってしまってビックリした。
LAN内だから大丈夫だろうとファイアウォール有効にしてなかったのが敗因です。
ひかり電話の契約がないとIPv6パケットフィルタが機能しないHGWがあるという学びを得たので共有したい。

【NTT】フレッツ光・ひかり電話対応ルータ Part38
https://mevius.5ch.net/test/read.cgi/hard/1630979231/946

855 名前：login:Penguin (ﾜｯﾁｮｲ 6e0b-3Ydd)[sage] 投稿日：2022/03/28(月) 12:27:38.00 ID:9Xw+vrgX0
なにそれこわい

856 自分：login:Penguin (ﾜｯﾁｮｲ d9b7-q+eG)[sage] 投稿日：2022/03/28(月) 12:39:41.47 ID:6FW/zCvK0 [2/8]
当該スレの946以降をちょちょいと読んでもらえればわかるんだけど、結構こわいよね。意外な盲点というか。

857 名前：login:Penguin (ｵｯﾍﾟｹ Sr79-6uWN)[sage] 投稿日：2022/03/28(月) 12:42:13.89 ID:wfVo71d2r [1/4]
ポート閉じててもダメなん？

858 自分：login:Penguin (ﾜｯﾁｮｲ d9b7-q+eG)[sage] 投稿日：2022/03/28(月) 12:45:36.23 ID:6FW/zCvK0 [3/8]
閉じるも開けるもそもそも（当該のケースでは）フィルタがないんです。
ラズパイ側にファイアウォールがあって22番閉じてればもちろん通らないですよ。

859 名前：login:Penguin (ﾜｯﾁｮｲ 5e09-1WDX)[sage] 投稿日：2022/03/28(月) 12:48:22.41 ID:8HxICR4Z0 [2/2]
>>840
出来るだけ遅延無いリモートデスクトップがいいのですが

860 返信：login:Penguin (ｵｯﾍﾟｹ Sr79-6uWN)[sage] 投稿日：2022/03/28(月) 12:53:39.03 ID:wfVo71d2r [2/4]
>>858
あまり詳しくないんだけど、IPv6を使う時はIPv4とは別にファイヤウォールの設定をしないといけないって事ですかね

861 自分：login:Penguin (ﾜｯﾁｮｲ d9b7-q+eG)[sage] 投稿日：2022/03/28(月) 12:58:28.09 ID:6FW/zCvK0 [4/8]
>>859
遅延がどうかはわからないが「Remmina ラズベリーパイ」で検索するといい

862 自分：login:Penguin (ﾜｯﾁｮｲ d9b7-q+eG)[sage] 投稿日：2022/03/28(月) 13:23:56.94 ID:6FW/zCvK0 [5/8]
>>860
私もあまり詳しくないですけど…。
ホームゲートウェイの話については、契約状況と設置されたHGWによっては、IPv6のファイアウォール機能（パケットフィルタ）自体が無効なので設定のしようがない（IPv6パケットはHGWを素通りする）ってことです。
ラズパイ側のファイアウォールについてはufwしか使ってないのでufwの話をすると、例えばsudo ufw ALLOW 22とやるとIPv4用とIPv6用の二つのルールが自動的に作られるので、あまり難しいことを考えなくてもいいのではないかと。sudo ufw default DENYすればIPv4もIPv6もデフォルトでdenyになるので。
IPv4だけ開ける例　sudo ufw allow to 0.0.0.0/0 port 22
IPv6だけ開ける例　sudo ufw allow to ::/0 port 22

863 返信：login:Penguin (ｵｯﾍﾟｹ Sr79-6uWN)[sage] 投稿日：2022/03/28(月) 13:38:04.01 ID:wfVo71d2r [3/4]
>>862
ご丁寧に設定方法まで教えて頂きありがとうござます
しかしルーターで素通りされてしまうって、もっとニュースになっても良さそうなぐらいヤバいですね

864 自分：login:Penguin (ﾜｯﾁｮｲ d9b7-q+eG)[sage] 投稿日：2022/03/28(月) 13:51:39.68 ID:6FW/zCvK0 [6/8]
IPv6はアドレス空間が広大なので、確率的に考えれば直ちに問題となるわけではないですけど、気持ちのいいものではないですね

865 名前：login:Penguin (ｵｯﾍﾟｹ Sr79-6uWN)[sage] 投稿日：2022/03/28(月) 14:02:23.00 ID:wfVo71d2r [4/4]
なるほど、総当たりで運悪く攻撃されてしまう可能性は低いって事ですね
悪意あるサイトを見に行ってログが残ったりするとピンポイントで狙われる可能性はあるかもですね

https://mao.5ch.net/test/read.cgi/linux/1642183596/