インターネットの未来は,IPv6プロトコルを中心に回ると言われてきた。一方で,インターネット上の大部分のコンピュータはいまだにIPv4を使用している。この2つのプロトコルは全く異なるため,IPv4向けに設計された主要なソフトウエアは,IPv6トラフィックを正常に処理できない。当然これがIPv6導入の大きなハードルになっている。この問題を解決するために米Microsoftが開発したのが,「Teredo」プロトコルである。
Teredoは,IPv6クライアントがIPv6に対応しないネットワークアドレス変換(NAT)デバイスの背後に存在する場合に,IPv6トラフィックをIPv4ネットワーク上でトンネリングするプロトコルである。Teredoの技術仕様に興味があるなら,「RFC 4380」として公開されている「Teredo: Tunneling IPv6 over UDP through Network Address Translations(NATs)(Teredo:ネットワークアドレス変換(NAT)を介したUDP上のIPv6トンネリング)」が参考になる。
Teredoはオープンな仕様であるため,Teredoソフトウエア・パッケージは,Mac OS X,Linux,BSD,Solarisを含むさまざまなプラットフォームで利用可能である。そのようなパッケージのひとつに「Miredo」がある。
Windowsでは,TeredoはまずWindows XPとWindows Server 2003のサービス・パックで提供された。またWindows Vistaには標準で組み込まれ,Longhornにも最初のリリースから標準で実装される予定である。Teredoは優れたソフトウエアだが,これに飛びつく前にセキュリティ面への影響を理解しておくべきであろう。
先週米Symantecは,「Symantec Advanced Threat Research」の主任セキュリティ研究員であるJames Hoagland博士による「The Teredo Protocol: Tunneling Past Network Security and Other Security Implications(Teredoプロトコル:過去のネットワーク・セキュリティのトンネリングとその他のセキュリティ面への影響)」というタイトルのホワイト・ペーパーを公開した。このホワイト・ペーパーには,これまで実際に発生したものや,今後発生する可能性があるセキュリティ問題の調査結果が記載されている。
例えば,Hoagland博士はネットワーク・レイヤー3または4を使用するワームが,どのようにTeredoを利用してIPv6ネットワークを回避し,リモートIPv6ネットワークに到達するかを説明している。Slammerワームが1つのUDPパケットのみを使用して自身をばらまいていたことを,思い出してもらいたい。
Hoagland博士はまた,IPv4向けに設計された侵入検知システムや侵入防止システム(IDS/IPS)が,IPv6トラフィックを理解しないことについても述べている。したがって,IPv4デバイスは,IPv4パケットに内包されたIPv6トラフィックに対して適正なセキュリティ管理を行えない。
もう1つの問題は,TeredoがIPv6およびIPv4ネットワークに対する望ましくないトラフィックを許可してしまう可能性があることである。それ以外の潜在的なセキュリティの問題は,Teredoクライアントおよびサーバーの双方で,サービス妨害(DoS)条件が発生する可能性や,リモート・システムがNATを望ましくない方法で通り抜けることが可能になることに関連するものである。
Teredoを使用してみたいと思っているのであれば,まず何よりもSymantecのホワイト・ペーパーをダウンロードし,丹念に読んでみることをお奨めする。頭痛の種が減り,ネットワーク内の異常現象の結果として発生する多くの質問に対する答えを,その発生前に得られるだろう。
このホワイト・ペーパーではTeredo一般について議論しており,関連するRFCをベースにしていることに注意してもらいたい。Hoagland博士は,Symantecが将来Windows VistaのTeredoを個別に検証する予定があると述べている。これに関してはそのホワイト・ペーパーが出るのを待つべきであろう。
