Fedora 14でIPv6ネットワークの背後にあるウェブサイトを閲覧する方法
before:
ping6 ipv6.google.com
connect: Network is unreachable
solution: with root just:
yum install -y miredo-client
sed -i "s/ServerAddress teredo.remlab.net/ServerAddress teredo.ipv6.microsoft.com/g" /etc/miredo/miredo.conf
service miredo-client restart
after:
ping6 ipv6.google.com
PING ipv6.google.com(2a00:1450:8004::67) 56 data bytes
64 bytes from 2a00:1450:8004::67: icmp_seq=1 ttl=56 time=147 ms
64 bytes from 2a00:1450:8004::67: icmp_seq=2 ttl=56 time=111 ms
64 bytes from 2a00:1450:8004::67: icmp_seq=3 ttl=56 time=142 ms
64 bytes from 2a00:1450:8004::67: icmp_seq=4 ttl=56 time=50.1 ms
この「teredo」タイプのトンネリングを使用しているときに、MITM などの攻撃から安全であることを保証する方法はありますか?
この種類の「トンネリング」を使用するのは安全ですか?
「teredo.ipv6.microsoft.com」がトラフィックをスニッフィングしていないことをどのように確認できますか?
ご指摘や訂正をいただければ幸いです。
答え1
一般的に、MITM 攻撃に対しては、通常どおり安全です。teredo.ipv6.microsoft.com などの Teredo 「サーバー」は、実際にはパケットを転送しません。これらのサーバーは、NAT を回避し、実際に通信を行うマシン、つまり Teredo 「リレー」とコンピューターが通信できるようにするという重要な目的を果たします。
IPv6 対応サイトの多くと、少数の大手 ISP は Teredo リレーを実行しているため、多くの場合、データがすでに通過するパスの近くにあるマシン、またはアクセスしているサイトをホストしているマシンの近くにあるマシンがトラフィック自体を直接処理できるため、通常よりも MITM 攻撃に対して脆弱になることはありません。
Teredo「サーバー」はトラフィックをスニッフィングすることができず、実際のトラフィックを処理するリレーからのいわゆる「バブルパケット」とICMPトラフィック(サーバーは直接pingを転送するため)のみが表示されます。
しかし、それはインターネットが通常通り安全であるのと同じくらいの安全性しかありません。ワイヤレスで通信する場合、トラフィックが盗聴される可能性は依然としてありますし、ISPがトラフィックを盗聴する可能性も依然としてありますし、送信先が送信したすべてのトラフィックを見る可能性も依然としてあります。そのため、Teredo自体が安全であると考える罠にはまらないようにしましょう。提供するセキュリティを強化しても、セキュリティが大幅に低下することはありません (低下したとしても)。