アカウント名:
パスワード:
自宅に IPv6 を導入して使ってみた経験がありますが(今は嫌気がして完全に無効にしていますが)、IPアドレスが長すぎるので、不便極まりないです。
256^4 だったIPv4 アドレスが足りなくなって困りだしたとき、 256^5 にすればよかったのに、256^16 なんかにしたのが間違いだったと思います。
IPv4: 4,294,967,296 個 (例) 10.51.45.123このぐらいで十分足りたはず:
ipv6は、なんで8でなくて、16バイトなの、という話は超FAQで、「インターネットの経路集約しやすくするためだ」ってのが答えのはず。そして、「プライベートIPアドレス嫌い、昔の全部グローバル時代がよかった」人がつくったので、全部グローバルにする前提。(エンドツーエンドの原則って名前が付いてるけど)下64bitは自動割り振りだけど、スタティックな割り振りができないわけじゃあないから、ルータはみんな::1だ、とか1Fの機械はみんな::1:0/120で2Fは::2:0/120で、とか運用できるよ別に。したいならだけど。上64bitの方はネットワークで同一なわけで、覚えてなくても自分のIPV6アドレスがあれば解るし。
あと、なんかリンクローカルアドレスを誤解しているけど、アレはほとんどプロトコルの内部用で、一般人が使う用途じゃないし。IFが複数あったときに、アドレス+IF指定しないとつながらないから不便すぎるし。
>PIP (プライベート IP アドレス)嫌いで NAPT または IP マスカレード嫌いなのはいいんですけど、セキュリティどうしたらいいのかすごーく疑問です。
NAPT、IPマスカレードとネットワークセキュリティは直接は関係ないよね。ACLをどう設定するかだけのはなしだけではない?
なるほど。一般家庭ではファイアウォールちゃんといれてないよ、という話だったのですね。そりゃ、たしかに危ない。
デフォルト設定でインバウンドのTCP SYN すべて拒否、みたいなのを必ずいれるようにしとけ的な話ですね。
v4のグローバルとv6のグローバルを同一視してはいけないと思うな。v4なんかしょっちゅうポートスキャンが回ってて、無防備なホストはたちまちそこからセキュリティホールを突かれてしまうけど、v6だと/64をポートスキャンするとか無理な話だし、使うアドレス自体エフェメラルになるからまず一般人の(DNS登録されてない)v6アドレスを得るのが難しい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
IPv6 のアドレスは長すぎた (スコア:4, 興味深い)
自宅に IPv6 を導入して使ってみた経験がありますが(今は嫌気がして完全に無効にしていますが)、IPアドレスが長すぎるので、不便極まりないです。
256^4 だったIPv4 アドレスが足りなくなって困りだしたとき、 256^5 にすればよかったのに、256^16 なんかにしたのが間違いだったと思います。
Re: (スコア:5, 参考になる)
ipv6は、なんで8でなくて、16バイトなの、という話は超FAQで、「インターネットの経路集約しやすくするためだ」ってのが答えのはず。そして、「プライベートIPアドレス嫌い、昔の全部グローバル時代がよかった」人がつくったので、全部グローバルにする前提。(エンドツーエンドの原則って名前が付いてるけど)
下64bitは自動割り振りだけど、スタティックな割り振りができないわけじゃあないから、ルータはみんな::1だ、とか1Fの機械はみんな::1:0/120で2Fは::2:0/120で、とか運用できるよ別に。したいならだけど。
上64bitの方はネットワークで同一なわけで、覚えてなくても自分のIPV6アドレスがあれば解るし。
あと、なんかリンクローカルアドレスを誤解しているけど、アレはほとんどプロトコルの内部用で、一般人が使う用途じゃないし。IFが複数あったときに、アドレス+IF指定しないとつながらないから不便すぎるし。
Re: (スコア:1)
NAPT 使ってると、外部から直接端末にアクセスするには難易度が高いわけで、 IPv6 になるとエンドツーエンドの名目でお外から直接アプローチできちゃうことが予想されます。 現在でも bot が多いのに、どうすんだ?と。
個人的には今の家庭用ブロードバンドルータ君にガンバってもらって、おうちでは外側には GIP つかってもらって、内側では全部リンクローカルで通信してくれると今の NAPT 風になるかなーと期待していますが、そんなの売ってないみたいだし。 端末まで GIP ほしいなら DHCPv6-PD でも使ってもらえばいいかなと。
Re: (スコア:1)
>PIP (プライベート IP アドレス)嫌いで NAPT または IP マスカレード嫌いなのはいいんですけど、セキュリティどうしたらいいのかすごーく疑問です。
NAPT、IPマスカレードとネットワークセキュリティは直接は関係ないよね。
ACLをどう設定するかだけのはなしだけではない?
Re:IPv6 のアドレスは長すぎた (スコア:1)
私のようなシロートが、 GIP を割り振られる PC を ONU やモデムに直結しているとアタックされて、 bot に仕立て上げられて、 bot ネットに組み込まれるのだろうなと思います。
GIP であっても適切に制御されたファイアウォールがあれば、リスクは下がるのでしょうが、そういう教育を受けたこともない、レベルの低い一般ユーザにそれを求めるのはムリがあります。 なんでも OK ボタンを押しちゃう人、反対に怖いからといって、 update を求めてくる表示があってもすべて「後で」とか「キャンセル」しちゃって全然セキュリティアップデートされない人、そういう人らをたくさん見ています。
そんなわけで、完全フールプルーフにしろとは思いませんが、今のお安いブロードバンドルータ程度のお値段で、現在の NAPT 程度には PC やスマホ等の端末類を守ってくれるモノ(ソフトでもハコでも)がほしいのですが、見当たらなくて、どうしたものかと途方にくれます。 IPv4 が枯渇すると必然的に IPv6 で接続せざるを得なくなってくるハズですが、「そのころには安い、そこそこのものが出てるから安心しろ」とはだれも言えなさそうで、杞憂に終わることを願っていつつも心配しています。
Re:IPv6 のアドレスは長すぎた (スコア:1)
なるほど。一般家庭ではファイアウォールちゃんといれてないよ、という話だったのですね。
そりゃ、たしかに危ない。
デフォルト設定でインバウンドのTCP SYN すべて拒否、みたいなのを必ずいれるようにしとけ的な話ですね。
Re:IPv6 のアドレスは長すぎた (スコア:1)
v4のグローバルとv6のグローバルを同一視してはいけないと思うな。
v4なんかしょっちゅうポートスキャンが回ってて、無防備なホストはたちまちそこからセキュリティホールを突かれてしまうけど、
v6だと/64をポートスキャンするとか無理な話だし、使うアドレス自体エフェメラルになるからまず一般人の(DNS登録されてない)v6アドレスを得るのが難しい。