IPv6 ソースガードとは
IPv6ソースガード(IPv6 Source Guard)は、IPv6ネットワークにおいて、特定のホストが正当なIPv6アドレスを使用しているかどうかを検証するセキュリティ機能です。この機能は、主にエンタープライズやデータセンターなどのスイッチ環境で利用され、各ホストが自分に割り当てられた正当なアドレスのみを使って通信することを保証します。IPv6ソースガードは、IPv4における**IPソースガード(IP Source Guard)**のIPv6版と考えることができます。
IPv6ソースガードの目的と役割
IPv6ソースガードの主な目的は、**IPv6アドレスのなりすまし(スプーフィング)**を防ぐことです。攻撃者が他のホストのIPv6アドレスを偽装して、ネットワークに不正アクセスすることを防止します。この機能は、以下の方法でネットワークのセキュリティを強化します:
- IPv6アドレススプーフィングの防止:
- 攻撃者が偽のIPv6アドレスを使って他のデバイスを装い、ネットワークリソースにアクセスしようとすることを防ぎます。これにより、不正なデバイスによる通信が制限されます。
- ネットワークアクセスの管理:
- ネットワーク上の各ホストに対して、事前に割り当てられた正当なIPv6アドレスを使用しているかを検証します。不正なアドレスを使用するホストは通信をブロックされます。
- セキュリティの向上:
- DHCPv6やSLAAC(Stateless Address Autoconfiguration)によって正当な方法でIPv6アドレスを取得したホストだけが通信を行えるようにします。これにより、ネットワークにおけるトラフィックの安全性を確保します。
IPv6ソースガードの仕組み
IPv6ソースガードは、バインディングテーブルを基に各インターフェースから送信されるパケットの正当性をチェックします。このバインディングテーブルは、ホストのIPv6アドレス、MACアドレス、接続インターフェースの対応関係を記録しています。
- DHCPスヌーピングやIPv6デバイストラッキングなどの機能により、バインディング情報が動的に収集され、バインディングテーブルに保存されます。
- IPv6ソースガードは、各インターフェースから送信されるパケットを監視し、パケットの送信元IPv6アドレスとバインディングテーブルの情報が一致するかを確認します。
- 一致すれば通信を許可し、不一致の場合はパケットを破棄します。
IPv6 ソースガードの設定
グローバルでの設定
IPv6ソースガードポリシーを指定します。
Switch(config)#ipv6 source-guard policy [ポリシー名]
グローバル自動設定アドレスからのデータトラフィックをドロップします。
Switch(config-sisf-sourceguard)#deny global-autoconf
すべてのリンクローカルアドレスからのデータトラフィックを許可する。
Switch(config-sisf-sourceguard)#permit link-local
インターフェイスでの設定
インターフェイスに対してIPv6ソースガードポリシーを適用します。ポリシー名を指定しない場合はデフォルトのポリシーが適用されます。
Switch(config)#interface interface-id
Switch(config-if)#ipv6 source-guard [ attach-policy ポリシー名 ]