パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

北米でもIPv4の在庫が不足」記事へのコメント

  • 自宅に IPv6 を導入して使ってみた経験がありますが(今は嫌気がして完全に無効にしていますが)、IPアドレスが長すぎるので、不便極まりないです。

    256^4 だったIPv4 アドレスが足りなくなって困りだしたとき、 256^5 にすればよかったのに、256^16 なんかにしたのが間違いだったと思います。

    IPv4:                                       4,294,967,296 個   (例) 10.51.45.123
    このぐらいで十分足りたはず:       

    • Re: (スコア:5, 参考になる)

      by Anonymous Coward

      ipv6は、なんで8でなくて、16バイトなの、という話は超FAQで、「インターネットの経路集約しやすくするためだ」ってのが答えのはず。そして、「プライベートIPアドレス嫌い、昔の全部グローバル時代がよかった」人がつくったので、全部グローバルにする前提。(エンドツーエンドの原則って名前が付いてるけど)
      下64bitは自動割り振りだけど、スタティックな割り振りができないわけじゃあないから、ルータはみんな::1だ、とか1Fの機械はみんな::1:0/120で2Fは::2:0/120で、とか運用できるよ別に。したいならだけど。
      上64bitの方はネットワークで同一なわけで、覚えてなくても自分のIPV6アドレスがあれば解るし。

      あと、なんかリンクローカルアドレスを誤解しているけど、アレはほとんどプロトコルの内部用で、一般人が使う用途じゃないし。IFが複数あったときに、アドレス+IF指定しないとつながらないから不便すぎるし。

      • 話脱線しますが……、 PIP (プライベート IP アドレス)嫌いで NAPT または IP マスカレード嫌いなのはいいんですけど、セキュリティどうしたらいいのかすごーく疑問です。 なんか bot 天国になりそうに思います。
        NAPT 使ってると、外部から直接端末にアクセスするには難易度が高いわけで、 IPv6 になるとエンドツーエンドの名目でお外から直接アプローチできちゃうことが予想されます。 現在でも bot が多いのに、どうすんだ?と。
        個人的には今の家庭用ブロードバンドルータ君にガンバってもらって、おうちでは外側には GIP つかってもらって、内側では全部リンクローカルで通信してくれると今の NAPT 風になるかなーと期待していますが、そんなの売ってないみたいだし。 端末まで GIP ほしいなら DHCPv6-PD でも使ってもらえばいいかなと。
        親コメント
        • by Anonymous Coward on 2015年07月05日 13時56分 (#2842326)

          IPv6をパススルーするだけの安物ルーターは論外だけど、NTTのHGWとか多少まともなIPv6対応のルータなら、IPv4と同様にポート指定のフィルタリングができるから、きちんと定義すればよい。

          親コメント
        • by Anonymous Coward on 2015年07月05日 14時09分 (#2842332)

          ファイアーウオールを立てればすむ話、というのが答えだったはず。
          デフォルト動作として、外から中は全拒否して、中から外は許可にすればよくて、そういう機能をいまでいう「ブロードバンドルータ」なり「ワイヤレスルータ」が持てばいい。
          そういう機械なくてもグローバルアドレス降ってくるよね、っていうのはその通りだけど、今だってPCに直接PPPoE喋らせるような構成はあるわけで。

          あ、あとは、「IPv6の64bit空間はポートスキャン無理ですから」ってところ。どちにしろ初手は中から外へ通信して相手を決定する必要がある、みたいな話。

          親コメント
          • やっぱりポート制御(=簡易ファイアウォール)ですかね。 ただ、一般ユーザだと「マイナンバーにはファイアーウォールがある。年金番号のような失態にはならない」 [sankei.com]みたいなことを言っちゃって盲信し、ぬるい状態から bot の大量生産を想像してしまうわけです。(好意的に言えば、あれはファイアウォール「も」あって、万全を期すみたいな言い回しにすればよかったんじゃないかと思っています) GIP アドレスを割り振られることがどういうことかを認識できる人ならいいんですが、私を含めシロートにはお安いファイアウォールが普及してくれるのを待たないといけませんね。

            となると、バッファロー、 NEC 、エレコム、 IO-DATA 等のブロードバンドルータベンダの活躍を期待ですね。 FortiGate などの専業ベンダがお安いモノを出してくれてもいいんですが、オーバースペックになりそうだし……  IPv4 が足りなくて、 IPv6 へ移行しつつあるところのユーザはどうしてるんでしょうね、そんな NIC 管轄エリアはまだない?

            親コメント
        • >PIP (プライベート IP アドレス)嫌いで NAPT または IP マスカレード嫌いなのはいいんですけど、セキュリティどうしたらいいのかすごーく疑問です。

          NAPT、IPマスカレードとネットワークセキュリティは直接は関係ないよね。
          ACLをどう設定するかだけのはなしだけではない?

          親コメント
          •   NAPT とネットワークセキュリティとは直接は関係ないのは同意しますが、 NAPT 経由接続の場合マルウェア感染率は GIP アドレスになる接続と比較して、有意に低いという話を某所で大手プロバイダさんの話として聞いたことがあります。 必ずしもマルウェア感染率と bot 率が同一とは限りませんが、相関は高いと考えています。  GIP アドレスを欲して、ファイアウォール相当を導入する人を見たことはありません。 しいて言うなら、現在の NAPT なブロードバンドルータをファイアウォール代わりにしてもらって「ポートフォワードしてねー」とお願いする程度です。

             私のようなシロートが、 GIP を割り振られる PC を ONU やモデムに直結しているとアタックされて、 bot に仕立て上げられて、 bot ネットに組み込まれるのだろうなと思います。

              GIP であっても適切に制御されたファイアウォールがあれば、リスクは下がるのでしょうが、そういう教育を受けたこともない、レベルの低い一般ユーザにそれを求めるのはムリがあります。 なんでも OK ボタンを押しちゃう人、反対に怖いからといって、 update を求めてくる表示があってもすべて「後で」とか「キャンセル」しちゃって全然セキュリティアップデートされない人、そういう人らをたくさん見ています。

             そんなわけで、完全フールプルーフにしろとは思いませんが、今のお安いブロードバンドルータ程度のお値段で、現在の NAPT 程度には PC やスマホ等の端末類を守ってくれるモノ(ソフトでもハコでも)がほしいのですが、見当たらなくて、どうしたものかと途方にくれます。 IPv4 が枯渇すると必然的に IPv6 で接続せざるを得なくなってくるハズですが、「そのころには安い、そこそこのものが出てるから安心しろ」とはだれも言えなさそうで、杞憂に終わることを願っていつつも心配しています。
            親コメント
            • なるほど。一般家庭ではファイアウォールちゃんといれてないよ、という話だったのですね。
              そりゃ、たしかに危ない。

              デフォルト設定でインバウンドのTCP SYN すべて拒否、みたいなのを必ずいれるようにしとけ的な話ですね。

              親コメント
            • by Anonymous Coward on 2015年07月06日 5時31分 (#2842573)

              v4のグローバルとv6のグローバルを同一視してはいけないと思うな。
              v4なんかしょっちゅうポートスキャンが回ってて、無防備なホストはたちまちそこからセキュリティホールを突かれてしまうけど、
              v6だと/64をポートスキャンするとか無理な話だし、使うアドレス自体エフェメラルになるからまず一般人の(DNS登録されてない)v6アドレスを得るのが難しい。

              親コメント
        • 一応、家庭用ルータのガイドラインで、デフォルトで外から内側への接続を遮断する事が必須、とされています。
          IPv6家庭用ルータガイドライン【第2.0版】 [v6pc.jp](「4.1.1 外部からのアクセスの制限」参照)

          実際、NVR-500 で普通に設定すると、そんなフィルタがデフォルトで有効になっていました。もっとも自分は、あれこれいじっている最中、IPv6 に一切フィルタがない状態が一週間ぐらいあったのですが、おうちサーバへの IPv6 による SSH アクセスは全くありませんでした。

          IPv6 がマイナー、という事もあると思いますが、アドレス空間が大きすぎて、スキャンの効率が悪すぎる、というのはあると思います。通常、ISP からは 64bit のプレフィックスが渡ってきて、残り 64bit を契約者は自由に使えます。仮に、自分に割り当てられている 64 bit のプレフィックスがターゲットになっても、残り 64 bit のアドレス空間の中から、実際に生きている数個のアドレスを当てるのは、気が遠くなります。

          親コメント
          • IPv6家庭用ルータガイドライン【第2.0版】は大変参考になりました、ありがとうございます。 これらの「必須」とされている項目だけでもカバーしたルータが 5,000 円くらいで入手できるようになると、おススメしやすいです。 性能は別として、 IPv4 のブロードバンドルータは 2,000 円弱で無線付きが入手できますから、そんなに無茶じゃないと思うんですけどね。

            NVR500 の現在の入手価格は 15 年くらい前のルータのお値段くらいですかね。 同じペースで入手価格が下がるとあと 5 年で一万円くらいになると期待しています。
            プロバイダが IPv6 対応してくれないので、自宅の IX2105 が IPv6 しゃべる前に陳腐化・老朽化しそうです。 こんな高いルータは勧められませんしね。
            親コメント
        • by Anonymous Coward

          全員グローバルなら、ブラックリスト・ホワイトリストが発達するんじゃないかな。ヒューリスティックにブラックさが判別できるようになったり。

人生unstable -- あるハッカー

処理中...