IETF homenet co-chair, Mark Townsley氏インタビュー(6)

2013/5/13-1

他の要素として、家庭内でのサービスディスカバリがあります。 たとえば、複数のサブネットが家庭内にあり、サブネットを越えてストリーミングを見たいときなどがあげられます。 標準をいじらずにこれらのことを実現する方法はいくつもありますし、いくつかのプロトタイプがあります。 dnsextワーキンググループで別の活動として行われているものもありますが、あちらは多少エンタープライズ環境にフォーカスしています。 ということで、どうやってやるのがベストかを模索している途中です。

他には、エッジでのセキュリティをどこまで考慮するかという話もあります。 「それはRFC6204の一部なので、我々の問題ではない」と主張するという方法もあります。 私は、最近v6opsワーキンググループで提案されたRagnar Anfinsen氏のbalanced securityドラフトの大ファンです(http://tools.ietf.org/html/draft-v6ops-vyncke-balanced-ipv6-security)。

ホームネットワークのエッジにおけるセキュリティには3つの選択肢があります。 シンプルセキュリティは、最も愚かな(原文ではsimple minded)方法です - 今日のIPv4のようです。 もうひとつが私がEric Vyncke氏と一緒に行ったadvanced securityです。 これは、提案当時の4,5年前としては多少やり過ぎでした。 当時、「クラウドに繋がったゲートウェイなんて存在しない」という反応でしたが、いまではそれはあります。 そして、それはシンプルなファイアウォールは適切なセキュリティを提供しないという主張をしています。 本当に必要なのは、両方の方向で守れるように、動的にアップデートされるトラフィックシグネチャや、侵入検知です。 それには、愚かな「全てのポートを塞いでしまえ」以外の何かが必要です。

balanced securityは、バランスをとったアプローチになっています。 「ほとんどのポートを開いたままにしておいて、悪いとわかっているものだけをブロックする」というものです。

ということで、3つの異なるレベルがあります。 Swisscomはbalancedをデフォルトとしています。 Swisscomはドラフトのco-authorです。 ノルウェーのAltiboxも同様です。

ということで、私はbalancedを希望しています。 私がシンプルセキュリティを嫌いな理由は、あまりにIPv4のように見えるからです。 「IPv4でそれが機能しているのでIPv6でも同じようにやればいいのでは?」と、先ほどあなたがされた質問と同じような質問が出るわけです。 「では、そもそもなぜIPv6を使うの?」という感じになります。

このように、私はバランスのとれたアプローチが好きですが、我々はセキュリティに関して何かをしなければなりません。 WANとLANの間の境界線の検出は、非常に重要ですが、非常に難しい問題です。 製品によって定義されたポートを用意するという方法もあります。 「WAN回線はここに繋いで下さい。LAN回線はここです。それ以外は勝手にやっていいです」と言ってユーザを制限することもできます。 もしくは、PPPoEは対外であるというような感じで自動検出するという方法もあります。

CiscoのMichael Behringerが提案している、本物のセキュリティをやるというところまで踏み込むことも可能です。 autonomic networkingと呼ばれることもあるものの一部です。 セキュアで自動化されたブートストラッピングとゼロコンフィギュレーションが非常に興味深いです。 homenetとしての、これに関する問題は、急速にレイヤー3を離脱してしまうことです。 箱のブートストラッピングに踏み込んでしまいます。 それを頼りにしても良いのであれば最高ですが、IETFのインターネットエリアはその部分に関してあまりコントロールを持っていません。 これは、工場制作段階でセキュアIDを埋め込むなどが要求されるためです。 それが業界で実現するかどうかは知りませんが、実現するのであれば素晴らしいと思います。 ただし、IETF homenetだけでそれが実現できるかどうかは定かではありません。

ということで、我々の状況はこんな感じです。 我々にある5分野、ルーティング、service and naming discovery、ダイナミックDNSアップデートによるネットワークの外部露出、セキュリティ、境界検出(border discovery)です。

(続く:次へ)

プロフェッショナルIPv6解説動画シリーズ再生リスト

動画で学ぶ「プロフェッショナルIPv6」を作っています。 もしよろしければご覧ください。お楽しみいただければ幸いです!