IPv6の逆引き設定は必要か?
Published: 2011/03/02
その昔IPv6を使った新しいサービスとかネットワークマネージメント手法が語られていた時代があり、そこでさまざまなことを語っていた人たちがたくさんいたような気がします。がしかし、ここ数年は、
- IPv6?使えるアドレス数が膨大になるだけです。
- IPv4と同じことができます。+も−もなく。
- むしろシームレスに移行がすすみ、気がついたらIPv6になっていたという形が望ましい
みたいな言葉をよく聞くようになってました。
そして、これらの言葉を受けて既存サービス提供側からは、
- IPv4でできることはすべてできないといけない。
- 既存のネットサービスすべてがIPv4と同等に提供できないといけない。
- IPv6化によるデグレはゆるさない。
みたいなことを言われ、さらに通常のサービス機能、オペレーション機能だけではなく
- スパム、DDoS対策などのセキュリティ対策機能
- 大量利用ユーザーに対するトラフィックマネージメント機能
についても今現在とまったく同じことができないといわれてしまっている状況をよく聞きます。
まぁ、既存サービス提供側が言っていることは正論でしかも痛いところをついていて、単なるコネクティビティやウェブ、メール等の基本サービスはいいとして、ISPが提供している複雑化したサービスすべてをIPv6に置き換えることは非常に困難で、対応装置、ソフト、アプリも全然揃っていない状況なわけです。
IPv6これからです。。。
そんな状況でのセキュリティ対策はよりいっそう悩ましいわけです。
ここではまずはDNSの逆引き設定に関連した話です。
昔はIPv6は必ずユーザーに固定で割り当てられるものと思っていましたが、結局IPv4と同様に動的割り当てサービスも同時に提供される場合が多いです。
これを聞いた瞬間にスパムに苦しめられ続けているメールサーバー管理者の方は、不安を感じてしまうのでは、、、
スパム対策やウェブのアクセス制御で、接続しにきたユーザーのIPアドレスの逆引き登録があるかないか?さらに正引き逆引きが一致するか?をチェックしてスパム判定する手法があります。たしかに、これ単体で完全にスパムを止めることはできないですし、オーバーブロックする副作用もありますが効果は大きいのも事実です。ちゃんとした使い方をすればこの手法で救われたメールサーバーの管理者の方も多いと思います。
これはIPv6ではどうなるでしょうか?
IPv6は基本的にはすべてのアドレスに対して逆引き設定することは不可能です。
サーバー側もIPv4と同じ設定を適用するのが普通でしょう。
悪影響しか受けたことがないとか、いろいろな意見はあるでしょうが、全体的に見れば十分な効果を上げてきたということで結果としてこの手法が世界中のたくさんのサーバーに適用されている現状においては、逆引き設定をすることで、メール送信への悪影響を回避すべきではないかと思うわけです。
したがって、全部とはいいませんが、必要なホスト(/128)を個別に設定し、割り当てられたブロック/64とか/48全体に対しては同じ応答を返すように*を使った逆引き設定をすることになるかと。正逆一致チェックに対してはNGですが。
IPv6の逆引き設定はこのあたりが限界かなぁと思います。
現状のIPv4でも海外のDSL等のアクセスラインサービス事業者や国内でも一部のホスティングサービス事業者では、これらの問題を回避するためか、そのASが持っているすべてのアドレスに対して1つの逆引き設定をしているところもあります。「*」を使えばできますよね。しかもドメインでもない文字列の場合もあります。これらの対応と同じかと。
また、障害時の切り分けやサービス提供側からみた顧客対応の面から考えても、あの長いアドレスよりは、せめて/64とか/56とか/48単位で逆引き設定があれば、コミュニケーションしやすいのではないかと思うわけです。ま、/48ひとまとめにした逆引き情報で判断できる情報は少ないかもしれませんが。
様々な対処療法の積み重ねで安定性、安全性の向上の努力をしてきたインターネットサービスですから柔軟に対応しつつ、歪なところ、直すべきところは直していくしかないのでしょう。そして、それでもどうしようないところは個別に対応していくしか。特にISPさん、IPv4でも実は同じでしたよね?正しくメールが届くようにするために長い期間個別対応し続けていた過去。。。悩みは続きますね。
by jyake