IPoEで速度向上 安易な構築はセキュリティに不安 今時のルータ選び方

IPoEで速度向上 安易な構築はセキュリティに不安 今時のルータ選び方

IPv6時代の無線LANルーターの選び方

はじめに -ネットワークの混雑を改善したい人が増えている-

 ここのところIPv6に関連する技術などの話題を多く聞くようになってきました。

 最近では多くの人がパソコンだけでなくスマホを利用するようになり、家族の全員がスマホを所有している家庭は珍しくありません。そのため家族がスマホでyoutubeを視聴したりしてインターネットからダウンロードするデータ量が増大しています。さらに、動画以外にもネットワークを経由した地上波テレビ視聴ですとか、ビデオのオンデマンドなどでも帯域を利用しますし、オンラインゲームなどをすればオンラインでデータのやりとりをすることになります。

 そのため近年ではインターネット回線が慢性的に混雑するような状態になっており、特に夕方から深夜にかけてネットワークの回線が遅くて困るという人が結構いますね。

 そのためネットワークの回線速度を速くしたいという人が増えています。

 まずあらかじめ、このブログでは概念的な説明をしているため、必ずしも正確な記述ではないことをご理解していただけると助かります。

IPv6にすると速度が改善する理由

 ネットワークが混雑するということはわかりました。それではなぜ、そこでIPv6が関連しているのでしょうか?

 いま、普通に利用しているネットワークはIPv4という仕組みを利用しています。よく自分自身を表すIPアドレスとして127.0.0.1というIPアドレスを利用していると思いますが、このようなIPアドレスを利用して通信する仕組みなどをIPv4と総称しています。実は、このアドレスが枯渇し始めているため、より多くのアドレスを使えるようにするためにIPv6という、より多くのアドレスを利用できる方法が考え出されました。このあたりについて詳しく説明すると長くなるので割愛します。

 実は、そのIPv4でインターネットに接続するための方式の一つである、PPPoEという仕組みが速度原因の一つになっていたのです。

 上記の図(画像クリックで拡大します)はIPv4でインターネットに接続する一般的な方法であるPPPoEプロトコルを利用した接続方法の経路図と、IPv6での接続に利用するIPoEという接続の方式です(正確には異なりますが、概念的に表現しています)。

 従来のIPv4での接続は一般的にPPPoE接続が多いです。ルーターと、インターネットにあるPPPoEサーバが通信して接続を確認するわけですが、現状では、PPPoEサーバの設備能力に不備があり通信速度が低下しています。

 PPPoEサーバは接続相手が契約しているユーザがどうか確かめるためにIDとパスワードを確かめており、認証された相手ととのみ通信するわけですが、このサーバの能力がユーザ数と見合っておらず、現状では通信速度が遅くなっているということです。

 ではどうすればいいか?と考え出されたのが、IPv4 over IPv6という仕組みです。IPv6での接続方式の一つであるIPoEという仕組みを利用して接続すれば、PPPoEサーバを経由する必要がありません。そのため速度のボトルネックとなっているPPPoEを経由せず通信が可能となるため、速度が速くなる可能性がでてきているわけです。

 IPv4 over IPv6では上記のような経路で通信をします(画像クリックで拡大します)。

 通常はPPPoEサーバを経由してIPv4のネットワークに接続します。ですが、IP4 over IPv6では、IPv6のデータにIPv4のデータを乗せてデータの通信を行います。説明が難しいですが、「これはIPv4のデータだな」と理解したIPv4 over IPv6対応ルータは、IPv4のデータをIPv6形式に変換してデータを送信します。これをカプセル化とか、トンネル化などといいます。そしてゲートウェイが中身のデータがIPv4だと判断したらIPv4のデータを取り出してIPv4のネットワークへデータを流します。

 こうすることでIPoEでIPv6のネットワークを利用してIPv4のデータをやりとりすることで、PPPoEサーバを経由することなく通信することができるので、通信速度が速くなるわけです。

IPoEを利用するとセキュリティに問題が発生する可能性がある

 このようにIPoEを利用したIPv4 over IPv6は非常に便利なのですが、セキュリティ的に問題がある可能性があります。

  IPv6というのはスマホやPCなどの各ネットワーク機器に、世界に固有で唯一のIPアドレスを設定します。なので、そのまま利用すると世界中に自分機器をネットワークに公開することになってしまいますので、誰でもあなたのスマホやPCに接続できてしまうことになります。

 今時はコンピュータ上にアンチウィルスソフトなどパーソナルファイアーウォール機能があるソフトがインストールされていると思いますが、それはあくまでソフトウェアで監視しているだけで確実なものではありません。何らかのウィルスに完成した場合には保証できないものです。

 これまでのIPv6の通信は上記のような暗黙的な了解がありました(画像クリックで拡大します)。それは、自分自身が送信するデータやその返信となるデータのみ受信するというものです。そして、あなたの通信と関係ない通信に関しては、外部からの通信は遮断するというものです。これであれば、自分が必要な通信しか行われないため、インターネットからあなたへの攻撃は遮断することができます。

 ですが、各プロバイダのIPoEを利用するためには、この外部からの通信を許可する必要があります。

 その状態が上記の画像です。このように外部からの通信を許可してしまうため、誰でもあなたのPCへのアクセスが可能になります。

 従来のIPv4では実際に通信するIPアドレス(グローバルIPアドレス)とあなたのPCやスマホのIPアドレス(ローカルIPアドレス)が異なるため、このような問題は起こらなかったのですが、IPv6ではすべての機器がグローバルアドレスを利用するため、このような問題が生じます。

ルータの機能の理解が必要 -簡単なルータの機能の解説-

 このように自分のPCやスマホをネットワークに直接、公開しないようにするためには無線LANルータに特別な機能が必要になります。

 まずは、そのルータの簡単な説明をしてみます。

 ルータは今では多くの機能が内包されているので非常に難しい機器の一つになっています。設定項目をみても何がどうなっているのか、よくわからない人も多いと思いますし、自分もその一人です。ルータは概ね、上記の図のような機能をもっています(画像クリックで拡大します)。

 まず、インターネット側には光ファイバーならONU、ADSLならADSLモデムなどが有り、そこからLANケーブルでルータに接続します。いわゆるWANと書かれているLANケーブルの差し込み口です。そしてLANと書かれているLANケーブルの差し込み口からPCをLANケーブルで接続します。

 これがルータの普通のつなぎ方ですが、その内部ではインターネット側からPPPoEクライアント、ファイアーウォール、ルータ、スイッチングハブの順に機能が並んでいます。

 PPPoEクライアントというのは、すでに述べましたがPPPoEサーバと接続するための機能で、ユーザやパスワードを利用して主にIPv4の通信するための処理をする機能です。これで認証を行うことでセキュリティを保つことができます。

 ファイアーウォールというのはインターネット側から内部への必要ないデータの通信を遮断するものです。ファイアーウォールは常にデータの中身をチェックしていて、矛盾がないのか調査しています。詳しい仕組みは省きますが、関係ない通信がインターネット側からいきなりやってきたら、そのデータをPC側に伝えないように遮断します。これは、よくオンラインゲームなどをするときに、「ポートを開けないと外部からの通信がルータによって遮断されるので通信できない」と言われると思いますが、これが関係しています。自宅にサーバを設置したいというときにも、”ポートを開ける”とか”DNZの設定をする”という表現を聞いたことがあると思いますが、これと同じです。
 またファイアーウォールには、特定のIPアドレスを遮断するという設定をすることができます。その機能をパケットフィルタリング機能といいます。
 これらの機能を組み合わせたものや、その一部の機能を、メーカによって異なりますがNDプロクシ、ステートフルパケットインスペクション(SPI)、ダイナミックポートコントロールなどと呼んだりします。

 ルータというのは説明するまでもないですが、IPv4においては一つのグローバルIPを複数のPCで利用するために必要な機能です。

 スイッチングハブはコンセントの延長ケーブルのように一つのLANケーブルの差し込み口を複数に分割するものです。

 ここで重要なのはファイアーウォールの機能です。この機能がIPv6の通信でも機能していれば、外部からの関係ない通信を遮断できることになるので、安心して通信を行うことができます。

よくわからないルータの各種のブリッジモード -ルータの各種モードの解説-

 ルータによっては様々なモードがあります。例えば、PPPoEブリッジ、IPv6パススルー(IPv6ブリッジ)、ブリッジモード、ローカルルータモードなどです。それぞれどのようなモードでしょうか?

 すでに記述しましたが、市販の民生品の無線LANの多くは上記の画像ような機能の集合体です。ごく簡単にいうと、これらの機能から一つ、または複数の機能を動作させずに機能させることを、ブリッジモード、またはパススルーといいます。ブリッジモードの場合は橋を架けるような意味で、その機能を通過させることを意味し、パススルーは何もせず通過させるような意味で、その機能を通過させるような意味で利用します。

ローカルルータモードとAPモード(ブリッジ)

 よくあるのが、ローカルルータモードとAP(アクセスポイント)モード(ブリッジ)です。これらはメーカによって名称が違ったりするので必ずしも同じではないので注意してください。また、このブログでは、そのあたりの違いについても言及していません。

 まずはローカルルータモードです。これは上記のようにPPPoEクライアントの機能を無効にした状況になります。

 これはどのような時に使うのかというと、例えばIP8など8個のIPアドレスを得るような契約をプロバイダとしている場合などに利用します。上位にさらにもう一つのルータがあり、そのルータがグローバルIPアドレスを8個所有していたりして、さらにそのIPアドレスを複数のPCで利用したりする場合に利用します。

 一般家庭ではあまりこういうことはないと思いますが、中小企業などではこのように利用する形態はあるのかな?と思います。

 ともかく違いとしてはPPPoEクライアントを使用しないので、直接的にインターネットに接続するわけではなく、上位にある他のルータなどのネットワーク機器に接続するのがローカルルータモードです。

 ルータによって名前が異なりますが、ブリッジモード、アクセスポイントモード、APモードなどと呼ばれるのがこのタイプです。

 このモードにすると、PPPoEクライアント機能、ファイアーウォール機能、ルータ機能が無効になり、単なるハブになります。それだったらスイッチングハブを購入すればいいのですが、無線LAN機能を利用できるため、このモードが存在します。

 例えば、プロバイダによっては無線LAN機能のないルータをレンタルしている場合もありますが、そのネットワークに無線接続したい場合にはブリッジモードについてプロバイダ提供のルータに接続します。

 この場合、ファイアーウォールを経由しないのでセキュリティ的に不安なのでは?と思いますが、プロバイダなどから提供されてるルータにその機能が内包されているので、ブリッジモードにしてもセキュリティは保たれています。

 このようにすることで2重にルータ機能やファイアーウォール機能を利用することがなく管理が楽になりますし、余計な処理が必要なくなるためデータの転送速度もはやくなる可能性があります。

IPoE(IPv4 over IPv6)を利用するIPv6パススルー(IPv6ブリッジ)とは?

 話が長くなりました。それでは、IPv6で通信するIPoEを利用するのに必要ななのはどのようなルータが必要なのでしょうか?

 よくプロバイダにはIPv6パススルー機能があればIPoEの機能が利用でき通信できるという説明があります。これは正しいのですが、実はこれではセキュリティには問題が発生してしまう可能性があります。

 これまで説明した図で示せば、IPv6パススルー(IPv6ブリッジ)で働いている機能は上記のようになります。

 ちょっとびっくりしませんか?働いている機能はスイッチングハブだけです。「パススルー」、「ブリッジ」の意味を思い出していただければわかるとおもいますが、本来はIPv4のために提供していた機能を動作させないことによってIPv6での通信ができますよというのが、パススルーということの意味になっています。

 そのため、IPv6パススルー(IPv6ブリッジ)の機能を利用してIPoEを利用すると、自分が利用しているサーバやスマホが世界のネットワークに直結していることになり、それらのOSなどに不具合があった場合にはハッキングなどの問題が発生してしまう可能性があります。

IPv6を見据えた無線LANルータの選び方

 これらを踏まえたルータの選び方です。

 まずは、IPv6 over IPv4の機能が実装されていることです。いまのところでは、MAP-EまたはDS-Liteが主な規格ですので、それらに対応していることが重要です。利用できるかどうかはプロバイダ次第ですので、プロバイダがどのようなIPv6 over IPv4の機能を採用しているかを調査して、それに対応している機能のルータを買うことが必要です。

 そして次に重要なのは、IPv6ファイアーウォール機能が実装されているルータを選ぶことです。

 これを既存のシステムで表すと上記のような機能になります。IPv6パススルーではスイッチングハブだけが機能している状況でしたが、IPv6のファイアーウォール機能が働いているルータでは、上記のようにファイアーウォールが機能しています。ルータに関しては、IPv6ではネットワークに接続している機器がすべてグローバルIPアドレスを所有しているので基本的には必要ありませんので、機能する余地がありません。

 必要なのはIPv6の通信に対してファイアーウォールが実装されているルータかどうかですが、そのあたりは説明書なり、Webをみて判断するしかありません。具体的な名称としては、NDプロクシ、SPI(ステートフルパケットインスペクション)、ダイナミックポートコントロールなどという名称があり、それがIPv6の通信で機能するかどうかということをチェックしたほうがいいですね。

 今後数年で、ネットワーク環境はかなり変わる可能性がありますので、通信技術に関するものはある程度、先を見越して購入を検討したほうがいいと思いますが、このIPv6関連についても、いまルータを購入するなら機能を検討して選択したほうがいいと思います。

ニュースカテゴリの最新記事