2012年11月18日 星期日

IPv6的通訊安全隱憂


學習新協定才能面對改革
IPv6的通訊安全隱憂

主要內容及網路服務供應商已正式永久啟用IPv6,使純粹IPv6的通訊量爆增,但是當成功的愉悅消散之後,處理IPv6通訊的安全隱憂卻正要開始。如同企業致力專注於保護IPv4網路一樣,資安人員必須學習新協定的基本知識,才能面對變革。

在今年六月所舉辦的「全球IPv6活動(World IPv6 Launch)」中,主要內容及網路服務供應商已正式永久啟用IPv6,使純粹IPv6的通訊量爆增,因此達成了公開目的。從提升IPv6運用的角度來看,這堪稱是一大進展。但是當成功的愉悅消散之後,處理IPv6通訊的安全隱憂卻正要開始。

在這些資安問題之中,最大宗的莫過於未經授權的通道,它可以讓IPv6通訊化為無形,在公司網路中形成一條完全沒有防護的進出通道。要關閉這類管道,需要先讓它現形,而且要對IPv6的轉換機運作有相當的了解。

我們很容易理解為何各企業機構勢必要轉移至IPv6。首先,IPv4的定址空間已經耗盡。每一種連接到網際網路的裝置都必須分派到相對應的IP位址,由於IPv4協定只以32個位元來定義IP位址,因此有效的位址只有232個。IPv6則是將可用位址總數提升到2,128 個。雖然IPv4運作得很好,然而因為網際網路連線裝置數量急速成長,使得該協定的壽命將屆。IPv6尚有其他優於IPv4之處,包括簡化位址分派。

如同企業致力專注於保護IPv4網路一樣,他們也必須同樣專注在IPv6上。資安人員必須學習新協定的基本知識,才能面對變革。為了幫助IT人員加速了解IPv6的安全防護策略,網路上已經公布了許多實務建議,像是國家標準與技術學會(NIST)所提供的指南等。

如果企業的安全裝置支援IPv6,那麼現在就該將它啟用。有些作業系統,像是Windows Vista與Windows 7,都預設支援IPv6轉移。這表示該類功能可能已經在IT部門不知情的狀況下就已經開始運作, 因此用戶極可能因此繞過防火牆及入侵偵測系統(IPS)的防護。

這些通道在運作時,會讓支援IPv6的主機與路由器透過IPv4的網際網路,連接其他IPv6裝置。問題便在於由於它們會穿過防火牆,使攻擊者有可能繞過安全控管,進而侵入網路內的資源。有鑑於此,在採用如6to4這種通道協定來支援轉移至IPv6時,必須要謹慎考量,而且最好盡量減少使用。

實際上,IPv6可能已經悄悄在企業機構的網路中運作,而可能被當成殭屍網路或是駭客的掩蔽管道。雖然這些企業可能尚未主動在公司網路上採用IPv6,但是他們的安全基礎設施的確有必要能夠偵測IPv6的流量。畢竟,看不到的敵人是無法防衛的。

要保護IPv6環境,最重要的便是「可視性」。所有企業組織都需要讓他們所採用的安全解決方案能支援IPv6、並讓IPv6順利運作。某些狀況則需要升級才能達成上述目標,因為像是老舊的入侵防禦系統及防火牆,可能無法深入檢測IPv6的流量。雖然過去數年裡,許多主流防火牆及網路安全廠商都開始在設備裡增加了對於IPv6的支援,然而,公司機關仍應與廠商確認自家所採用的產品是否具備一切必須的功能,並著手在環境中運用這些功能。外界已有數種IPv6測試的起步工具,像是NIST的USGv6側寫與測試計畫(USGv6 Profile and Testing Program),可以協助上述作業。

一旦越來越多的組織開始配置IPv6,管理人員就必須額外注意,將機制及裝置組態檔進行轉換,以避免在網路上開啟未經授權的通道。未來IPv6必然不可或缺,因此所有組織機構都應該著手採行對策,以期安全地運用IPv6。

轉載自《網管人;作者:吳炳東》

沒有留言:

張貼留言