总部位为芬兰的资安厂商Stonesoft将与数家全球最大的IPv6资讯量的公司合作经验为本,积极协助各企业与政府机构以安全并具成本效益的方式导入IPv6。基于许多机构对IPv6的复杂性有所错误的理解,Stonesoft提出10大要点,并且澄清部分网络传说与缪论,以供网络规划管理者与资安长做参考。
『很多人认为IPv6跟IPv4的资讯流安全机制上没啥差异-这可是大错特错。会造成这样的观念肇因于机构不清楚自己的需求再加上某些厂商胡乱吹嘘自己的产品在IPv6的环境下多么强悍。』Juha Luoma, Stonesoft的FW/VPN产品经理如此警告。 以目前已完成的大型IPv6导入计画经验,
Stonesoft分享以下IPv6安全重点:
1.现有网络大扫除:整理现有的IPv4网络架构:整理、扫除并更新。把陈旧过时的设备与用不到的功能剔除,将网络上的各项设备的功能与版本做全盘更新。从一个干净清爽的环境中开始架构新的IPv6,将会更加容易与安全,也可避免一堆可能发生的问题与麻烦。
1.现有网络大扫除:整理现有的IPv4网络架构:整理、扫除并更新。把陈旧过时的设备与用不到的功能剔除,将网络上的各项设备的功能与版本做全盘更新。从一个干净清爽的环境中开始架构新的IPv6,将会更加容易与安全,也可避免一堆可能发生的问题与麻烦。
2.拟定逐步导入计划:以美国社会福利机构(Social Security Administration)为例,他们导入IPv6至今已经超过五年,至于全面实施计画,则还需要再历经3个阶段6年的时间。我们不见得都有美国政府机构的预算与时间成本,但是循序渐进的导入计画可以让我们有充裕的时间去确保新的IPv6与原有已经完善的IPv4可以并行,对于预算控管也有相当帮助。
3.导入期并行架构:IPv6与IPv4并行架构下,路由器可能需要升级以因应记忆体与电力需求增加。并行架构下可让 尚未支援IPv6的应用仍能照旧运作,并也可也减少或消除了一些资安上容易出现的隐忧如:隧道技术的使用。
4.安全检查隧道流量:NIST(美国国家标准局与技术研究院)在「Guidelines for the Secure Deployment of IPv6」规范技术文件中提出: 「把所有看到的隧道都看成是一个需要小心注意的对外连结!」。建议先仔细的检查每个隧道资料流,包括所有IPv6与IPv4流量,再决定是否让它进出您的网络。资料流应该通过如防毒检测程式、入侵侦测、封包过滤和应用程式代理等资安工具检查。如有余力,在隧道终端设备建立认证等机制更是对整个网络资安上有正面的帮助。
5.正视恶意用户:恶意用户在侵入IPv6架构的技术上,比突破其他安全技术的功力更为熟捻。不要忽略任何资安警报。某些攻击可以长期潜伏于网络中不被查觉,因而带来更大的破坏性。scripts等容易取得的工具越来越多,各式攻击手法也多到让资安人员记都得记不完。已知与未知的攻击模式将越来越严厉地考验资安防御能力。
6.使用通过认证的防火墙:很多厂商都宣称符合IPv6,但没通过第三方认证机制,设备厂商可能空口说白话的夸大其词。第三方测试机构以大众普遍接受的方法实际测试,确保防火墙的功 能与效能。
7.使用身份认证机制:认证机制越发重要,还好现在建置认证也越来越容易。Stonesoft建议用户经由HTTP/HTTPS的代理伺服器(proxy)来连接网际网络。设定须通过认证机制才能上网,就能够大量减低被不相关的人士跑来使用网络搞怪的机率。
8.多阅读相关书籍:了解IPv6的语法!IPv6的语法和IPv4很相近,但是在基础上却有很大不同。看懂语法可以更容易知道哪些是必要的实施措施及如何处理违反安全规定。IPv6技术已经超过10年,各家技术巨头所发表的技术文件可说是随手可得–当然,厚达188页的美国政府出的技术文件也可参考。
9.没使用的就关掉:有些软体早就可以在IPv6的架构上工作,更多的软体则是直接将IPv6协议设为自动开启。好好检查、复查、再三检查网络环境,确保IPv6只开启使用中的功能。建置一个能批次关闭软体对IPv6接口的设备,也许是个明智的投资。
10.有能力铲除威胁:虽然IPv6网络中大部分的功能已经关闭,但还是可能面临不请自来的讨厌鬼威胁我们的网络。当这问题发生时,想要知道如何将这讨厌鬼在没有闯出更多事端前将之踢出网络。这时,了解IPv6语法就是我们的救星,尤其是像这种需要设定防火墙与流量过滤等机制的关键时刻。了解什么是该拦该放本,让该进出的资讯流自由进出,重要性不可言喻。
