總部位為芬蘭的資安廠商Stonesoft將與數家全球最大的IPv6資訊量的公司合作經驗為本,積極協助各企業與政府機構以安全並具成本效益的方式導入IPv6。基於許多機構對IPv6的複雜性有所錯誤的理解,Stonesoft提出10大要點,並且澄清部分網路傳說與繆論,以供網路規劃管理者與資安長做參考。
『很多人認為IPv6跟IPv4的資訊流安全機制上沒啥差異-這可是大錯特錯。會造成這樣的觀念肇因於機構不清楚自己的需求再加上某些廠商胡亂吹噓自己的產品在IPv6的環境下多麼強悍。』Juha Luoma, Stonesoft 的FW/VPN 產品經理如此警告。
以目前已完成的大型IPv6導入計畫經驗,Stonesoft分享以下IPv6安全重點:
1. 現有網路大掃除: 整理現有的IPv4網路架構:整理、掃除並更新。把陳舊過時的設備與用不到的功能剔除,將網路上的各項設備的功能與版本做全盤更新。從一個乾淨清爽的環境中開始架構新的IPv6,將會更加容易與安全,也可避免一堆可能發生的問題與麻煩。
2. 擬定逐步導入計畫:以美國社會福利機構(Social Security Administration)為例,他們導入IPv6至今已經超過五年,至於全面實施計畫,則還需要再歷經3個階段6年的時間。我們不見得都有美國政府機構的預算與時間成本,但是循序漸進的導入計畫可以讓我們有充裕的時間去確保新的IPv6與原有已經完善的IPv4可以並行,對於預算控管也有相當幫助。
3. 導入期並行架構:IPv6與IPv4並行架構下,路由器可能需要升級以因應記憶體與電力需求增加。並行架構下可讓尚未支援IPv6的應用仍能照舊運作,並也可也減少或消除了一些資安上容易出現的隱憂如:隧道技術的使用。
4. 安全檢查隧道流量:NIST(美國國家標準局與技術研究院) 在「Guidelines for the Secure Deployment of IPv6」規範技術文件中提出: 「把所有看到的隧道都看成是一個需要小心注意的對外連結!」。建議先仔細的檢查每個隧道資料流,包括所有IPv6與IPv4流量,再決定是否讓它進出您的網路。資料流應該通過如防毒檢測程式、入侵偵測、封包過濾和應用程式代理等資安工具檢查。如有餘力,在隧道終端設備建立認證等機制更是對整個網路資安上有正面的幫助。
5. 正視惡意用戶:惡意用戶在侵入IPv6架構的技術上,比突破其他安全技術的功力更為熟捻。不要忽略任何資安警報。某些攻擊可以長期潛伏於網路中不被查覺,因而帶來更大的破壞性。scripts等容易取得的工具越來越多,各式攻擊手法也多到讓資安人員記都得記不完。已知與未知的攻擊模式將越來越嚴厲地考驗資安防禦能力。
6. 使用通過認證的防火牆:很多廠商都宣稱符合IPv6,但沒通過第三方認證機制,設備廠商可能空口說白話的誇大其詞。第三方測試機構以大眾普遍接受的方法實際測試,確保防火牆的功能與效能。
7. 使用身份認證機制: 認證機制越發重要,還好現在建置認證也越來越容易。Stonesoft建議用戶經由HTTP/HTTPS的代理伺服器(proxy)來連接網際網路。設定須通過認證機制才能上網,就能夠大量減低被不相關的人士跑來使用網路搞怪的機率。
8. 多閱讀相關書籍:瞭解IPv6的語法! IPv6的語法和IPv4很相近,但是在基礎上卻有很大不同。看懂語法可以更容易知道哪些是必要的實施措施及如何處理違反安全規定。IPv6技術已經超過10年,各家技術巨頭所發表的技術文件可說是隨手可得 – 當然,厚達188頁的美國政府出的技術文件也可參考。
9. 沒使用的就關掉:有些軟體早就可以在IPv6的架構上工作,更多的軟體則是直接將IPv6協議設為自動開啟。好好檢查、複查、再三檢查網路環境,確保IPv6只開啟使用中的功能。建置一個能批次關閉軟體對IPv6接口的設備,也許是個明智的投資。
10. 有能力剷除威脅: 雖然IPv6網路中大部分的功能已經關閉,但還是可能面臨不請自來的討厭鬼威脅我們的網路。當這問題發生時,想要知道如何將這討厭鬼在沒有闖出更多事端前將之踢出網路。這時,瞭解IPv6語法就是我們的救星,尤其是像這種需要設定防火牆與流量過濾等機制的關鍵時刻。了解什麼是該攔該放本,讓該進出的資訊流自由進出,重要性不可言喻。
關於Stonesoft IPv6-ready 網路安全解決方案,請洽台灣區代理商漢昕科技,www.bccs.com.tw,Tel: (02) 2708-3489