跳至主內容

IPv6 安全指引 - 商業用戶

發佈日期: 2013年05月30日 2833 觀看次數

 

由於IPv4地址分配己經耗盡,採用IPv6是唯一能夠長遠解決 IP 地址短缺的方案,預料商用 IPv6將被廣範使用,並共存於互聯網一段較長的時間。因此商業機構需要準備同時支援 IPv4 及 IPv6 的通訊協定,為客戶提供服務。

 

IPv6對商業用戶的安全風險

 
無論公司是否有意使用 IPv6,亦須注意以下事項。
 
連接 IPv6網絡的安全風險
 
若你選擇連接IPv6網絡,IPv6的管理政策應該與IPv4相同。
  1. 如互聯網供應商未有提供原生 IPv6 連接時,你便需要使用隧道代理 (IPv6 Tunneling) 來連接 IPv6 網絡。由於所有訊息也會交由隧道代理公司代傳,所以傳送中的資料可以被記錄下來。
  2. 請確定所使用的保安程式和網絡設備完全支援 IPv6。有些保安程式和網絡設備只專注在IPv4上檢測,並且完全沒有檢測IPv6的流量,使所有系統完全暴露於IPv6網絡上。
  3. 小心設定保安程式和防火牆上的規則,停用不需要的服務,並檢查你需要的服務所使用的端口和協定。預設的設定有可能令員工或攻擊者有機會繞過安全控制,訪問公司內聯網上的資源。
  4. 小心選擇內聯網內電腦分配 IPv6 地址的方法。雖然使用IPv6 地址自動配置功能 (IPv6 Auto configuration) 來分配 IPv6 地址很簡便,但同時也產生了隱私的問題。由於 IPv6 地址的組成包含了電腦網絡介面卡的實體地址,第三方很容易追蹤目標裝置或用戶。

解決方法

  1. 使用加密技術,如數碼証書。公司的網頁亦應開啟 SSL 加密功能,電郵內容應先加密才寄出。同時提醒員工應瀏覽有提供 SSL 加密功能的IPv6網站。
  2. 向軟件和設備供應商查詢所使用設備的支援情況。如所使用的版本未完全支援,請查詢可否經軟件升級或韌體來解決。如未能提供升級解決方案,便可能需要更換設備。
  3. 先制定防火牆IPv6 的規則,限制員工可以使用的 IPv6 服務。過濾所有利用隧道代理服務的連線1,只允許使用 IPv6 的Web, Email 及 DNS的服務。此外,在個人電腦上配置權限,以防止用戶安裝軟件。2  其實IPv6和IPv4都是在同一網絡上運行,所以IPv6 的守則應該同IPv4相同的,並以配置最少權限的原則設定。你可以參考網絡上一些關於IPv6的IPv6安全指引。3
  4. 可考慮為每台電腦手動設定獨立的 IPv6 地址,或使用 DHCPv6 來分配 IPv6 地址。
不使用 IPv6網絡的安全風險
 
若你暫時沒有打算連接IPv6網絡,就必須禁止非授權使用IPv6,因為這些非授權連線可以繞過你IPv6的保安管制。
  1. 檢查網絡上的所有設備,並關閉對 IPv6 的支援,因為一些網絡設備可能已預設啟動 IPv6 功能。
  2. 過濾所有利用隧道代理服務的連線1,並在個人電腦上配置權限,以防止用戶安裝隧道代理服務軟件。2
  3. 停用公司內所有電腦的 IPv6 功能。4

附錄:

  1. 過濾隧道代理服務

    我們建議防火牆應預設封鎖所有連線,並以配置最少權限的原則設定。

    你可參考以下IPv6隧道代理服務所須要用到的通訊協定及連接端口。

    IPv6隧道代理服務通訊協定及連接端口
    6in4, 6to4, 6RD, IPv6 in GRE and Dual StackProtocol 41 and 47
    TeredoUDP 3544
    AYIYAUDP 5072
    TICUDP 3874
    TSPUDP 3653

     
  2. 你可以在視窗系統上設定使用者帳戶控制去防止用戶安裝軟件

使用者帳戶:常見問題集

http://windows.microsoft.com/zh-TW/Windows7/User-accounts-frequently-asked-questions

為何要使用標準使用者帳戶而非系統管理員帳戶?

http://windows.microsoft.com/zh-TW/windows7/Why-use-a-standard-user-account-instead-of-an-administrator-account

什麼是使用者帳戶控制?

http://windows.microsoft.com/zh-tw/Windows7/What-is-User-Account-Control

什麼是使用者帳戶控制設定?

http://windows.microsoft.com/zh-TW/windows7/What-are-User-Account-Control-settings

  1. 安全指引

美國NIST的安全部署IPv6指引

http://csrc.nist.gov/publications/nistpubs/800-119/sp800-119.pdf

 

互聯網規約版本6(IPv6)的保安

http://www.infosec.gov.hk/tc_chi/technical/files/ipv6s.pdf

  1. 有關如何關閉電腦上IPv6 的功能,可參考個人用戶使用 IPv6 的安全指引的附錄7。