IPv6安全指引 - 個人用戶
互聯網協定第六版本(IPv6)在香港的使用情況.
相信大家都聽過互聯網協定地址(IP Address)這個名稱,它等同於互聯網上的通訊地址。IPv6 是新一代的互聯網規約地址格式。由於IPv4地址分配已經耗盡,IPv6的時代即將到來。IPv6的可用地址數量比IPv4多出數以萬億倍。1 預期IPv4 與 IPv6 將會共存於互聯網一段較長的時間。
香港政府的網站已全面支援 IPv4 和IPv6,而香港部份企業也開始支援 IPv6。部份互聯網供應商(ISP)亦為商業用戶提供IPv6服務。2 但直到 2013年第一季,ISP暫時未有為住宅用戶提供IPv6服務。住宅用戶只可以使用其他的方法如IPv6隧道代理或代理網站去連接IPv6網絡。3
IPv6的常見誤解
使用 IPv6比IPv4快。
使用 IPv6不會令連線速度加快的。連線速度的快慢是取決於你的 ISP 所提供的頻寬,用戶應該不會察覺到使用 IPv4或IPv6的分別。
使用 IPv6比IPv4安全。
雖然設計IPv6時已考慮到它的安全性,並且內建安全保護功能,但這些功能並不是預設啟用的。要充份運用其安全功能,兩個通訊協定的網絡都需要受訓的網絡工程師去設計和實施。
一般家用環境連接互聯網的架構
首先我們先講解一下在家用環境中,IPv4和透過IPv6隧道代理連接互聯網的分別。
圖1顯示用户使用寬頻分享器去連接IPv4 網絡。個人電腦的所有連接都必須經過寬頻分享器連接互聯網,而寬頻分享器亦會過濾所有由互聯網發起的連接。
圖1
圖2顯示了使用隧道代理(Tunnel Broker) 3 連接 IPv6後的狀況。當 IPv6 隧道代理的連線接通後,互聯網上的IPv6 裝置便可穿透寬頻分享器內的IPv4 NAT防火牆直接連接到個人電腦。
圖2
不同情況下的安全風險:
- 連接 IPv6網絡
- 由於個人用戶必需使用隧道代理來連接IPv6網絡,當使用此服務時,所有的流量也會經過隧道代理,傳送中的資料有可能會被記錄下來。
- 如個人電腦通過寬頻分享器連接IPv6網絡,如圖2。互聯網上的IPv6 裝置便可穿透寬頻分享器內的IPv4過濾功能,直接連接到你的個人電腦。
解決方案
- 如要傳輸敏感或個人資料,應使用加密技術,例如使用支援SSL的網址和電郵通訊。
- 使用完全支援 IPv6的個人防火牆。4 當完成安裝及設定防火牆後,可使用線上檢測網站以確認正確設定個人防火牆。5
- 不連接 IPv6網絡
- 在預設的情況下,不同系統有不同的IPv6設定,有些系統會自動連接 IPv6網絡,如自動設定和Teredo隧道功能。所以不使用IPv6的個人用戶也有機會在不知道的情況下連接上 IPv6。如上文提及,你的個人電腦有可能暴露於 IPv6 網絡中。
- 檢查並停用IPv6的預設設定。6 在預設情況下,視窗系統和蘋果系統的IPv6功能是啟用的,而部分Linux是停用的。你可以按照附錄中的指示來啟用或停用IPv6功能。7
- 安裝個人防火牆,並設定拒絕所有 IPv6 的連接。
解決方案
附錄:
- Reference Link
IPv6 Summit, Inc
http://www.usipv6.com/what_is_ipv6.php
互聯網用戶指南
http://www.ipv6now.hk/imgShow/IPv6_Consumer_Guide_En.pdf
- 香港已啟動IPv6的網址一覽
http://www.ipv6now.hk/tc/Resources.php
http://www.ipv6forum.com/ipv6_enabled/approval_list.php?type=loc&content=HK
- 其他瀏覽方法
- IPv6代理網站
- IPv6 隧道代理商的資料:
如未能連接 IPv6 的用戶也想瀏覽 IPv6 的網頁,可使用 http://www.ipv6proxy.net/。由於是利用代理伺服器來瀏覽網頁,請不要輸入傳輸敏感的個人資料,以避免資料外洩。
Hurricane Electric Tunnel Broker
http://www.he.netFreenet6 Tunnel Broker
http://www.gogo6.com/Teredo Tunnel
http://yorickdowne.wordpress.com/2008/01/26/ipv6-at-home-part-1-overview-teredo/
Teredo for Mac OS X
http://www.deepdarc.com/miredo-osx/
Miredo: Teredo IPv6 tunneling for Linux and BSD
其他隧道代理商
- 如何選購個人防火牆
- 能夠個別地選擇開關封鎖 IPv4 及 IPv6 的連線,並獨立設定IPv4 及 IPv6 的防火牆規則。
- 能夠詳細記錄所有 IPv4 及 IPv6 的連線資料,包括來源地址,目的地地址,時間及連接埠。
- 網上檢查網站
Tim’s Online IPv6 TCP/UDP Port Scanner (IPv6 Firewall Tester)
http://ipv6.chappell-family.com/ipv6tcptest/
檢查完成後你可以瀏覽防火牆日誌,確定是否能夠封鎖或記錄所有連線。
以下的測試結果顯示表中的常用連接TCP端口135, 445, 2869, 5357 和10243正在聆聽中,表示你的個人防火牆並未能夠封鎖外來連接。
以下的測試結果顯示表中的常用連接端口已被封鎖,表示你的個人防火牆運作正常及能夠封鎖外來連接。
- 如何檢查是否已連接 IPv6網絡?
- 利用命令提示字元檢查。
- 利用網站檢查
如視窗用戶,可在命令提示字元中輸入 “ping -6 ipv6.google.com”。
如出現 “回覆自 2a00:1450:4009:802::1013: 時間=xxx ms “ 代表你已連接 IPv6。
如出現 “Ping 要求找不到主機 ipv6.google.com。請檢查名稱,然候再試一次。” 就代表未有連接。
如 Mac或 Linux 的用戶,可以在指令列中輸入 “ping6 ipv6.google.com” 來檢查。
你可以使用瀏覽器瀏覽 http://test-ipv6.com/,去進行IPv6連接測試。
上圖「 10/10」 表示你已連接 IPv6網絡。
上圖「 0/10」 表示你不能夠連接 IPv6網絡。
- 如何停用系統中 IPv6 的預設設定
- 視窗用戶
- Mac 用戶
- Linux 用戶
如何停用 IP 第 6 版或它在 Windows 中的特定元件
http://support.microsoft.com/kb/929852/zh-tw
在 Mac OS X v10.6.7 或以上版本中設定 IPv6
http://support.apple.com/kb/HT4667?viewlocale=zh_TW
How do I disable or enable the IPv6 protocol in Red Hat Enterprise Linux? (Red Hat Linux)
https://access.redhat.com/site/solutions/8709
How do I disable IPv6? (Centos 5.x)
http://wiki.centos.org/FAQ/CentOS5#head-47912ebdae3b5ac10ff76053ef057c366b421dc4
How do I disable IPv6? (Centos 6.x)
http://wiki.centos.org/FAQ/CentOS6#head-d47139912868bcb9d754441ecb6a8a10d41781df
WebBrowsingSlowIPv6IPv4 (ubuntu)
分享至