IPv6 安全指引 - 商業用戶
發佈日期: 2013年05月30日
2538 觀看次數
由於IPv4地址分配己經耗盡,採用IPv6是唯一能夠長遠解決 IP 地址短缺的方案,預料商用 IPv6將被廣範使用,並共存於互聯網一段較長的時間。因此商業機構需要準備同時支援 IPv4 及 IPv6 的通訊協定,為客戶提供服務。
IPv6對商業用戶的安全風險
無論公司是否有意使用 IPv6,亦須注意以下事項。
連接 IPv6網絡的安全風險
若你選擇連接IPv6網絡,IPv6的管理政策應該與IPv4相同。
- 如互聯網供應商未有提供原生 IPv6 連接時,你便需要使用隧道代理 (IPv6 Tunneling) 來連接 IPv6 網絡。由於所有訊息也會交由隧道代理公司代傳,所以傳送中的資料可以被記錄下來。
- 請確定所使用的保安程式和網絡設備完全支援 IPv6。有些保安程式和網絡設備只專注在IPv4上檢測,並且完全沒有檢測IPv6的流量,使所有系統完全暴露於IPv6網絡上。
- 小心設定保安程式和防火牆上的規則,停用不需要的服務,並檢查你需要的服務所使用的端口和協定。預設的設定有可能令員工或攻擊者有機會繞過安全控制,訪問公司內聯網上的資源。
- 小心選擇內聯網內電腦分配 IPv6 地址的方法。雖然使用IPv6 地址自動配置功能 (IPv6 Auto configuration) 來分配 IPv6 地址很簡便,但同時也產生了隱私的問題。由於 IPv6 地址的組成包含了電腦網絡介面卡的實體地址,第三方很容易追蹤目標裝置或用戶。
解決方法
- 使用加密技術,如數碼証書。公司的網頁亦應開啟 SSL 加密功能,電郵內容應先加密才寄出。同時提醒員工應瀏覽有提供 SSL 加密功能的IPv6網站。
- 向軟件和設備供應商查詢所使用設備的支援情況。如所使用的版本未完全支援,請查詢可否經軟件升級或韌體來解決。如未能提供升級解決方案,便可能需要更換設備。
- 先制定防火牆IPv6 的規則,限制員工可以使用的 IPv6 服務。過濾所有利用隧道代理服務的連線1,只允許使用 IPv6 的Web, Email 及 DNS的服務。此外,在個人電腦上配置權限,以防止用戶安裝軟件。2 其實IPv6和IPv4都是在同一網絡上運行,所以IPv6 的守則應該同IPv4相同的,並以配置最少權限的原則設定。你可以參考網絡上一些關於IPv6的IPv6安全指引。3
- 可考慮為每台電腦手動設定獨立的 IPv6 地址,或使用 DHCPv6 來分配 IPv6 地址。
不使用 IPv6網絡的安全風險
若你暫時沒有打算連接IPv6網絡,就必須禁止非授權使用IPv6,因為這些非授權連線可以繞過你IPv6的保安管制。
- 檢查網絡上的所有設備,並關閉對 IPv6 的支援,因為一些網絡設備可能已預設啟動 IPv6 功能。
- 過濾所有利用隧道代理服務的連線1,並在個人電腦上配置權限,以防止用戶安裝隧道代理服務軟件。2
- 停用公司內所有電腦的 IPv6 功能。4
附錄:
- 過濾隧道代理服務
我們建議防火牆應預設封鎖所有連線,並以配置最少權限的原則設定。
你可參考以下IPv6隧道代理服務所須要用到的通訊協定及連接端口。IPv6隧道代理服務 通訊協定及連接端口 6in4, 6to4, 6RD, IPv6 in GRE and Dual Stack Protocol 41 and 47 Teredo UDP 3544 AYIYA UDP 5072 TIC UDP 3874 TSP UDP 3653
- 你可以在視窗系統上設定使用者帳戶控制去防止用戶安裝軟件
使用者帳戶:常見問題集
http://windows.microsoft.com/zh-TW/Windows7/User-accounts-frequently-asked-questions
為何要使用標準使用者帳戶而非系統管理員帳戶?
什麼是使用者帳戶控制?
http://windows.microsoft.com/zh-tw/Windows7/What-is-User-Account-Control
什麼是使用者帳戶控制設定?
http://windows.microsoft.com/zh-TW/windows7/What-are-User-Account-Control-settings
- 安全指引
美國NIST的安全部署IPv6指引
http://csrc.nist.gov/publications/nistpubs/800-119/sp800-119.pdf
互聯網規約版本6(IPv6)的保安
http://www.infosec.gov.hk/tc_chi/technical/files/ipv6s.pdf
- 有關如何關閉電腦上IPv6 的功能,可參考個人用戶使用 IPv6 的安全指引的附錄7。
分享至