IPv6安全指引 - 個人用戶

互聯網協定第六版本（IPv6）在香港的使用情況.

相信大家都聽過互聯網協定地址（IP Address）這個名稱，它等同於互聯網上的通訊地址。IPv6 是新一代的互聯網規約地址格式。由於IPv4地址分配已經耗盡，IPv6的時代即將到來。IPv6的可用地址數量比IPv4多出數以萬億倍。¹ 預期IPv4 與 IPv6 將會共存於互聯網一段較長的時間。 

香港政府的網站已全面支援 IPv4 和IPv6，而香港部份企業也開始支援 IPv6。部份互聯網供應商（ISP）亦為商業用戶提供IPv6服務。² 但直到 2013年第一季，ISP暫時未有為住宅用戶提供IPv6服務。住宅用戶只可以使用其他的方法如IPv6隧道代理或代理網站去連接IPv6網絡。³ 

IPv6的常見誤解

使用 IPv6比IPv4快。

使用 IPv6不會令連線速度加快的。連線速度的快慢是取決於你的 ISP 所提供的頻寬，用戶應該不會察覺到使用 IPv4或IPv6的分別。

使用 IPv6比IPv4安全。

雖然設計IPv6時已考慮到它的安全性，並且內建安全保護功能，但這些功能並不是預設啟用的。要充份運用其安全功能，兩個通訊協定的網絡都需要受訓的網絡工程師去設計和實施。

一般家用環境連接互聯網的架構

首先我們先講解一下在家用環境中，IPv4和透過IPv6隧道代理連接互聯網的分別。

圖1顯示用户使用寬頻分享器去連接IPv4 網絡。個人電腦的所有連接都必須經過寬頻分享器連接互聯網，而寬頻分享器亦會過濾所有由互聯網發起的連接。

圖1

圖2顯示了使用隧道代理(Tunnel Broker) ³ 連接 IPv6後的狀況。當 IPv6 隧道代理的連線接通後，互聯網上的IPv6 裝置便可穿透寬頻分享器內的IPv4 NAT防火牆直接連接到個人電腦。

圖2

不同情況下的安全風險：

1. 連接 IPv6網絡
   • 由於個人用戶必需使用隧道代理來連接IPv6網絡，當使用此服務時，所有的流量也會經過隧道代理，傳送中的資料有可能會被記錄下來。
   • 如個人電腦通過寬頻分享器連接IPv6網絡，如圖2。互聯網上的IPv6 裝置便可穿透寬頻分享器內的IPv4過濾功能，直接連接到你的個人電腦。
     
     解決方案
      
   • 如要傳輸敏感或個人資料，應使用加密技術，例如使用支援SSL的網址和電郵通訊。
   • 使用完全支援 IPv6的個人防火牆。⁴ 當完成安裝及設定防火牆後，可使用線上檢測網站以確認正確設定個人防火牆。⁵

2. 不連接 IPv6網絡
   • 在預設的情況下，不同系統有不同的IPv6設定，有些系統會自動連接 IPv6網絡，如自動設定和Teredo隧道功能。所以不使用IPv6的個人用戶也有機會在不知道的情況下連接上 IPv6。如上文提及，你的個人電腦有可能暴露於 IPv6 網絡中。
   
   解決方案
    
   • 檢查並停用IPv6的預設設定。⁶ 在預設情況下，視窗系統和蘋果系統的IPv6功能是啟用的，而部分Linux是停用的。你可以按照附錄中的指示來啟用或停用IPv6功能。⁷
   • 安裝個人防火牆，並設定拒絕所有 IPv6 的連接。

附錄：

1. Reference Link

IPv6 Summit, Inc

http://www.usipv6.com/what_is_ipv6.php

互聯網用戶指南

http://www.ipv6now.hk/imgShow/IPv6_Consumer_Guide_En.pdf

2. 香港已啟動IPv6的網址一覽

http://www.ipv6now.hk/tc/Resources.php

http://www.ipv6forum.com/ipv6_enabled/approval_list.php?type=loc&content=HK

3. 其他瀏覽方法
   • IPv6代理網站
   
   

   如未能連接 IPv6 的用戶也想瀏覽 IPv6 的網頁，可使用 http://www.ipv6proxy.net/。由於是利用代理伺服器來瀏覽網頁，請不要輸入傳輸敏感的個人資料，以避免資料外洩。

             
   • IPv6 隧道代理商的資料:
   
   

   Hurricane Electric Tunnel Broker
   http://www.he.net

    

   Freenet6 Tunnel Broker
   http://www.gogo6.com/

    

   Teredo Tunnel

   http://yorickdowne.wordpress.com/2008/01/26/ipv6-at-home-part-1-overview-teredo/

    

   Teredo for Mac OS X

   http://www.deepdarc.com/miredo-osx/

    

   Miredo: Teredo IPv6 tunneling for Linux and BSD

   http://www.remlab.net/miredo/

    

   其他隧道代理商

   http://en.wikipedia.org/wiki/List_of_IPv6_tunnel_brokers

4. 如何選購個人防火牆
   • 能夠個別地選擇開關封鎖 IPv4 及 IPv6 的連線，並獨立設定IPv4 及 IPv6 的防火牆規則。
   
   
   • 能夠詳細記錄所有 IPv4 及 IPv6 的連線資料，包括來源地址，目的地地址，時間及連接埠。

5. 網上檢查網站

Tim’s Online IPv6 TCP/UDP Port Scanner (IPv6 Firewall Tester)

http://ipv6.chappell-family.com/ipv6tcptest/

檢查完成後你可以瀏覽防火牆日誌，確定是否能夠封鎖或記錄所有連線。

以下的測試結果顯示表中的常用連接TCP端口135, 445, 2869, 5357 和10243正在聆聽中，表示你的個人防火牆並未能夠封鎖外來連接。

以下的測試結果顯示表中的常用連接端口已被封鎖，表示你的個人防火牆運作正常及能夠封鎖外來連接。

6. 如何檢查是否已連接 IPv6網絡？
   1. 利用命令提示字元檢查。

   如視窗用戶，可在命令提示字元中輸入 “ping -6 ipv6.google.com”。

   如出現 “回覆自 2a00:1450:4009:802::1013: 時間=xxx ms “ 代表你已連接 IPv6。

   如出現 “Ping 要求找不到主機 ipv6.google.com。請檢查名稱，然候再試一次。” 就代表未有連接。

    

   如 Mac或 Linux 的用戶，可以在指令列中輸入 “ping6 ipv6.google.com” 來檢查。

    

   2. 利用網站檢查

    

   你可以使用瀏覽器瀏覽 http://test-ipv6.com/，去進行IPv6連接測試。

    

   

    

   上圖「 10/10」 表示你已連接 IPv6網絡。

    

   

    

   上圖「 0/10」 表示你不能夠連接 IPv6網絡。

7. 如何停用系統中 IPv6 的預設設定
   1. 視窗用戶

   如何停用 IP 第 6 版或它在 Windows 中的特定元件

   http://support.microsoft.com/kb/929852/zh-tw

    

   2. Mac 用戶

   在 Mac OS X v10.6.7 或以上版本中設定 IPv6

   http://support.apple.com/kb/HT4667?viewlocale=zh_TW

    

   3. Linux 用戶

   How do I disable or enable the IPv6 protocol in Red Hat Enterprise Linux? (Red Hat Linux)

   https://access.redhat.com/site/solutions/8709

    

   How do I disable IPv6? (Centos 5.x)

   http://wiki.centos.org/FAQ/CentOS5#head-47912ebdae3b5ac10ff76053ef057c366b421dc4

   How do I disable IPv6? (Centos 6.x)

   http://wiki.centos.org/FAQ/CentOS6#head-d47139912868bcb9d754441ecb6a8a10d41781df

    

   WebBrowsingSlowIPv6IPv4 (ubuntu)

   https://help.ubuntu.com/community/WebBrowsingSlowIPv6IPv4