跳至主內容

IPv6安全指引 - 個人用戶

發佈日期: 2013年05月29日 4467 觀看次數

互聯網協定第六版本(IPv6)在香港的使用情況.

 

相信大家都聽過互聯網協定地址(IP Address)這個名稱,它等同於互聯網上的通訊地址。IPv6 是新一代的互聯網規約地址格式。由於IPv4地址分配已經耗盡,IPv6的時代即將到來。IPv6的可用地址數量比IPv4多出數以萬億倍。預期IPv4 與 IPv6 將會共存於互聯網一段較長的時間。 

 

香港政府的網站已全面支援 IPv4 和IPv6,而香港部份企業也開始支援 IPv6。部份互聯網供應商(ISP)亦為商業用戶提供IPv6服務。但直到 2013年第一季,ISP暫時未有為住宅用戶提供IPv6服務。住宅用戶只可以使用其他的方法如IPv6隧道代理或代理網站去連接IPv6網絡。3 

 

IPv6的常見誤解

 

使用 IPv6比IPv4快。

使用 IPv6不會令連線速度加快的。連線速度的快慢是取決於你的 ISP 所提供的頻寬,用戶應該不會察覺到使用 IPv4或IPv6的分別。

 

使用 IPv6比IPv4安全。

雖然設計IPv6時已考慮到它的安全性,並且內建安全保護功能,但這些功能並不是預設啟用的。要充份運用其安全功能,兩個通訊協定的網絡都需要受訓的網絡工程師去設計和實施。

 

一般家用環境連接互聯網的架構

 

首先我們先講解一下在家用環境中,IPv4和透過IPv6隧道代理連接互聯網的分別。

圖1顯示用户使用寬頻分享器去連接IPv4 網絡。個人電腦的所有連接都必須經過寬頻分享器連接互聯網,而寬頻分享器亦會過濾所有由互聯網發起的連接。

 

圖1

 

圖2顯示了使用隧道代理(Tunnel Broker) 連接 IPv6後的狀況。當 IPv6 隧道代理的連線接通後,互聯網上的IPv6 裝置便可穿透寬頻分享器內的IPv4 NAT防火牆直接連接到個人電腦。

 

圖2

 

不同情況下的安全風險:

  1. 連接 IPv6網絡
    • 由於個人用戶必需使用隧道代理來連接IPv6網絡,當使用此服務時,所有的流量也會經過隧道代理,傳送中的資料有可能會被記錄下來。
    • 如個人電腦通過寬頻分享器連接IPv6網絡,如圖2。互聯網上的IPv6 裝置便可穿透寬頻分享器內的IPv4過濾功能,直接連接到你的個人電腦。

      解決方案
       
    • 如要傳輸敏感或個人資料,應使用加密技術,例如使用支援SSL的網址和電郵通訊。
    • 使用完全支援 IPv6的個人防火牆。當完成安裝及設定防火牆後,可使用線上檢測網站以確認正確設定個人防火牆。5
  1. 不連接 IPv6網絡
    • 在預設的情況下,不同系統有不同的IPv6設定,有些系統會自動連接 IPv6網絡,如自動設定和Teredo隧道功能。所以不使用IPv6的個人用戶也有機會在不知道的情況下連接上 IPv6。如上文提及,你的個人電腦有可能暴露於 IPv6 網絡中。

    • 解決方案
       
    • 檢查並停用IPv6的預設設定。6 在預設情況下,視窗系統和蘋果系統的IPv6功能是啟用的,而部分Linux是停用的。你可以按照附錄中的指示來啟用或停用IPv6功能。7
    • 安裝個人防火牆,並設定拒絕所有 IPv6 的連接。

 

附錄:

  1. Reference Link

IPv6 Summit, Inc

http://www.usipv6.com/what_is_ipv6.php

 

互聯網用戶指南

http://www.ipv6now.hk/imgShow/IPv6_Consumer_Guide_En.pdf

  1. 香港已啟動IPv6的網址一覽

http://www.ipv6now.hk/tc/Resources.php

http://www.ipv6forum.com/ipv6_enabled/approval_list.php?type=loc&content=HK

  1. 其他瀏覽方法
  1. 如何選購個人防火牆
    • 能夠個別地選擇開關封鎖 IPv4 及 IPv6 的連線,並獨立設定IPv4 及 IPv6 的防火牆規則。

    • 能夠詳細記錄所有 IPv4 及 IPv6 的連線資料,包括來源地址,目的地地址,時間及連接埠。
  1. 網上檢查網站

Tim’s Online IPv6 TCP/UDP Port Scanner (IPv6 Firewall Tester)

http://ipv6.chappell-family.com/ipv6tcptest/

 

檢查完成後你可以瀏覽防火牆日誌,確定是否能夠封鎖或記錄所有連線。

 

以下的測試結果顯示表中的常用連接TCP端口135, 445, 2869, 5357 和10243正在聆聽中,表示你的個人防火牆並未能夠封鎖外來連接。

 

以下的測試結果顯示表中的常用連接端口已被封鎖,表示你的個人防火牆運作正常及能夠封鎖外來連接。

 

  1. 如何檢查是否已連接 IPv6網絡?
    1. 利用命令提示字元檢查。
    2. 如視窗用戶,可在命令提示字元中輸入 “ping -6 ipv6.google.com”

      如出現 “回覆自 2a00:1450:4009:802::1013: 時間=xxx ms “ 代表你已連接 IPv6

      如出現 “Ping 要求找不到主機 ipv6.google.com。請檢查名稱,然候再試一次。” 就代表未有連接。

       

      如 Mac或 Linux 的用戶,可以在指令列中輸入 “ping6 ipv6.google.com” 來檢查。

       

    3. 利用網站檢查
    4.  

      你可以使用瀏覽器瀏覽 http://test-ipv6.com/,去進行IPv6連接測試。

       

       

      上圖「 10/10」 表示你已連接 IPv6網絡。

       

       

      上圖「 0/10」 表示你不能夠連接 IPv6網絡。

  1. 如何停用系統中 IPv6 的預設設定
    1. 視窗用戶
    2. 如何停用 IP 第 6 版或它在 Windows 中的特定元件

      http://support.microsoft.com/kb/929852/zh-tw

       

    3. Mac 用戶
    4. 在 Mac OS X v10.6.7 或以上版本中設定 IPv6

      http://support.apple.com/kb/HT4667?viewlocale=zh_TW

       

    5. Linux 用戶
    6. How do I disable or enable the IPv6 protocol in Red Hat Enterprise Linux? (Red Hat Linux)

      https://access.redhat.com/site/solutions/8709

       

      How do I disable IPv6? (Centos 5.x)

      http://wiki.centos.org/FAQ/CentOS5#head-47912ebdae3b5ac10ff76053ef057c366b421dc4

      How do I disable IPv6? (Centos 6.x)

      http://wiki.centos.org/FAQ/CentOS6#head-d47139912868bcb9d754441ecb6a8a10d41781df

       

      WebBrowsingSlowIPv6IPv4 (ubuntu)

      https://help.ubuntu.com/community/WebBrowsingSlowIPv6IPv4