IPv6網際網路協定,雖然已經發展超過20年,但大家對IPv6安全仍存在許多迷思,這是相當危險的事情。David Holder身為Erion LTd. CEO有超過20年以上的IPv6教育訓練和顧問經驗,對於常見IPv4和IPv6網路安全議題的迷思提出精闢的解說,以下就其觀點做重點摘要:
- IPv6比IPv4更安全:
常有人提到〝IPv6比IPv4安全〞或〝IPv4比IPv6安全〞的論點,這樣的說法是代表比較IPv6及IPv4網路安全性具有實質意義,其實不然。現在大部分的終端設備的作業系統及網路設備都是在默認的情形下開啟IPv6,即使網路尚未佈署支援IPv6,都還是需要同時考量IPv4和IPv6的安全漏洞。
- IPv6是具有更長位址的IPv4:
事實上IPv6和IPv4大不同,二者之間具有複雜而微妙的關係,而且往往其最佳設計還可能有相互牴觸的狀況。IPv6除了比IPv4具有更長的地址外,在屬性、類型、結構及使用方式等也存在著許多的差異,例如IPv6具有長度、生命週期等新屬性,IPv6端口具有多地址資訊,IPv6地址會隨時間而變,組播在IPv6核心協議扮演關鍵性角色,分配Interface ID的方法有很多種,IPv6地址的使用和管理方法和IPv4截然不同,及其他IPv4和IPv6功能面上的差異等,這些都具有網路安全上的隱憂,下圖列出IPv6網路安全漏洞的面向,有許多新的領域需要網路管理人員花心思考量
- IPsec讓IPv6比IPv4更安全:
有些網路管理人員相信因為IPsec被列為IPv6標準的強制性功能讓IPv6比IPv4安全,雖然IPv6 stack包含IPsec但並不強制使用;且IPv4也有IPsec,和IPv6又有何不同? 通常IPv4 IPsec是使用在VPNs,因此很少使用於確保點對點流量上的安全,這是因為NAT44被廣泛使用,而NAT44會改變IPv4表頭也破壞IPsec,但在IPv6上就不會有這層疑慮,因此IPv6 IPsec可實質做為點對點流量上的安全防護,因此很多公司會使用IPv6 IPsec保護資料中心流量的安全。
- IPv6不可能進行地址掃描:
因為IPv6子網所配置的地址有64位元空間,因此有些網管人員認為駭客不可能逐一掃描找出子網的IP地址,但如果IPv6子網是固定結構例如以1,2,3順序編號,就很容易被破解;或是以IPv4的地址架構做為IPv6子網位址結構,當駭客擁有足夠的資訊,這種做法就會有相當大的安全疑慮。
- 沒有NAT讓IPv6變得不安全
NAT44是IPv4網路架構常見的安全功能,相當多的網路管理人員常有的誤解認為IPv6因為沒有NAT機制所以安全性較IPv4差,其實防火牆就可以輕鬆提供與NAT相同或更好的保護,而不會破壞點對點的連接,且NAT44技術本身就有許多安全性上的問題。
由以上說明可以了解,IPv6網路的安全性取決於如何佈建,及網路管理人員是否為網路系統建構足夠的安全功能,才能真正做好IPv6網路的安全防護。
若對原文有興趣,請參閱APNIC部落格,網址為:https://blog.apnic.net/2019/03/18/common-misconceptions-about-ipv6-security/
