考量到IPv6通訊協定將涵蓋廣泛領域,ISOC 於2019年2月發佈關於IPv6協定安全性的問答集,以利相關人員在佈建IPv6網路前,即對其潛在安全議題有足夠了解,而能適當考慮設計與佈建的相關問題。問答集之提問中文摘譯與對應編號如下,各項問題之答案可參考 IPv6 Security Frequently Asked Questions (FAQ)。
- 整體面向
- IPv6是否比IPv4更安全?
- 我的網路是純IPv4環境,是否該擔心IPv6安全問題?
- 在IPv6環境中,使用IPSec連線方式是否會更普遍?
- IPv6 安全評估
- 可以使用哪些工具來評估我的網路及裝置的安全?
- 有可能對IPv6網路進行位址掃描嗎?
- 如何實施IPv6網路下的偵查?
- IPv6網路中可能執行主機追蹤攻擊(host-tracking attacks)嗎?
- 伺服器採不可預測位址(例如RFC7217)是否合理?
- 我可以如何降低建立在域名系統反查之上的網路偵察?
- First-Hop Security
- 是否應擔心針對位址解析以及自動組態配置的攻擊?
- 就位址紀錄而言,SLAAC 與 DHCPv6之間的差別為何?
- RA-Guard與DHCPv6/Shield對防範自動組態配置攻擊是否有效?
- 是否應考量佈署 Secure Neighbor Discovery (SEND) ?
- 何謂 Neighbor Cache Exhaustion (NCE) 攻擊?如何緩解?
- 防火牆建立與安全架構
- IPv6是否會將安全問題從以網路為中心的安全模式轉移到以設備為中心的安全模式?
- 佈署IPv6後,是否我的系統就會在IPv6公共網路上暴露無遺?
- 在IPv4環境下將惡意位址列入黑名單的作法,在IPv6環境下如何施行?
- 我的系統/網路會出於安全理由而阻擋IPv6網路封包分段,此做法是否安全?
- 是否應丟棄包含IPv6 extention header 的封包?
- 在利用擴充表頭來繞過安全管控方面應如何評估?
- 雙協定網路的封包過濾政策應考量什麼?
- 當系統同時採用臨時(RFC4941)及固定(RFC7217)位址實應如何建立IPv6防火牆?
- 臨時位址會如何影響IP位址存取控制表( ACLs)?
- 相關資源
- 有哪些IPv6網路安全準則可供參考嗎?
- 可以上哪些論壇去討論IPv6安全課題?
Photo created by rawpixel.com
