早在 2020 年,美國聯邦政府就宣布要求所有政府機構和部門過渡轉換到 IPv6。美國國防部 (The US Department of Defense,DoD)網路從 IPv4 過渡轉換到純 IPv6 已有數年之久,事實上,美國政府責任署(Government Accountability Office,GAO)的一份報告將美國國防部首次嘗試使用 IPv6 的日期認為是在2003 年。
在此過渡轉換期間,許多聯邦網路將以IPv4/IPv6雙協定運行。2023年1月時,美國國家安全局( US National Security Agency,NSA) 提到了維運IPv4/IPv6雙協定和新 IPv6 網路「增加了維運負擔和攻擊面向」,並發布了一份IPv6 安全指南文件,以幫助組織了解和減輕這些風險。
該文件概述了 IPv6 及其主要功能,包括其更大的地址空間、「改進的」安全功能以及對行動設備的更多支援。然後繼續討論與IP 技術相關的潛在安全風險,包括攻擊增加的可能性以及由於缺乏對 IPv6 的廣泛理解而難以偵測和減輕這些攻擊。
關於保護 IPv6 網路,該文件包括有關設定和保護路由器和交換器以及實施安全服務的建議。它還提供了有關監控和識別 IPv6 攻擊以及如何回應和從中復原的說明。
其中一項關鍵建議是通過採用防火牆、入侵偵測和防禦系統以及應用層級別的安全控制來防止基於網路的攻擊,例如 Web 應用程式防火牆和安全軟體開務實務,以防止應用層級的攻擊:就像IPv4。
文件中包含的特別可靠的建議(針對任何 IP 技術)是保持對網路及其活動的可見性。這包括 監控網路流量 和日誌記錄以偵測和因應任何可疑活動。此外,組織應定期進行弱點評估和滲透測試,以幫助找出任何可利用的安全漏洞。該文件還指出,定期的安全意識訓練與提升至關重要,尤其是對於正處於IPv4轉換到IPv6網路的組織員工而言。
也許美國國家安全局指南文件最有價值的訊息是其潛在含義:一個處在 IPv4 分配中的經濟體的官方機構承認 IPv4 位址發放已經耗盡。該文件最後重申了世界各地的網路服務商幾十年來一直在說的話:部署 IPv6是滿足對更多網際網路位址和改善連接性不斷成長的需求所必需的。不是在未來,而是現在。
美國國家安全局IPv6 指南不是為了利益而建議如何安全部署 IPv6 的文件,它是關於如何安全執行此操作的建議,因為它在很大程度上類似於 IPv4。
原始完整文章請參考APNIC Blog:
https://blog.apnic.net/2023/02/03/nsa-releases-ipv6-transition-guidance/
NSA Publishes Internet Protocol Version 6 (IPv6) Security Guidance:
