網路安全團隊需要了解IPv6的七大關鍵點

如果企業網路安全團隊因為內部網路尚未部署IPv6而認為不必花心思了解,請再考慮一下。企業員工、內網和Internet的連結已密不可分,而連接到Internet的設備、網路所使用的通訊協議就是IPv6,無論企業是否已部署IPv6。如果不了解IPv6與網路的配合使用,可能會增加曝險機率,提高易受攻擊的風險。以下為每個網路安全管理員都應了解關於IPv6的七大關鍵點:

1. IPv6流行程度遠超乎大多數人的想像

多數安全管理和IT人員尚未意識到IPv6已經在Internet上部署的程度。因此,極大比例網路安全管理員不認為需要解決IPv6安全問題。且認為尚未在企業中啟用IPv6,就無需採取措施來保護IPv6。

然而大部分設備操作系統,會在默認情況下啟用IPv6,包括企業數據中心和雲端環境系統。如果支援IPv6的設備連接到啟用IPv6的網路,將使用IPv6進行連接。

網際網路核心已經啟用IPv6,且行動通訊IASP廣泛支援IPv6。實際上,多數用戶手機已經每天在使用IPv6上網,甚至住家使用固接網路服務也支援IPv6。全球超過30%熱門網站支援IPv6,根據Google統計全球用戶中有30%以上使用IPv6(印度和美國等國家/地區的使用率更高)。

2.企業員工使用IPv6連網

由於COVID-19大流行迫使員工在家工作情況相當普遍。員工遠端連網,其行動設備操作系統啟用IPv6,並使用IPv6透過Internet建立連接,但安全管理員並未對連接Internet用戶充分解決IPv6安全問題。

企業VPN通常沒有配置IPv6。因此,終端用戶IPv6流量經由其設備直接流向Internet,而繞過公司安全控制措施。即所謂IPv6 VPN breakout,此問題多年來被許多防火牆管理員所忽視。

有些企業將系統轉換到雲端服務,購買雲端存取安全代理(Cloud Access Security Broker,CASB)服務作為公司安全策略。但是,並非所有CASB供應商都支援IPv6。IPv6終端用戶可能繞過CASB安全控制,連接使用IPv6的熱門網站。

3. IPv6已經存在企業中

企業網路安全管理人員大多認為企業尚未支援IPv6,安全團隊不需要承擔了解或學習如何保護IPv6網路安全。

許多安全管理員尚未意識到IPv6存在企業內部網路。IPv6協議已經在Internet、公司WAN或LAN上運作,例如啟用IPv6系統的設備連接到企業有線和無線網路,正在發送IPv6封包,並且可以使用Link-Local IPv6 unicast和multicast通訊相互傳送。

安全管理員需要了解IPv6協定並預測攻擊者行為。但市面上可供參考資料不多,最佳方式是透過IPv6專家講師現場手把手進行培訓,利用IPv6實驗環境進行演練,以模擬IPv6攻擊並學習如何防禦。

4. IPv6網路安全性和IPv4相比並無差異

部署IPv6的好處來自於龐大位址空間,以減輕對IPv4網路位址轉換(NAT)需求,並且比IPv4網路更有彈性。IPv6缺少NAT機制不會使網路安全強度變弱(RFC 4864)。IPv6透過減少修改封包表頭中的來源地址而導致的匿名性來增強安全性。本機點對點路由協議有助於認證連結,且提高可靠性

IPv6協議和IPv4一樣沒有內建任何安全機制。兩種協議都可以使用IPsec,但並非所有通訊都必須使用。IPv4和IPv6路由協議,都有提供應用層安全協議,如TLS和SSH。

5.網路產品缺少IPv6安全功能

部署之前主動保護IPv6是正確的方法。但是,如果企業部署IPv6時,發現其所採購的安全產品僅支援IPv4,就會形成大問題。企業就必須停止部署計畫,等待供應商產品開發計劃,或用支援IPv6產品替換,或更糟的是未保護IPv6網路。

針對企業所採用的網路通訊產品,所能提供的安全保護措施進行調查,以確認IPv6安全功能級別。一開始重點在關注Internet外圍安全系統,例如防火牆,入侵防禦系統(IPS),惡意軟件保護,安全網路閘道(SWG),代理伺服器,郵件過濾和威脅情資來源服務等。對產品供應商所能提供在IPv4和IPv6功能之間的差別,需要進一步且完整調查。

例如,如若使用網站應用程式防火牆(WAF)來預防開放網路應用系統安全十大弱點(OWASP TOP10),如果其只支援IPv4則會存在相對風險。如果PCI-DSS安全合規需要WAF,就可能違反原則。最好先了解WAF在支援IPv6不足的問題,並在網站開啟支援IPv6之前,進行升級為完整支援IPv4/IPv6雙協定。

確實向供應商詢問產品和服務詳細的IPv6功能,才能規劃及部署安全的IPv6網路,努力實現對IPv4和IPv6的對等安全防護。

6. 網路安全團隊若毫無準備IPv6部署無法成功

網路安全團隊如果尚未準備好使用IPv6,則可能延誤甚至導致企業IPv6部署進度暫停。安全團隊若不參與IPv6部署, 就會對企業IPv6網路製造風險。

美國政府責任署(GAO)最近針對國防部(DoD)IPv6部署進度報告 內容就是明顯的案例。在GAO的報告中提到,“該部門因安全隱憂和缺乏具備完整IPv6訓練的技術人員,不得不暫停IPv6建置計畫”。

企業網路安全團隊對於成功部署IPv6至關重要。結合IPv6網路建置及安全團隊的力量,才能讓網路升級支援IPv6布建計畫得以成功。

7. 保護IPv6網路安全工作需要從頭開始,而不是事後補救

網路升級支援IPv6是不可避免的趨勢,企業安全管理員必須盡早接受,而不是等到Internet的IPv6使用率達75%才開始了解IPv6,並對其進行保護。IPv6是主流,大多數企業安全團隊都落後於技術曲線。企業網路安全團隊與其嘗試禁用IPv6,不如啟用IPv6,並根據公司安全策略進行控制,會是更好的選擇。安全團隊應該從一開始就參與IPv6部署計劃,並規劃相關安全策略,以建立全面及完整安全計畫,而不是在事後再考慮解決安全問題。

參考資料:

https://www.csoonline.com/article/3565391/7-points-your-security-team-needs-to-know-about-ipv6-but-probably-doesnt.html

Scroll to Top