隨著網路應用與資訊科技的蓬勃發展,網際網路開始面臨IPv4位址不夠使用的窘境,儘管目前國內學術網路在政府政策的要求下,已經完成IPv6的網路建置,但是在IPv6的服務內容上仍尚未完備,可想而知,企業對於IPv6的認知更為陌生。
有鑑於難以完全棄絕既有IPv4而一步到位,企業在計畫導入IPv6的時候,須採用循序漸進、相容並存的方式,才不會對企業造成太大的衝擊,或是發生無法掌握的資安漏洞。
Fortinet技術顧問陳家慶表示,IPv6的最大優點之一便是解決IPv4位址不足的問題,其可大幅增加能夠使用的位址數量,對於初步的安全防護而言,企業若是隨機分配IPv6位址,駭客將不容易透過掃描方式,來猜測並找到有漏洞的系統攻擊,安全性較IPv4來得高。
不過,陳家慶表示:「雖然IPv6安全設計比起IPv4嚴謹,但由於企業在管理IPv4時,已經陸續建構起架構與標準,因此在導入IPv6,時仍必須要有另一套新的規定與準則,而且還要將行動裝置也一併納入IPv6的規劃範圍之內,畢竟企業網路擴展延伸至員工行動裝置已是大勢所趨。」
同時支援方能把關混合環境網路安全
目前已知的IPv6攻擊手法多半是還是遵循著IPv4的模式進行,主要可分成「攻擊破壞」和「控制竊取」等兩大類,陳家慶表示:「所謂的攻擊破壞,指的是癱瘓目標的網路與特定服務;而控制竊取則是意圖取得裝置或程式的控制權。即使IPv6安全性優於IPv4,短時間之內,IPv4和IPv6將會並存在企業網路中,有心人士便可能利用IPv6協定在IPv4上侵入破壞。」
他表示,企業可善用IPv6私有位址(Private Address)來規劃企業內部IPv6,以防止內部資源與全球IPv6產生連動,也可利用網路安全設備阻擋ICMPv6,防止不必要的網路流量進出企業內部。
陳家慶表示,傳統的網路安全設備無法支援IPv6,唯有選擇能夠同時支援IPv4和IPv6的安全設備,才能同時打擊隱藏在IPv4/IPv6中的惡意代碼或內容。同時,企業也應考慮,這些安全設備是否支持IPv6轉換技術,如此才能讓應用於Native(原生)IPv6流量的過濾策略可以同樣應用到轉換(NAT)流量上。
陳家慶表示:「以Fortinet為例,其FortiGate可應用在同時擁有IPv4與IPv6混合的網路環境中,提供IPv6初期建置時的安全設備安全政策控制。」
舉例來說,企業若初期只設置實驗室進行IPv6測試,用戶還是保持在IPv4的架構下,此時FortiGate可同時提供IPv6企業實驗環境防護與IPv4的安全保護。等到IPv6正式全面上線時,設定將用戶IPv6網段加入防護之列,就能獲得安全保護。