就網路安全的角度來說,IPv6會帶來什麼樣的影響?新的協定會不會使惡意軟體更加容易繁衍?或是讓網路攻擊的偵測變得更為困難?可以確定的是,未來幾年,隨著新版網際網路協定IPv6的到來,每家企業都必須更新連網設備。
什麼是IPv6?簡單來說,網際網路協定為每個連網裝置指定一個位址,不管是筆記型電腦、行動電話、印表機、掃描器或平板電腦,都必須有一個位址才能連上網路或網際網路。由於目前採32位元設計的IPv4位址數量已逐漸耗盡,新版IPv6採用128位元,指數般增加的位址數量,足以滿足全世界未來的需求。然而,企業應該如何安全、有效地轉換至IPv6呢?這將是我們希望陸續探討的議題。
首先得先知道IPv6位址的數量有多龐大。有一個比喻是這樣的:若以一粒細沙代表一個位址,那麼所有IPv6位址的細沙,可以填滿3億4千萬個地球的內部空間,也因此在IPv6的網路中要一一掃描位址,實際上是不可能的。同樣地,要找到一個經由IPv6隨機產生出來的位址,也變得更為不可能。
好消息是,現今存在的網路型威脅,將會更不易繁衍。事實上,現今所存在的此類惡意軟體威脅,其繁衍的基礎取決於隨機產生出來的IP位址。然而在IPv6中,惡意軟體威脅隨機產生出來的位址,基本上是無效的。因此駭客們必須改寫這些網路型的惡意軟體,才能在IPv6所增加的龐大位址空間裡有效運作。
壞消息則是,網路型威脅已非現今惡意軟體的主流,IPv6協定的轉換對其他類型的威脅一點影響也沒有。例如執行於應用層的惡意軟體,像是藉由電子郵件散佈的蠕蟲、病毒和殭屍網路bots,或是透過諸如YouTube、Facebook傳遞的內容型惡意軟體等等,它們才是現今惡意軟體的大宗。在IPv6網路裡,它們仍可以相同的方式運作,破壞系統,偷取資料,把感染的電腦納入殭屍網路中。
由於IPv6的位址數量幾乎可說是無限,有些人可能以為要找到威脅攻擊的來源會變得不可能。但事實上,是比IPv4還容易,因為相對於IPv4,IPv6網路必須支援IPSec,用以驗證IP封包的真實來源。因此儘管如此還是無法防止威脅攻擊藏匿在代理主機之後,但至少它讓未連線協定的來源位址無法被偽造(例如非連線型的UDP協定)。
IPv6當然不是網路罪犯的星,畢竟現今網路威脅攻擊變得愈來愈精巧,而且本質上多為混合型態。因此對所有企業組織來說,部署多重威脅解決方案,打造有效的第一線防護仍至為緊要。除此之外,結合紮實的員工與使用者教育訓練,才是對抗不斷創新的網路犯罪手法最好的良方。
(本文作者現任Fortinet台灣區總經理)