隨著IPv4位址即將枯竭,全球已逐漸陸續開始運用下一代網路通訊協定IPv6。儘管IPv6早在1998年12月就已經被網際網路工程研究團隊(Internet Engineering Task Force,IETF)定義為RFC 2460標準規範,十多年下來網路架構始終未出現迫切需要的狀況,直到近幾年才開始出現變化。
台灣負責研究推動IPv6的「新一代網際網路協定互通認證計畫」協同主持人葉耀明指出,所謂的IPv4發放完畢的意思是網路位址只剩下一個Class A(大約是一千六百萬個IP位址),即須保留供轉換到IPv6時使用而不能再發放。而台灣所屬的APNIC(亞太地區)早在2011年就已發放完畢,可說是全球最先告罄的區域,目前的只剩下約0.91個Class A位址;而目前擁有最多的IPv4位址的是AfriNIC(非洲地區),還有4.05個Class A,預估也將在2019年發盡。
為了因應全球IP位址的枯竭,政府單位率先啟用IPv6,由行政院核定通過的「網際網路通訊協定升級推動方案」,區分為三階段啟用。今年年底必須完成GSN骨幹,及DNS、郵件伺服器等主要外部服務的啟用;至2015年,必須完備其他對外網路服務啟用IPv6;2016年後則擴及個人電腦、內部資料庫等方面。
Cisco技術事業群客戶解決方案架構師錢小山觀察,除了政府推動導入IPv6,在企業端較積極的目前只有銀行業。但他也認為,其實IPv6這件事不能只是看企業用戶在業務方面的需求度,有很大一部分是跟政府的政策實施相關。
儘管至今仍有些公部門無法理解,IPv6的急迫性看似不高,為什麼要及早開通?錢小山卻認為,政府決定由公家單位先行導入IPv6而且選擇Dual Stack架構,是個很具前瞻性的決策。
「我之所以覺得政府這點做得不錯,原因在於採用Dual Stack是絕對沒有問題的,反而用NAT的問題會很多。就像Verizon在行動網路方面的應用,乾脆採用Native IPv6,因為評估測試時發現NAT會造成手機上的App應用出現問題,像是網路位址隱藏在App裡而無法NAT等狀況,因此才如此建置。」
 |
| ▲截至今年4月15日,全球IPv4位址發罄時程。 |
建置即須考量安全性
至於新一代IPv6協定的安全性,內建IPSec(IP Security)保護機制,似乎較IPv4安全。IBM全球資訊科技專案服務部經理高崇賢則認為,IPv6雖內建Authentication Header與Encrypted Security Payload Header,來提供認證與加密,但這並不能直接解讀為IPv6較IPv4安全,只能說以往要做到認證與加密機制還需要額外建置,IPv6環境則預設提供,可省下建置成本。「IPv6環境較IPv4安全的原因,其實只是現階段的駭客較少,如此而已。」
因此就資安的角度來看,IPv4與IPv6並無差別,既有存在的資安建置在Dual Stack架構中同樣可運作。但即使想要仔細審視IPv6可能遭受的攻擊行為,問題是,現階段整個端到端的網路連線都還沒有全數具備IPv6能力,又如何能預知需要防護之處。
網路連線要先能夠暢通,才能進一步思考哪些環節該設置閘道或檢查點,高崇賢表示,確實有些客戶會擔心IPv6的安全性問題,「對此IBM也提出完整的方法論,在應用程式與基礎架構相互依存分析階段,就要檢查IPv6的連線行為所經過的閘道設備,及其是否支援IPv6。若因安全閘道未支援IPv6而使得連線輕易可通過,這才可能會是問題所在。」
網路設備各司其職
由於事實上IPv4環境的安全問題,在IPv6同樣會遇到,錢小山指出,防護方法大致上都一致。「兩者的差異主要在於表頭(Header)長短不同,IPv6的Header大,除了位址較多以外,還可加入內建IPSec、行動能力Mobile IP等機制,但不論是內建還是外加,實作方式皆相同。」
只是錢小山特別提醒,因為IPv4的Header較短,要檢查的項目沒那麼多,規範也沒那麼多種,所以過去一旦連線封包進入到內網,不管是哪一類型的封包,都可以第一件事先確認該封包是否合法正常。因為很多的駭客攻擊行為都是利用修改Header來達到目的,藉由確認封包表頭是否符合RFC規範來過濾,而這件事在IPv4環境中可簡單達成。
但是IPv6不僅Header變大、而且多了許多Sub-Header,RFC同樣皆有規範,像是出現次數、排列順序等,因此IPv6首先要做的事,應該是要確認IPv6封包到底是否具合規性,又稱為「整潔性檢查」,這個才是主要,但是一般企業的思維卻僅著重在線速(Wire Speed)。
「其實隨著頻寬不斷加大,相對需要檢查的封包量更多,要達到線速設備絕對價格不斐,也因此市場上不可能會有既能夠詳盡檢查網路封包,又可達到線速的設備。」錢小山說。大多數的產品設計方式,會把Header分開檢查,封包傳遞到路由器時會先做一些基本篩檢,之後再到防火牆時才進一步詳細檢查,像是每一個欄位中所記錄的內容是否有違背資安控管規則等,而這些概念不論在IPv4還是IPv6環境皆相同,基礎架構中的路由器、防火牆、入侵防禦系統等設備須各司所職,才能達到防禦目的。
物聯網可為新興應用
面對新一代通訊協定,國家級建設往往具有指標性作用,藉此帶領產業陸續加入。如今網際網路通訊協定升級方案已進入實施階段,下一階段的應用發展,葉耀明認為,會以在IPv6環境中才得以發揮的新興應用為主要方向,例如較具體的項目即為物聯網,目前已在研擬為期四年的IPv6智慧應用藍圖計畫。
他進一步說明該物聯網藍圖會分為四個層次:物件層、網路層、中介層以及應用層,讓ZigBee、NFC等連網的新應用都能夠基於IPv6來運作,並向上整合與延伸。特別是ZigBee,在今年三月,ZigBee Alliance已公佈ZigBee IP的新一代國際標準,規範中清楚表示只運行在IPv6,雖然標準制定後到落實應用大約還要三至四年時間,但仍舊必須及早跟上國際發展腳步方向,才能為產業應用奠定競爭力。
儘管IPv6目前僅運用在特殊領域產業,在企業端仍屬少見,但業界專家皆一致認為,企業端會出現至少十年以上的IPv6與IPv4共存狀況,也就是說,即使企業並未針對IPv6開發新興應用,一旦任何網路使用者新申請IP位址只能配發IPv6時,都會立即有無法順利存取服務或造成安全疑慮的可能,企業IT勢必該有因應措施。