IPv6讓網路安全改頭換面

藉由難以計數的IP位址增強網路安全

以現有的TCP/IP網路來說，存在著四種基本的安全威脅：中斷服務（DoS或DDoS）、竊聽（eavesdropping）、修改（Modification）、偽造攻擊（Fabrication），這些攻擊項目分別破壞主機服務項目、傳輸隱密性、封包完整性、以及認證的功能，而這些攻擊是基於IP網路的先天規範而來，無論採取何種方式都是難以根絕的。雖然目前可以透過防火牆、IDS、以及RADIUS伺服器等方式加強相關安全性，但是依然有漏洞可循。在建置新一代的IPv6網路時，安全專家就針對這些項目提出解決方式以降低這類攻擊的安全風險，希望新的網路環境可以更安全更可靠。內建IPsec安全架構，防護架構徹底改變

在IPv6的規範中，已經明訂包含IPsec架構，在兩端建立通道之前，必須先通過IPsec的相關確認。以目前現行的網路環境而言，IPsec通常是用來建立Site-to-Site的虛擬安全通道，藉由這項強固的安全防護，可以讓資料流免於竊聽、修改及偽造。不過在終端設備上使用時，往往會因為處理加密及封包解析而造成效能降低，同時因為額外包裹加密過的防護殼，也會造成傳輸速率的降低，是相當吃力的工作。如果在沒有使用IPsec VPN的狀況下，則會使用防火牆作為初步的防護機制。

不過在IPv6網路環境中，現行的安全防護架構將會完全改觀。只要IPv6的連線建立之後，IPsec防護層就會自動建立起來，在資料傳輸的路徑中，就可以防止受到惡意的第三者竊聽或是修改資料。由於IPsec架構是內建於IPv6協定之中，封包標頭也特別調整過，整個封包大小並不會如同IPv4封包加上IPsec加密一般膨脹，因此並不會加重網路設備處理上的負擔，同時，因為主機處理效能的提升，加解密所需的時間已經不再是強調的重點。但是跟現有安全架構比較，所造成的安全疑慮就如同IPsec VPN相同，在封包加密的狀況之下，我們無法檢測內部封包的安全性，如果無意中夾帶了病毒或是惡意封包，就形同進入了不設防的都市，會造成主機或鄰近網路嚴重的損害。防火牆架構改變，由中介轉成終端

正因為封包的傳遞內容與加密已經改變，對於某些現有的網路安全設備而言，就必須要有相對應的改變。以每個企業網路必備的防火牆而言，雖然所處理的安全議題與IPsec架構本身處理的面向不同，但是由於IPv6會建立出直接點對點的連線、安全通道以及加密封包，在防火牆處理時，則很有可能因此造成一些衝突，不是防火牆錯誤拒絕安全的資料流進入，就是完全無法阻擋惡意封包進入。因此隨著IPv6主機的建置，周邊的安全模式也會隨著更動。

最明顯的就是IPv6的導入後，明確的疆界將會消失，原先由子網路遮罩架構出的區域網路環境不再存在，在安全防護觀念上，那道強固的城牆已經不再存在，防火牆所應存在的位置也隨之消失，使用者就「被迫」必須使用更安全的電腦或設備。不單是利用密碼保障開機時的安全性，還要加強對病毒的防護（安裝防毒系統），安裝個人防火牆之類的產品，並且利用SSL、IPsec VPN、PGP確保傳輸時的安全性，更重要的是隨時注意作業系統及應用程式的更新及補強，才能確保安全不受侵害。服務埠掃瞄變得不可行，自然降低DoS攻擊

傳統IPv4子網路最多僅有256臺設備，如果一秒鐘掃瞄一臺主機，最多僅需五分鐘就可以找出特定機器，在這種狀況之下，攻擊者很容易找出提供特定服務埠的主機並攻擊，這也是為什麼目前DoS/DDoS攻擊如此盛行的原因。不過採用IPv6網路之後，子網路具有64位元個位址，就算同樣利用一秒鐘掃瞄出一臺主機，所需要的時間也需要5億8千5百萬年之久！

同時IPv6也採用了密碼生成位址（Crytographic Generated Addresses）的方式，每隔不定時間還會由上游自動重新編成一次IP位址，因此在掃瞄主機上更加困難，自然而然降低了中斷服務攻擊的風險。

不過雖然IPv6具有這些優點，但是在IPv4與IPv6共存的環境中，因為每臺主機還是具有IPv4位址，相關的安全問題還是存在，反而可能因為這些主機而成為入侵IPv6網路的跳板，這時候確保主機安全性就成為最大的議題。

安全效能提升，使用者自行努力

從以上這些特性可以了解，IPv6網路確實能夠提升整體安全性，並且是以先天規範的方式建構出安全架構，當然最主要還是由大量IP位址而成的安全優勢。除此之外，還能夠讓使用者的各項通訊功能更加安全，在使用上更簡單。但是使用者必須改變現有的安全觀念及態度，安全防護上不能只依賴網路管理者，還必須由自己做起，確保終端設備的健全性，才能建構出真正安全的網路。IP網路中的位址型態

一個封包中的位址型態能夠決定哪些主機應該收到這個封包，在IPv4中，分為單點傳播（Unicast）、廣播（Broadcast）以及多點傳播（Multicast）三種位址型態。單點傳播位址具有唯一性，能夠辨識並傳播封包到單一主機，而廣播則會要求所屬子網路中所有主機都接收該封包並回應，多點傳播則是與該主機屬於同一群組才會收到該封包。在IPv6中，則已經不再使用廣播位址，而是以多點傳播位址取代，這是一項很好的改變，因為廣播封包會造成整個子網路的混亂，特別是目前越來越多的病毒會使用廣播位址型態進行攻擊，造成整個網路的癱瘓。

在IPv6網路中，依然保留單點傳播以及多點傳播，與IPv4相同，單點傳播可以辨識節點上的介面位址，直接傳送到擁有該IP位址的介面上。多點傳播則能夠用來辨識一組介面群。一個送到多點傳播位址的封包能夠讓同屬於該群組的主機群處理。

較為特別的為任一傳播（Anycast）型態，任一傳播位址可以指定傳送到多個節點的多個介面，而傳送到任一傳播位址上的封包則只會轉送到列表中這些介面的其中一個，而且通常是距離最近的介面。文⊙羅健豪