当BYOD碰上IPv6 打造后PC时代的新办公方式

  随着BYOD兴起，办公与生活的信息界限愈来愈模糊，而IPv6也将成为主流的网络架构，然而使用者资安意识不够、再加上现在IPv4到IPv6的过渡时期下，一触即发的危机正在等着考验新时代的网管人。

  拜网络科技的进步和BYOD的观念所赐，我们的办公空间得以在可能的范围中无限地延展，无论是经由所谓Cloud、VPN、Mobile Devices或者IoT(Internet of Things)，当所有网络通讯组件纷纷向彼此靠拢的时候，网络架构需要更强更充足的逻辑链接，原本通用的IPv4已经注定要和我们新型态的”办公+生活”渐行渐远，自90年代就开始发展的IPv6再次向大众证明世界是需要它的，我们的新IT方程式将会是”办公+生活=BYOD+IPv6”。

  几项新科技的出现，更把这个新IT方程式的能量进一步放大。例如Microsoft正在申请专利中的Biological Entity Communication Channel，利用人体传讯，我们可以戴上电子手环，拿着我们的BYOD装置，与他人握手或指尖接触的同时交换了电子名片或其他电子数据。又例如”石墨烯”、”硅烯”这一类神奇的材料，将让手机屏幕可以轻易拆折，一旦这些新科技广泛使用时，BYOD大概要摇身变成BYOE(Bring Your Own Everything)了。

  而在这些新科技的推波助澜下，我们要怎么让更多的设备(还有我们的手指)互连？相信IPv6是必然要被广为运用的寻址方式。

  BYOD安全新课题

  信息安全是很全方位的思考面向，它发生在”PC时代”的Client Server之间，当然也会发生在”后PC时代”的BYOD与Cloud之间。这几年在手持式设备如雨后春笋般爆发性销售的强力引领下，相信大家都很熟知BYOD在信息安全方面带来的危机。

  BYOD装置引发了两个相当值得省思的安全议题，一个是”遗失或被窃”引发的危机，另一个则是”多重环境使用”引发的危机。其实这两种风险都很好理解，我们早就有类似的观念，回忆一下十多年前，很多人开始带着自己的USB随身碟去上班，还一度引发很多单位禁止或限制。其实这种行为本质上和BYOD一样，都会伴随着遗失…被窃以及多重环境使用所引发的信息安全危机。历史总是不断地重演。

  应对BYOD 安全之道

  在BYOD设备遗失或被窃时，信息安全立刻面临到对”可用性”及”机密性”最直接的挑战。设备失去时，当然瞬时就失去了可用性，虽然几乎没有挽回的余地，但是却有事前降低风险的机会，就是同步及备份。利用MDM工具或手持式设备安装的软件，对BYOD设备做实时的数据同步和定期的数据备份，以避免有朝一日出现的后悔。

  至于机密性的确保，一样可以利用MDM工具或手持式设备安装的软件，对设备内部储存及外插存储器进行加密及清除(Wipe)功能，抑或是使用市面上部份厂商提供的Wipe SaaS服务，例如Sophos或Juniper等厂商皆有此类产品，可获得相当程度的防护。手持式设备的清除，更可以进一步将控制性归类为本地端清除(Local)、远程清除(Remote)或选择性清除(Selective)。

  至于多重环境使用所引发的信息安全危机，往往是十分具震憾力的。BYOD设备的最大特性就是它必然是横跨至少两个以上的多重环境使用的，在”办公+生活”的型态下，BYOD设备经常有很大的机会将生活环境的资安威胁引入到办公环境中。而这一类的风险并不仅仅是使用MDM工具解决这么简单，它还牵涉到很大成份的使用者资安意识与操作方法。

  举例而言，很多使用者会以手持式设备扫描QR Code二维条形码，进而取得与第三方服务提供商的介接。例如伦敦市区已施行一两年的路边停车新缴费方式，市府很贴心的在停车位立牌上张贴着付款方式，并提供QR Code以方便停车者直接扫描进入付费系统。大部份民众都认为这是便民措施，也对伦敦市政府的方式相当称道，但若有”邪恶人士”把这个停车缴费的QR Code换成了”邪恶QR Code”贴纸，一般BYOD使用者便可能在生活环境中埋下了资安风险，并且引回到办公环境中。这个例子也是另一种型式的钓鱼(Phishing)行为。

  IPv6新危机

  在运行IPv4的网络环境，理论上全世界所有能上网的装置总数是2的32次方个，也就是40多亿个。而运行IPv6的网络可上网的装置则是2的128次方个，这个数字非一般人脑可以算得出来，不过相信大家都早已了解，在设备与网络节点快速增多的时代下我们非常需要IPv6。

  然而IPv6有一个特性，就是它并非”直接”向下兼容于IPv4的，也就是说一个网络环境若要同时支持IPv6与IPv4，就必须使用一些特别的额外手法，例如常见的手法有双轨并存(Dual Stack)、穿隧(Tunnels)及转址(Translation)等。在实际运行中，现在最常见的方式就是Dual Stack的模式，目前已经有很多企业及公家机关使用这种方式同时兼顾IPv6与IPv4。

  不管在Dual Stack、Tunnels或Translation任一技术下，IPv6与IPv4同时的存在，都会带来一种叫做SLAAC Attack的攻击行为。不妨假设一个SLAAC Attack的范例场景，在局域网络内所有的Client端设备皆是透过DHCP取得IPv4的地址，而这些Client端的设备，不论是计算机或手持式设备也都支持IPv6寻址的功能。

  在这种情况下，如果终端使用者并没有特别去注意到IPv6功能是开启或关闭，也就是说使用者并不知道自己的设备是在IPv6 Stateless Auto Address Configuration(IPv6 SLAAC)设定并等候DHCP配发IPv6地址的状态下，若网管人员并未在网络上架设DHCPv6的配发IPv6服务，那SLAAC Attack的发动者可自架一个”邪恶路由器”来冒充DHCPv6配发者，就可以将IPv6对外流量导到另一个自架的”邪恶DNS服务器”上，然后肆意操作想要达到的目的。

  这场景是不是就类似在纯IPv4时代的网址嫁接(Pharming)手法呢？而事实上这个”邪恶路由器”也是邪恶人士非常轻易就可以架设的，它可以是一个真实的有线或无线路由器，或者一台计算机加上适当的软件，甚至也可能是一个手持式设备加上适当的App，又或者是现成的套装工具，例如Neohapsis Labs的Sudden Six Tool。

  解决IPv6 新风险

  其实所有的Routed Protocol都有可能经常遭遇到类似SLAAC Attack这种的”Spoofing Attacks”，解决方法也众说纷云，比较具权威性的方式则有以下两种：

  1. 运用Secure Neighbor Discovery(简称SEND)，可参考RFC 3971和RFC 6494。提到SEND要先说到NDP(Neighbor Discovery Protocol)，简单地说NDP是一种IPv6环境下用来探索本地网络上其他IPv6节点的协议。这种NDP是明文传送的，而SEND则可以”视为”是NDP的加密版，运用CGA(Cryptographically Generated Address)将ICMPv6的封包凑杂密文传送。

  2. 利用第二层的控制手法，例如在802.1x的环境下，让设备在能够传送或接收IPv6封包的同时，必须要能先取得验证。这种方式是能够有效遏止像SLAAC Attack或类似的Rouge Router Advertisements，可参考RFC 6104。

  结语

  心中辽阔的未来愿景是新IT方程式”办公+生活=BYOD+IPv6”，但如果在使用者资安意识不够、再加上现在IPv4到IPv6的过渡时期下，一触即发的危机正在等着考验新时代的网管人，而新网管人在新时代所必需具备的新IT技术已不再只是设定设备、写写程序之类的技能了，新时代的IT技术必然是与企管智慧紧密结合。