BYOD安全新课题 IPv6风险的解决之道
- +1 你赞过了
随着BYOD兴起,办公与生活的信息界限愈来愈模糊,而IPv6也将成为主流的网络架构,然而使用者资安意识不够、再加上现在IPv4到IPv6的过渡时期下,一触即发的危机正在等着考验新时代的网管人。
拜网络科技的进步和BYOD的观念所赐,我们的办公空间得以在可能的范围中无限地延展,无论是经由所谓Cloud、VPN、Mobile Devices或者IoT(Internet of Things),当所有网络通讯组件纷纷向彼此靠拢的时候,网络架构需要更强更充足的逻辑链接,原本通用的IPv4已经注定要和我们新型态的”办公+生活”渐行渐远,自90年代就开始发展的IPv6再次向大众证明世界是需要它的,我们的新IT方程式将会是”办公+生活=BYOD+IPv6”。
几项新科技的出现,更把这个新IT方程式的能量进一步放大。例如Microsoft正在申请专利中的Biological Entity Communication Channel,利用人体传讯,我们可以戴上电子手环,拿着我们的BYOD装置,与他人握手或指尖接触的同时交换了电子名片或其他电子数据。又例如”石墨烯”、”硅烯”这一类神奇的材料,将让手机屏幕可以轻易拆折,一旦这些新科技广泛使用时,BYOD大概要摇身变成BYOE(Bring Your Own Everything)了。
而在这些新科技的推波助澜下,我们要怎么让更多的设备(还有我们的手指)互连?相信IPv6是必然要被广为运用的寻址方式。
BYOD安全新课题
信息安全是很全方位的思考面向,它发生在”PC时代”的Client Server之间,当然也会发生在”后PC时代”的BYOD与Cloud之间。这几年在手持式设备如雨后春笋般爆发性销售的强力引领下,相信大家都很熟知BYOD在信息安全方面带来的危机。
BYOD装置引发了两个相当值得省思的安全议题,一个是”遗失或被窃”引发的危机,另一个则是”多重环境使用”引发的危机。其实这两种风险都很好理解,我们早就有类似的观念,回忆一下十多年前,很多人开始带着自己的USB随身碟去上班,还一度引发很多单位禁止或限制。其实这种行为本质上和BYOD一样,都会伴随着遗失…被窃以及多重环境使用所引发的信息安全危机。历史总是不断地重演。
应对BYOD 安全之道
在BYOD设备遗失或被窃时,信息安全立刻面临到对”可用性”及”机密性”最直接的挑战。设备失去时,当然瞬时就失去了可用性,虽然几乎没有挽回的余地,但是却有事前降低风险的机会,就是同步及备份。利用MDM工具或手持式设备安装的软件,对BYOD设备做实时的数据同步和定期的数据备份,以避免有朝一日出现的后悔。
至于机密性的确保,一样可以利用MDM工具或手持式设备安装的软件,对设备内部储存及外插存储器进行加密及清除(Wipe)功能,抑或是使用市面上部份厂商提供的Wipe SaaS服务,例如Sophos或Juniper等厂商皆有此类产品,可获得相当程度的防护。手持式设备的清除,更可以进一步将控制性归类为本地端清除(Local)、远程清除(Remote)或选择性清除(Selective)。
至于多重环境使用所引发的信息安全危机,往往是十分具震憾力的。BYOD设备的最大特性就是它必然是横跨至少两个以上的多重环境使用的,在”办公+生活”的型态下,BYOD设备经常有很大的机会将生活环境的资安威胁引入到办公环境中。而这一类的风险并不仅仅是使用MDM工具解决这么简单,它还牵涉到很大成份的使用者资安意识与操作方法。
举例而言,很多使用者会以手持式设备扫描QR Code二维条形码,进而取得与第三方服务提供商的介接。例如伦敦市区已施行一两年的路边停车新缴费方式,市府很贴心的在停车位立牌上张贴着付款方式,并提供QR Code以方便停车者直接扫描进入付费系统。大部份民众都认为这是便民措施,也对伦敦市政府的方式相当称道,但若有”邪恶人士”把这个停车缴费的QR Code换成了”邪恶QR Code”贴纸,一般BYOD使用者便可能在生活环境中埋下了资安风险,并且引回到办公环境中。这个例子也是另一种型式的钓鱼(Phishing)行为。
IPv6新危机
在运行IPv4的网络环境,理论上全世界所有能上网的装置总数是2的32次方个,也就是40多亿个。而运行IPv6的网络可上网的装置则是2的128次方个,这个数字非一般人脑可以算得出来,不过相信大家都早已了解,在设备与网络节点快速增多的时代下我们非常需要IPv6。
然而IPv6有一个特性,就是它并非”直接”向下兼容于IPv4的,也就是说一个网络环境若要同时支持IPv6与IPv4,就必须使用一些特别的额外手法,例如常见的手法有双轨并存(Dual Stack)、穿隧(Tunnels)及转址(Translation)等。在实际运行中,现在最常见的方式就是Dual Stack的模式,在台湾已经有很多企业及公家机关使用这种方式同时兼顾IPv6与IPv4。
不管在Dual Stack、Tunnels或Translation任一技术下,IPv6与IPv4同时的存在,都会带来一种叫做SLAAC Attack的攻击行为。不妨假设一个SLAAC Attack的范例场景,在局域网络内所有的Client端设备皆是透过DHCP取得IPv4的地址,而这些Client端的设备,不论是计算机或手持式设备也都支持IPv6寻址的功能。
在这种情况下,如果终端使用者并没有特别去注意到IPv6功能是开启或关闭,也就是说使用者并不知道自己的设备是在IPv6 Stateless Auto Address Configuration(IPv6 SLAAC)设定并等候DHCP配发IPv6地址的状态下,若网管人员并未在网络上架设DHCPv6的配发IPv6服务,那SLAAC Attack的发动者可自架一个”邪恶路由器”来冒充DHCPv6配发者,就可以将IPv6对外流量导到另一个自架的”邪恶DNS服务器”上,然后肆意操作想要达到的目的。
这场景是不是就类似在纯IPv4时代的网址嫁接(Pharming)手法呢?而事实上这个”邪恶路由器”也是邪恶人士非常轻易就可以架设的,它可以是一个真实的有线或无线路由器,或者一台计算机加上适当的软件,甚至也可能是一个手持式设备加上适当的App,又或者是现成的套装工具,例如Neohapsis Labs的Sudden Six Tool。
解决IPv6 新风险
其实所有的Routed Protocol都有可能经常遭遇到类似SLAAC Attack这种的”Spoofing Attacks”,解决方法也众说纷云,比较具权威性的方式则有以下两种:
1. 运用Secure Neighbor Discovery(简称SEND),可参考RFC 3971和RFC 6494。提到SEND要先说到NDP(Neighbor Discovery Protocol),简单地说NDP是一种IPv6环境下用来探索本地网络上其他IPv6节点的协议。这种NDP是明文传送的,而SEND则可以”视为”是NDP的加密版,运用CGA(Cryptographically Generated Address)将ICMPv6的封包凑杂密文传送。
2. 利用第二层的控制手法,例如在802.1x的环境下,让设备在能够传送或接收IPv6封包的同时,必须要能先取得验证。这种方式是能够有效遏止像SLAAC Attack或类似的Rouge Router Advertisements,可参考RFC 6104。
结语
心中辽阔的未来愿景是新IT方程式”办公+生活=BYOD+IPv6”,但如果在使用者资安意识不够、再加上现在IPv4到IPv6的过渡时期下,一触即发的危机正在等着考验新时代的网管人,而新网管人在新时代所必需具备的新IT技术已不再只是设定设备、写写程序之类的技能了,新时代的IT技术必然是与企管智慧紧密结合。
最新资讯
热门视频
新品评测