首页 > 移动应用 > 正文

当BYOD遭遇IPv6 一段危险的旅程

2014-02-08 15:32:43  来源:移动信息化

摘要:随着BYOD兴起,办公与生活的信息界限愈来愈模糊,而IPv6也将成为主流的网络架构,而使用者资安意识不够、再加上现在IPv4到IPv6的过渡时期下,一触即发的危机正在等着考验新时代的网管人。
关键词: BYOD IPv6

    随着BYOD兴起,办公与生活的信息界限愈来愈模糊,而IPv6也将成为主流的网络架构,然而使用者资安意识不够、再加上现在IPv4到IPv6的过渡时期下,一触即发的危机正在等着考验新时代的网管人。


    拜网络科技的进步和BYOD的观念所赐,我们的办公空间得以在可能的范围中无限地延展,无论是经由所谓Cloud、VPN、Mobile Devices或者IoT(Internet of Things),当所有网络通讯组件纷纷向彼此靠拢的时候,网络架构需要更强更充足的逻辑链接,原本通用的IPv4已经注定要和我们新型态的”办公+生活”渐行渐远,自90年代就开始发展的IPv6再次向大众证明世界是需要它的,我们的新IT方程式将会是”办公+生活=BYODIPv6”。


    几项新科技的出现,更把这个新IT方程式的能量进一步放大。例如Microsoft正在申请专利中的Biological EntITy Communication Channel,利用人体传讯,我们可以戴上电子手环,拿着我们的BYOD装置,与他人握手或指尖接触的同时交换了电子名片或其他电子数据。又例如”石墨烯”、”硅烯”这一类神奇的材料,将让手机屏幕可以轻易拆折,一旦这些新科技广泛使用时,BYOD大概要摇身变成BYOE(Bring Your Own Everything)了。


    而在这些新科技的推波助澜下,我们要怎么让更多的设备(还有我们的手指)互连?相信IPv6是必然要被广为运用的寻址方式。


    BYOD安全新课题


    信息安全是很全方位的思考面向,它发生在”PC时代”的Client Server之间,当然也会发生在”后PC时代”的BYOD与Cloud之间。这几年在手持式设备如雨后春笋般爆发性销售的强力引领下,相信大家都很熟知BYOD在信息安全方面带来的危机。


    BYOD装置引发了两个相当值得省思的安全议题,一个是”遗失或被窃”引发的危机,另一个则是”多重环境使用”引发的危机。其实这两种风险都很好理解,我们早就有类似的观念,回忆一下十多年前,很多人开始带着自己的USB随身碟去上班,还一度引发很多单位禁止或限制。其实这种行为本质上和BYOD一样,都会伴随着遗失…被窃以及多重环境使用所引发的信息安全危机。历史总是不断地重演。


    11 BYOD遭遇IPv6 一段危险的旅程 移动安全 移动办公 BYOD


    应对BYOD 安全之道


    在BYOD设备遗失或被窃时,信息安全立刻面临到对”可用性”及”机密性”最直接的挑战。设备失去时,当然瞬时就失去了可用性,虽然几乎没有挽回的余地,但是却有事前降低风险的机会,就是同步及备份。利用MDM工具或手持式设备安装的软件,对BYOD设备做实时的数据同步和定期的数据备份,以避免有朝一日出现的后悔。


    至于机密性的确保,一样可以利用MDM工具或手持式设备安装的软件,对设备内部储存及外插存储器进行加密及清除(Wipe)功能,抑或是使用市面上部份厂商提供的Wipe SaaS服务,例如Sophos或Juniper等厂商皆有此类产品,可获得相当程度的防护。手持式设备的清除,更可以进一步将控制性归类为本地端清除(Local)、远程清除(Remote)或选择性清除(Selective)。


    至于多重环境使用所引发的信息安全危机,往往是十分具震憾力的。BYOD设备的最大特性就是它必然是横跨至少两个以上的多重环境使用的,在”办公+生活”的型态下,BYOD设备经常有很大的机会将生活环境的资安威胁引入到办公环境中。而这一类的风险并不仅仅是使用MDM工具解决这么简单,它还牵涉到很大成份的使用者资安意识与操作方法。


    举例而言,很多使用者会以手持式设备扫描QR Code二维条形码,进而取得与第三方服务提供商的介接。例如伦敦市区已施行一两年的路边停车新缴费方式,市府很贴心的在停车位立牌上张贴着付款方式,并提供QR Code以方便停车者直接扫描进入付费系统。大部份民众都认为这是便民措施,也对伦敦市政府的方式相当称道,但若有”邪恶人士”把这个停车缴费的QR Code换成了”邪恶QR Code”贴纸,一般BYOD使用者便可能在生活环境中埋下了资安风险,并且引回到办公环境中。这个例子也是另一种型式的钓鱼(Phishing)行为。


    IPv6新危机


    在运行IPv4的网络环境,理论上全世界所有能上网的装置总数是2的32次方个,也就是40多亿个。而运行IPv6的网络可上网的装置则是2的128次方个,这个数字非一般人脑可以算得出来,不过相信大家都早已了解,在设备与网络节点快速增多的时代下我们非常需要IPv6


    然而IPv6有一个特性,就是它并非”直接”向下兼容于IPv4的,也就是说一个网络环境若要同时支持IPv6与IPv4,就必须使用一些特别的额外手法,例如常见的手法有双轨并存(Dual Stack)、穿隧(Tunnels)及转址(Translation)等。在实际运行中,现在最常见的方式就是Dual Stack的模式,在台湾已经有很多企业及公家机关使用这种方式同时兼顾IPv6与IPv4。


    不管在Dual Stack、Tunnels或Translation任一技术下,IPv6与IPv4同时的存在,都会带来一种叫做SLAAC Attack的攻击行为。不妨假设一个SLAAC Attack的范例场景,在局域网络内所有的Client端设备皆是透过DHCP取得IPv4的地址,而这些Client端的设备,不论是计算机或手持式设备也都支持IPv6寻址的功能。


    在这种情况下,如果终端使用者并没有特别去注意到IPv6功能是开启或关闭,也就是说使用者并不知道自己的设备是在IPv6 Stateless Auto Address Configuration(IPv6 SLAAC)设定并等候DHCP配发IPv6地址的状态下,若网管人员并未在网络上架设DHCPv6的配发IPv6服务,那SLAAC Attack的发动者可自架一个”邪恶路由器”来冒充DHCPv6配发者,就可以将IPv6对外流量导到另一个自架的”邪恶DNS服务器”上,然后肆意操作想要达到的目的。


    这场景是不是就类似在纯IPv4时代的网址嫁接(Pharming)手法呢?而事实上这个”邪恶路由器”也是邪恶人士非常轻易就可以架设的,它可以是一个真实的有线或无线路由器,或者一台计算机加上适当的软件,甚至也可能是一个手持式设备加上适当的App,又或者是现成的套装工具,例如Neohapsis Labs的Sudden Six Tool。


    解决IPv6 新风险


    其实所有的Routed Protocol都有可能经常遭遇到类似SLAAC Attack这种的”Spoofing Attacks”,解决方法也众说纷云,比较具权威性的方式则有以下两种:


    1. 运用Secure Neighbor Discovery(简称SEND),可参考RFC 3971和RFC 6494。提到SEND要先说到NDP(Neighbor Discovery Protocol),简单地说NDP是一种IPv6环境下用来探索本地网络上其他IPv6节点的协议。这种NDP是明文传送的,而SEND则可以”视为”是NDP的加密版,运用CGA(Cryptographically Generated Address)将ICMPv6的封包凑杂密文传送。


    2. 利用第二层的控制手法,例如在802.1x的环境下,让设备在能够传送或接收IPv6封包的同时,必须要能先取得验证。这种方式是能够有效遏止像SLAAC Attack或类似的Rouge Router Advertisements,可参考RFC 6104。


    结语


    心中辽阔的未来愿景是新IT方程式”办公+生活=BYODIPv6”,但如果在使用者资安意识不够、再加上现在IPv4到IPv6的过渡时期下,一触即发的危机正在等着考验新时代的网管人,而新网管人在新时代所必需具备的新IT技术已不再只是设定设备、写写程序之类的技能了,新时代的IT技术必然是与企管智慧紧密结合。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:chenjian

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。