NSA ออกเอกสารแนะนำความมั่นคงปลอดภัยสำหรับ IPv6

การเปลี่ยนผ่านระหว่าง IPv4 สู่ IPv6 เป็นกระบวนการที่ต้องใช้เวลายาวนาน ซึ่ง NSA เล็งเห็นการออกเอกสารในครั้งนี้จะช่วยให้หน่วยงานและผู้ดูแลองค์กรสามารถนำไอเดียเรื่องความมั่นคงปลอดภัยที่อาจจะเกิดขึ้นได้ไปประยุกต์ใช้เพื่อลดความเสี่ยงที่อาจจะเกิดขึ้นในกระบวนการที่ค่อยเป็นค่อยไปนี้

การเปลี่ยนผ่านสู่ IPv6 กระทบในทุกภาคส่วนทั้งฮาร์ดแวร์และซอฟต์แวร์ และแน่นอนว่าครอบคลุมไปถึงเรื่องความมั่นคงปลอดภัยเช่นเดียวกัน โดย NSA คาดถึงปัญหาหลายด้านเช่น ความแปลกใหม่ที่แอดมินยังไม่คุ้นเคย ที่ทำให้เกิดความไม่สมบูรณ์ในการคอนฟิคและการเครื่องมือที่ช่วยปกป้องเครือข่าย ไม่เพียงเท่านั้นยังต้องมีการปฏิบัติการควบคู่กันในโปรโตรคอลเดิมและใหม่ (Dual Stack) ก็มีส่วนให้พื้นผิวการโจมตีกว้างขึ้นด้วย

ในมุมมองด้านเทคนิค NSA กังวลถึง

  • แนะนำให้ใช้ DHCPv6 แทน  stateless address auto-configuration (SLAAC) เพื่อกำหนดไอพีอัตโนมัติเพราะ SLAAC มีประเด็นเรื่อง Data Privacy ที่อาจเผยถึงอุปกรณ์เครือข่าย อีกทางเลือกหนึ่งคือแนะให้ใช้การสุ่มสร้างอินเทอร์เฟสเพื่อให้ซับซ้อนต่อการปะติดปะต่อกิจกรรม
  • เลี่ยงการใช้ Tunneling ในการรับส่งแพ็กเก็ตเพราะจะเพิ่มพื้นผิวการโจมตี ปิดการใช้งาน Tunneling Protocol บนทุกอุปกรณ์
  • ในเครือข่ายที่ทำ Dual-stack ต้องมีกลไกป้องกันด้านความมั่นคงปลอดภัย IPv6 ที่สอดคล้องกับ IPv4 เช่น Firewall และบล็อกการทำ Tunneling และ Transition
  • ในการใช้งาน IPv6 มีความเป็นไปได้สูงที่ Network Address ที่อยู่บนอินเทอร์เฟสเดียวกัน ต้องรีวิว ACL และ Rule ที่บังคับใช้ให้ดี อนุญาตเฉพาะที่อยู่ที่ถูกต้องเท่านั้น
  • ควรบันทึก Log ของทราฟฟิคและตรวจทานสม่ำเสมอ

สุดท้าย NSA ยังเน้นย้ำว่าแอดมินเครือข่ายควรจะได้รับการอบรมมาเป็นอย่างดีเท่าทันต่อความรู้สำหรับ IPv6 ดาวน์โหลดเอกสารความยาว 7 หน้ากระดาษได้ที่ https://media.defense.gov/2023/Jan/18/2003145994/-1/-1/0/CSI_IPV6_SECURITY_GUIDANCE.PDF 

ที่มา : https://www.securityweek.com/nsa-publishes-security-guidance-organizations-transitioning-ipv6

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ผู้เชี่ยวชาญเตือนพบช่องโหว่ Zero-day กระทบผู้ใช้ Zyxel หลายรุ่น เสี่ยงต่อการถูกโจมตี

มีการค้นพบช่องโหว่ Zero-day ในผลิตภัณฑ์ Zyxel หลายรุ่น ซึ่งพบการโจมตีจริงแล้ว แแต่ที่ผู้เชี่ยวชาญแสดงความเป็นห่วงงเพราะทาง Vendor ยืนยันว่าผลิตภัณฑ์เหล่านั้นหมดอายุไปแล้วและจะไม่มีการแพตช์ ทำให้ผู้ใช้งานอาจเป็นเป้านิ่งสำหรับ Botnet หรือ การโจมตีทางไซเบอร์

CISA พบบั๊ก Microsoft Outlook เพื่อโจมตี RCE ระบาดหนัก แนะเร่งอัปเดต

CISA ได้แจ้งเตือนหน่วยงานรัฐบาลกลางสหรัฐเพื่อให้ป้องกันระบบไอทีจากช่องโหว่ภายใน Microsoft Outlook ที่พบตั้งแต่ปีที่แล้วซึ่งอาจนำไปสู่การโจมตี Remote Code Execution (RCE) ได้นั้นกำลังระบาดหนัก แนะนำให้เร่งอัปเดตโดยเร่งด่วน