การเปลี่ยนผ่านระหว่าง IPv4 สู่ IPv6 เป็นกระบวนการที่ต้องใช้เวลายาวนาน ซึ่ง NSA เล็งเห็นการออกเอกสารในครั้งนี้จะช่วยให้หน่วยงานและผู้ดูแลองค์กรสามารถนำไอเดียเรื่องความมั่นคงปลอดภัยที่อาจจะเกิดขึ้นได้ไปประยุกต์ใช้เพื่อลดความเสี่ยงที่อาจจะเกิดขึ้นในกระบวนการที่ค่อยเป็นค่อยไปนี้

การเปลี่ยนผ่านสู่ IPv6 กระทบในทุกภาคส่วนทั้งฮาร์ดแวร์และซอฟต์แวร์ และแน่นอนว่าครอบคลุมไปถึงเรื่องความมั่นคงปลอดภัยเช่นเดียวกัน โดย NSA คาดถึงปัญหาหลายด้านเช่น ความแปลกใหม่ที่แอดมินยังไม่คุ้นเคย ที่ทำให้เกิดความไม่สมบูรณ์ในการคอนฟิคและการเครื่องมือที่ช่วยปกป้องเครือข่าย ไม่เพียงเท่านั้นยังต้องมีการปฏิบัติการควบคู่กันในโปรโตรคอลเดิมและใหม่ (Dual Stack) ก็มีส่วนให้พื้นผิวการโจมตีกว้างขึ้นด้วย
ในมุมมองด้านเทคนิค NSA กังวลถึง
- แนะนำให้ใช้ DHCPv6 แทน stateless address auto-configuration (SLAAC) เพื่อกำหนดไอพีอัตโนมัติเพราะ SLAAC มีประเด็นเรื่อง Data Privacy ที่อาจเผยถึงอุปกรณ์เครือข่าย อีกทางเลือกหนึ่งคือแนะให้ใช้การสุ่มสร้างอินเทอร์เฟสเพื่อให้ซับซ้อนต่อการปะติดปะต่อกิจกรรม
- เลี่ยงการใช้ Tunneling ในการรับส่งแพ็กเก็ตเพราะจะเพิ่มพื้นผิวการโจมตี ปิดการใช้งาน Tunneling Protocol บนทุกอุปกรณ์
- ในเครือข่ายที่ทำ Dual-stack ต้องมีกลไกป้องกันด้านความมั่นคงปลอดภัย IPv6 ที่สอดคล้องกับ IPv4 เช่น Firewall และบล็อกการทำ Tunneling และ Transition
- ในการใช้งาน IPv6 มีความเป็นไปได้สูงที่ Network Address ที่อยู่บนอินเทอร์เฟสเดียวกัน ต้องรีวิว ACL และ Rule ที่บังคับใช้ให้ดี อนุญาตเฉพาะที่อยู่ที่ถูกต้องเท่านั้น
- ควรบันทึก Log ของทราฟฟิคและตรวจทานสม่ำเสมอ
สุดท้าย NSA ยังเน้นย้ำว่าแอดมินเครือข่ายควรจะได้รับการอบรมมาเป็นอย่างดีเท่าทันต่อความรู้สำหรับ IPv6 ดาวน์โหลดเอกสารความยาว 7 หน้ากระดาษได้ที่ https://media.defense.gov/2023/Jan/18/2003145994/-1/-1/0/CSI_IPV6_SECURITY_GUIDANCE.PDF
ที่มา : https://www.securityweek.com/nsa-publishes-security-guidance-organizations-transitioning-ipv6