5. Đảm bảo an toàn trong triển khai IPv6
5.2.3. Các vấn đề với địa chỉ EUI-64
Một trong những cách phổ biến hơn để giao diện số là sử dụng EUI-64 địa chỉ. Sử dụng EUI-64 giải quyết có thể là một nguy cơ bảo mật. Tự động cấu hình là một trong những phương pháp sử dụng EUI-64 để tạo ra một định danh giao diện (IID). Bất kỳ máy tính đang cố gắng để autoconfigure địa chỉ IP của nó sẽ kết hợp định danh mạng với địa chỉ EUI-64 để tạo ra một địa chỉ duy nhất Địa chỉ vật lý của giao diện (địa chỉ MAC) là một đầu vào cho các thuật toán mà tạo ra EUI-64 địa chỉ. RFC 4291 tài liệu phương pháp để chiết xuất các địa chỉ MAC từ địa chỉ IPv6. Sử dụng một địa chỉ EUI-64 có khả năng có thể phát hiện và mô hình của một máy tính từ xa. Một kẻ tấn công có thể sử dụng thông tin đó để tấn công mục tiêu. Việc sử dụng của địa chỉ MAC trong địa chỉ EUI-64 có thể làm cho nó dễ dàng hơn cho một kẻ tấn công để quét một mạng. Địa chỉ MAC là về mặt lý thuyết chiều dài 48 bit, trong đó sản lượng một số lượng lớn các địa chỉ host (248). Không gian địa chỉ có kích thước này rất khó để quét. Tuy nhiên, một số yếu tố làm giảm kích thước này có hiệu lực không gian. 24 bit đầu tiên của một địa chỉ MAC là bộ nhận dạng tổ chức độc đáo (OUI), xác định các nhà sản xuất phần cứng. Hai trong số các bit này được dành riêng (đối với quản lý tại địa phương / toàn cầu địa chỉ, địa chỉ unicast / multicast), mà vẫn còn về mặt lý thuyết để lại 222 khả năng. Tuy nhiên, như ngày này (tháng 12 năm 2010), ít hơn 15.000 OUIs đã được chỉ định, trong số này, hầu hết các thiết bị hiện nay sẽ chỉ sử dụng một vài trăm. Thường thì các nhà sản xuất phân bổ một phạm vi giới hạn cho 24 bit thứ hai các mô hình cụ thể của thiết bị. Đánh giá mã OUI cụ thể và phạm vi bit làm giảm đáng kể số lượng EUI-64 địa chỉ. Quét một mạng lưới dựa trên 24 bit địa chỉ không rõ là tương đương quét một mạng lưới IPv4 / 8, chỉ mất vài giây. Có một số chiến lược để giảm thiểu các rủi ro. Chiến lược giảm nhẹ ưa thích là để ngăn chặn quét hoạt động tại vành đai mạng và hạn chế các kết nối gửi đến chỉ có những người chủ và các giao thức cung cấp các dịch vụ vượt ra ngoài cổng. Các phương pháp khác bao gồm địa chỉ tạo ra bằng cách sử dụng một mật mã (tức là, không thể dự đoán được) thuật toán hoặc địa chỉ giao với DHCPv6.