Ipv6帶來了一些可喜的安全性和其它特性，但是對于IP網(wǎng)絡的專業(yè)人士來說，可能還存在著一些潛在的問題。隨著Ipv4地址逐漸耗盡，下一代Ipv6協(xié)議勢必閃亮登場。許多人為Ipv6所提供的安全而歡欣鼓舞，因為IPV6有一些很不錯的特性，如對本地IPSec的支持。

不過事情總有兩方面。IPv6也為安全專家們帶來了一些挑戰(zhàn)，即在漏洞掃描和滲透測試方面存在著不少困難。由于增加了Ipv6所提供的全新IP空間，因而，如果要掃描IP進而決定哪些主機已聯(lián)機，然后執(zhí)行漏洞掃描，就得花去若干年時間。通過傳統(tǒng)的網(wǎng)絡掃描(逐臺主機和逐個子網(wǎng)地實施掃描)方式來發(fā)現(xiàn)主機的方式將會一去不復返。取得代之的是發(fā)現(xiàn)主機的新方法，使漏洞掃描更加具有針對性。

幸運的是，我們可以根據(jù)現(xiàn)有的硬件和軟件工具而使用一些技術(shù)來實施漏洞掃描和滲透測試。幾乎不用花什么額外的成本，無需掃描我們就可能斷定哪些IP正在網(wǎng)絡上使用。然后將發(fā)現(xiàn)的活動IP交給漏洞掃描器，漏洞掃描器就可以花更多的時間實施其本職工作，而不是用于發(fā)現(xiàn)主機。

在查找本地網(wǎng)絡段上的其它主機時，IPv4的 ARP是常用的方法，但是它將隨著Ipv6的到來而遠去。ARP的功能被IPv6的新協(xié)議NDP(鄰居發(fā)現(xiàn)協(xié)議)所替代。在NDP中有幾種不同的功能，但關(guān)于主機發(fā)現(xiàn)，它可用于發(fā)現(xiàn)本地網(wǎng)絡段上的其它Ipv6主機。

NDP的局限在于它僅能發(fā)現(xiàn)在本地網(wǎng)絡段上的主機，如果你的網(wǎng)絡是那種沒有復雜路由的扁平式結(jié)構(gòu)，那么，NDP是很不錯的一種工具。但是在地理上有很多變化和差異的大型企業(yè)中，NDP并不能通過路由器而工作。為了解決分段網(wǎng)絡所帶來的問題，我們可以通過每個網(wǎng)絡段上的某臺主機來執(zhí)行命令，或者從能夠訪問每個網(wǎng)絡段的路由器來執(zhí)行命令。

從滲透測試的角度來看，一旦通過物理訪問或損害內(nèi)部主機的方式進入了網(wǎng)絡，就可以使用NDP。攻擊者可以從利用NDP來開始發(fā)現(xiàn)并損害其它有漏洞的主機，為進入網(wǎng)絡提供更深入的滲透。

網(wǎng)絡中的流動數(shù)據(jù)通常是網(wǎng)絡中一種被忽略的但極有價值的信息源。它無需記錄內(nèi)容但卻保留了網(wǎng)絡中所有的網(wǎng)絡通信的記錄。多數(shù)企業(yè)級的路由器和第三層的交換機都支持導出網(wǎng)絡流量數(shù)據(jù)。使用網(wǎng)絡流量的記錄，管理員很容易就可以確認任何時段曾在網(wǎng)絡上通信的所有主機。

由于通過網(wǎng)絡流數(shù)據(jù)而獲得了在線主機，漏洞掃描就可以僅針對在最后一段時間里通信的這些主機。

有些商品化漏洞掃描和漏洞管理解決方案，如Tenable的Security Center已經(jīng)具備了掃描已知主機的特性，還能掃描首次被發(fā)現(xiàn)的新主機。類似地，多數(shù)網(wǎng)絡行為分析產(chǎn)品都能使用網(wǎng)絡流量數(shù)據(jù)，并對初次發(fā)現(xiàn)的主機或行為不符合正?；鶞实闹鳈C執(zhí)行漏洞掃描。

IPv6的IP地址將會使DNS變得日益重要，因為IP地址將變得幾乎無法記住。在微軟的活動目錄域中，DNS記錄是動態(tài)更新的，所以可以將主機名提供給掃描工具而不是將IP地址清單交給它。使用Fierce等工具來查詢DNS服務對于網(wǎng)絡外部的滲透測試人員至關(guān)重要，因為他們無法訪問NDP和網(wǎng)絡的數(shù)據(jù)流。

對于使用DHCPv6來將本地IP地址分配給其內(nèi)部主機的網(wǎng)絡來說，動態(tài)主機配置協(xié)議(DHCP)仍可作為一種提供主機信息的信息源。管理員可以查詢DHCP服務器的日志，從而看出哪些地址已被分配，并且可以限制，要求僅掃描這些已分配的IP地址。

有些系統(tǒng)和網(wǎng)絡管理員還在拖延，他們想盡可能晚地部署Ipv6，但卻忽視了一個事實，即Ipv6已經(jīng)在他們的網(wǎng)絡上了。一個全功能的Ipv6網(wǎng)絡協(xié)議棧已經(jīng)包含在所有的現(xiàn)代操作系統(tǒng)的內(nèi)部了，如Windows、 Mac OS X、 Linux等，這意味著IPv6雖然還沒有被用于通過網(wǎng)絡和互聯(lián)網(wǎng)的網(wǎng)關(guān)進行傳輸，但它仍可被用于在本地網(wǎng)絡段上的攻擊。

幾年來,滲透測試人員已經(jīng)認識到了這個問題，Metasploit Framework等工具從2008年開始就已經(jīng)支持IPv6。一旦一臺主機受到了損害，IPv6就可被攻擊者用于網(wǎng)絡連接，從而利用本地網(wǎng)絡段上的其它系統(tǒng)的漏洞。根本原因在于：基于主機的防火墻可能并不支持IPv6，或者系統(tǒng)管理員并沒有認識到很多服務通常會監(jiān)聽IPv4 和 IPv6，而且他們也沒有加固IPv4。

入侵檢測和防御系統(tǒng)(IDS/IPS)也可能使安全團隊對IPv6所承載的攻擊熟視無睹。商業(yè)類和開源的IDS/IPS解決方案正在增加對IPv6的支持，但這種支持并不平衡。例如，Snort是一個開源的IDS，許多商業(yè)類的產(chǎn)品都以它為基礎(chǔ)，而且它也包括報對IPv6的支持。但默認情況下，并沒有啟用這種支持，而且許多工具本身并不支持IPv6。

IPv6，不管你是否認為自己正在運行，現(xiàn)在就是為它可能造成的安全影響而做準備的時候。漏洞管理工作需要適應，對主機的固化也要求確保加固 IPv4 和IPv6。

【編輯推薦】

1. 淺析IPv6存在的攻擊漏洞
2. 當IPV6網(wǎng)絡協(xié)議遇到網(wǎng)絡監(jiān)控
3. IPv6或誘發(fā)垃圾郵件和病毒爆發(fā)
4. 聯(lián)想網(wǎng)御全力保障IPv6網(wǎng)絡安全