Ipv6帶來(lái)了一些可喜的安全性和其它特性，但是對(duì)于IP網(wǎng)絡(luò)的專業(yè)人士來(lái)說(shuō)，可能還存在著一些潛在的問(wèn)題。隨著Ipv4地址逐漸耗盡，下一代Ipv6協(xié)議勢(shì)必閃亮登場(chǎng)。許多人為Ipv6所提供的安全而歡欣鼓舞，因?yàn)镮PV6有一些很不錯(cuò)的特性，如對(duì)本地IPSec的支持。

不過(guò)事情總有兩方面。IPv6也為安全專家們帶來(lái)了一些挑戰(zhàn)，即在漏洞掃描和滲透測(cè)試方面存在著不少困難。由于增加了Ipv6所提供的全新IP空間，因而，如果要掃描IP進(jìn)而決定哪些主機(jī)已聯(lián)機(jī)，然后執(zhí)行漏洞掃描，就得花去若干年時(shí)間。通過(guò)傳統(tǒng)的網(wǎng)絡(luò)掃描(逐臺(tái)主機(jī)和逐個(gè)子網(wǎng)地實(shí)施掃描)方式來(lái)發(fā)現(xiàn)主機(jī)的方式將會(huì)一去不復(fù)返。取得代之的是發(fā)現(xiàn)主機(jī)的新方法，使漏洞掃描更加具有針對(duì)性。

幸運(yùn)的是，我們可以根據(jù)現(xiàn)有的硬件和軟件工具而使用一些技術(shù)來(lái)實(shí)施漏洞掃描和滲透測(cè)試。幾乎不用花什么額外的成本，無(wú)需掃描我們就可能斷定哪些IP正在網(wǎng)絡(luò)上使用。然后將發(fā)現(xiàn)的活動(dòng)IP交給漏洞掃描器，漏洞掃描器就可以花更多的時(shí)間實(shí)施其本職工作，而不是用于發(fā)現(xiàn)主機(jī)。

在查找本地網(wǎng)絡(luò)段上的其它主機(jī)時(shí)，IPv4的 ARP是常用的方法，但是它將隨著Ipv6的到來(lái)而遠(yuǎn)去。ARP的功能被IPv6的新協(xié)議NDP(鄰居發(fā)現(xiàn)協(xié)議)所替代。在NDP中有幾種不同的功能，但關(guān)于主機(jī)發(fā)現(xiàn)，它可用于發(fā)現(xiàn)本地網(wǎng)絡(luò)段上的其它Ipv6主機(jī)。

NDP的局限在于它僅能發(fā)現(xiàn)在本地網(wǎng)絡(luò)段上的主機(jī)，如果你的網(wǎng)絡(luò)是那種沒(méi)有復(fù)雜路由的扁平式結(jié)構(gòu)，那么，NDP是很不錯(cuò)的一種工具。但是在地理上有很多變化和差異的大型企業(yè)中，NDP并不能通過(guò)路由器而工作。為了解決分段網(wǎng)絡(luò)所帶來(lái)的問(wèn)題，我們可以通過(guò)每個(gè)網(wǎng)絡(luò)段上的某臺(tái)主機(jī)來(lái)執(zhí)行命令，或者從能夠訪問(wèn)每個(gè)網(wǎng)絡(luò)段的路由器來(lái)執(zhí)行命令。

從滲透測(cè)試的角度來(lái)看，一旦通過(guò)物理訪問(wèn)或損害內(nèi)部主機(jī)的方式進(jìn)入了網(wǎng)絡(luò)，就可以使用NDP。攻擊者可以從利用NDP來(lái)開(kāi)始發(fā)現(xiàn)并損害其它有漏洞的主機(jī)，為進(jìn)入網(wǎng)絡(luò)提供更深入的滲透。

網(wǎng)絡(luò)中的流動(dòng)數(shù)據(jù)通常是網(wǎng)絡(luò)中一種被忽略的但極有價(jià)值的信息源。它無(wú)需記錄內(nèi)容但卻保留了網(wǎng)絡(luò)中所有的網(wǎng)絡(luò)通信的記錄。多數(shù)企業(yè)級(jí)的路由器和第三層的交換機(jī)都支持導(dǎo)出網(wǎng)絡(luò)流量數(shù)據(jù)。使用網(wǎng)絡(luò)流量的記錄，管理員很容易就可以確認(rèn)任何時(shí)段曾在網(wǎng)絡(luò)上通信的所有主機(jī)。

由于通過(guò)網(wǎng)絡(luò)流數(shù)據(jù)而獲得了在線主機(jī)，漏洞掃描就可以僅針對(duì)在最后一段時(shí)間里通信的這些主機(jī)。

有些商品化漏洞掃描和漏洞管理解決方案，如Tenable的Security Center已經(jīng)具備了掃描已知主機(jī)的特性，還能掃描首次被發(fā)現(xiàn)的新主機(jī)。類似地，多數(shù)網(wǎng)絡(luò)行為分析產(chǎn)品都能使用網(wǎng)絡(luò)流量數(shù)據(jù)，并對(duì)初次發(fā)現(xiàn)的主機(jī)或行為不符合正常基準(zhǔn)的主機(jī)執(zhí)行漏洞掃描。

IPv6的IP地址將會(huì)使DNS變得日益重要，因?yàn)镮P地址將變得幾乎無(wú)法記住。在微軟的活動(dòng)目錄域中，DNS記錄是動(dòng)態(tài)更新的，所以可以將主機(jī)名提供給掃描工具而不是將IP地址清單交給它。使用Fierce等工具來(lái)查詢DNS服務(wù)對(duì)于網(wǎng)絡(luò)外部的滲透測(cè)試人員至關(guān)重要，因?yàn)樗麄儫o(wú)法訪問(wèn)NDP和網(wǎng)絡(luò)的數(shù)據(jù)流。

對(duì)于使用DHCPv6來(lái)將本地IP地址分配給其內(nèi)部主機(jī)的網(wǎng)絡(luò)來(lái)說(shuō)，動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)仍可作為一種提供主機(jī)信息的信息源。管理員可以查詢DHCP服務(wù)器的日志，從而看出哪些地址已被分配，并且可以限制，要求僅掃描這些已分配的IP地址。

有些系統(tǒng)和網(wǎng)絡(luò)管理員還在拖延，他們想盡可能晚地部署Ipv6，但卻忽視了一個(gè)事實(shí)，即Ipv6已經(jīng)在他們的網(wǎng)絡(luò)上了。一個(gè)全功能的Ipv6網(wǎng)絡(luò)協(xié)議棧已經(jīng)包含在所有的現(xiàn)代操作系統(tǒng)的內(nèi)部了，如Windows、 Mac OS X、 Linux等，這意味著IPv6雖然還沒(méi)有被用于通過(guò)網(wǎng)絡(luò)和互聯(lián)網(wǎng)的網(wǎng)關(guān)進(jìn)行傳輸，但它仍可被用于在本地網(wǎng)絡(luò)段上的攻擊。

幾年來(lái),滲透測(cè)試人員已經(jīng)認(rèn)識(shí)到了這個(gè)問(wèn)題，Metasploit Framework等工具從2008年開(kāi)始就已經(jīng)支持IPv6。一旦一臺(tái)主機(jī)受到了損害，IPv6就可被攻擊者用于網(wǎng)絡(luò)連接，從而利用本地網(wǎng)絡(luò)段上的其它系統(tǒng)的漏洞。根本原因在于：基于主機(jī)的防火墻可能并不支持IPv6，或者系統(tǒng)管理員并沒(méi)有認(rèn)識(shí)到很多服務(wù)通常會(huì)監(jiān)聽(tīng)I(yíng)Pv4 和 IPv6，而且他們也沒(méi)有加固IPv4。

入侵檢測(cè)和防御系統(tǒng)(IDS/IPS)也可能使安全團(tuán)隊(duì)對(duì)IPv6所承載的攻擊熟視無(wú)睹。商業(yè)類和開(kāi)源的IDS/IPS解決方案正在增加對(duì)IPv6的支持，但這種支持并不平衡。例如，Snort是一個(gè)開(kāi)源的IDS，許多商業(yè)類的產(chǎn)品都以它為基礎(chǔ)，而且它也包括報(bào)對(duì)IPv6的支持。但默認(rèn)情況下，并沒(méi)有啟用這種支持，而且許多工具本身并不支持IPv6。

IPv6，不管你是否認(rèn)為自己正在運(yùn)行，現(xiàn)在就是為它可能造成的安全影響而做準(zhǔn)備的時(shí)候。漏洞管理工作需要適應(yīng)，對(duì)主機(jī)的固化也要求確保加固 IPv4 和IPv6。

【編輯推薦】

1. 淺析IPv6存在的攻擊漏洞
2. 當(dāng)IPV6網(wǎng)絡(luò)協(xié)議遇到網(wǎng)絡(luò)監(jiān)控
3. IPv6或誘發(fā)垃圾郵件和病毒爆發(fā)
4. 聯(lián)想網(wǎng)御全力保障IPv6網(wǎng)絡(luò)安全