重新审视Ipv6的漏洞扫描和渗透测试

Ipv6带来了一些可喜的安全性和其它特性，但是对于IP网络的专业人士来说，可能还存在着一些潜在的问题。随着Ipv4地址逐渐耗尽，下一代Ipv6协议势必闪亮登场。许多人为Ipv6所提供的安全而欢欣鼓舞，因为IPV6有一些很不错的特性，如对本地IPSec的支持。

不过事情总有两方面。IPv6也为安全专家们带来了一些挑战，即在漏洞扫描和渗透测试方面存在着不少困难。由于增加了Ipv6所提供的全新IP空间，因而，如果要扫描IP进而决定哪些主机已联机，然后执行漏洞扫描，就得花去若干年时间。通过传统的网络扫描(逐台主机和逐个子网地实施扫描)方式来发现主机的方式将会一去不复返。取得代之的是发现主机的新方法，使漏洞扫描更加具有针对性。

幸运的是，我们可以根据现有的硬件和软件工具而使用一些技术来实施漏洞扫描和渗透测试。几乎不用花什么额外的成本，无需扫描我们就可能断定哪些IP正在网络上使用。然后将发现的活动IP交给漏洞扫描器，漏洞扫描器就可以花更多的时间实施其本职工作，而不是用于发现主机。

在查找本地网络段上的其它主机时，IPv4的 ARP是常用的方法，但是它将随着Ipv6的到来而远去。ARP的功能被IPv6的新协议NDP(邻居发现协议)所替代。在NDP中有几种不同的功能，但关于主机发现，它可用于发现本地网络段上的其它Ipv6主机。

NDP的局限在于它仅能发现在本地网络段上的主机，如果你的网络是那种没有复杂路由的扁平式结构，那么，NDP是很不错的一种工具。但是在地理上有很多变化和差异的大型企业中，NDP并不能通过路由器而工作。为了解决分段网络所带来的问题，我们可以通过每个网络段上的某台主机来执行命令，或者从能够访问每个网络段的路由器来执行命令。

从渗透测试的角度来看，一旦通过物理访问或损害内部主机的方式进入了网络，就可以使用NDP。攻击者可以从利用NDP来开始发现并损害其它有漏洞的主机，为进入网络提供更深入的渗透。

网络中的流动数据通常是网络中一种被忽略的但极有价值的信息源。它无需记录内容但却保留了网络中所有的网络通信的记录。多数企业级的路由器和第三层的交换机都支持导出网络流量数据。使用网络流量的记录，管理员很容易就可以确认任何时段曾在网络上通信的所有主机。

由于通过网络流数据而获得了在线主机，漏洞扫描就可以仅针对在最后一段时间里通信的这些主机。

有些商品化漏洞扫描和漏洞管理解决方案，如Tenable的Security Center已经具备了扫描已知主机的特性，还能扫描首次被发现的新主机。类似地，多数网络行为分析产品都能使用网络流量数据，并对初次发现的主机或行为不符合正常基准的主机执行漏洞扫描。

IPv6的IP地址将会使DNS变得日益重要，因为IP地址将变得几乎无法记住。在微软的活动目录域中，DNS记录是动态更新的，所以可以将主机名提供给扫描工具而不是将IP地址清单交给它。使用Fierce等工具来查询DNS服务对于网络外部的渗透测试人员至关重要，因为他们无法访问NDP和网络的数据流。

对于使用DHCPv6来将本地IP地址分配给其内部主机的网络来说，动态主机配置协议(DHCP)仍可作为一种提供主机信息的信息源。管理员可以查询DHCP服务器的日志，从而看出哪些地址已被分配，并且可以限制，要求仅扫描这些已分配的IP地址。

有些系统和网络管理员还在拖延，他们想尽可能晚地部署Ipv6，但却忽视了一个事实，即Ipv6已经在他们的网络上了。一个全功能的Ipv6网络协议栈已经包含在所有的现代操作系统的内部了，如Windows、 Mac OS X、 Linux等，这意味着IPv6虽然还没有被用于通过网络和互联网的网关进行传输，但它仍可被用于在本地网络段上的攻击。

几年来,渗透测试人员已经认识到了这个问题，Metasploit Framework等工具从2008年开始就已经支持IPv6。一旦一台主机受到了损害，IPv6就可被攻击者用于网络连接，从而利用本地网络段上的其它系统的漏洞。根本原因在于：基于主机的防火墙可能并不支持IPv6，或者系统管理员并没有认识到很多服务通常会监听IPv4 和 IPv6，而且他们也没有加固IPv4。

入侵检测和防御系统(IDS/IPS)也可能使安全团队对IPv6所承载的攻击熟视无睹。商业类和开源的IDS/IPS解决方案正在增加对IPv6的支持，但这种支持并不平衡。例如，Snort是一个开源的IDS，许多商业类的产品都以它为基础，而且它也包括报对IPv6的支持。但默认情况下，并没有启用这种支持，而且许多工具本身并不支持IPv6。

IPv6，不管你是否认为自己正在运行，现在就是为它可能造成的安全影响而做准备的时候。漏洞管理工作需要适应，对主机的固化也要求确保加固 IPv4 和IPv6。

【编辑推荐】