IPv6带来了一些可喜的安全性和其它特性,但是对于IP网络的专业人士来说,可能还存在着一些潜在的问题。
随着IPv4地址逐渐耗尽,下一代IPv6协议势必闪亮登场。许多人为IPv6所提供的安全而欢欣鼓舞,因为IPV6有一些很不错的特性,如对本地IPSec的支持。
不过事情总有两方面。IPv6也为安全专家们带来了一些挑战,即在漏洞扫描和渗透测试方面存在着不少困难。由于增加了IPv6所提供的全新IP空间,因而,如果要扫描IP进而决定哪些主机已联机,然后执行漏洞扫描,就得花去若干年时间。通过传统的网络扫描(逐台主机和逐个子网地实施扫描)方式来发现主机的方式将会一去不复返。取得代之的是发现主机的新方法,使漏洞扫描更加具有针对性。
幸运的是,我们可以根据现有的硬件和软件工具而使用一些技术来实施漏洞扫描和渗透测试。几乎不用花什么额外的成本,无需扫描我们就可能断定哪些IP正在网络上使用。然后将发现的活动IP交给漏洞扫描器,漏洞扫描器就可以花更多的时间实施其本职工作,而不是用于发现主机。
在查找本地网络段上的其它主机时,IPv4的 ARP是常用的方法,但是它将随着IPv6的到来而远去。ARP的功能被IPv6的新协议NDP(邻居发现协议)所替代。在NDP中有几种不同的功能,但关于主机发现,它可用于发现本地网络段上的其它IPv6主机。
NDP的局限在于它仅能发现在本地网络段上的主机,如果你的网络是那种没有复杂路由的扁平式结构,那么,NDP是很不错的一种工具。但是在地理上有很多变化和差异的大型企业中,NDP并不能通过路由器而工作。为了解决分段网络所带来的问题,我们可以通过每个网络段上的某台主机来执行命令,或者从能够访问每个网络段的路由器来执行命令。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。