Ipv6帶來了一些可喜的安全性和其它特性，但是對于IP網絡的專業人士來說，可能還存在著一些潛在的問題。隨著Ipv4地址逐漸耗盡，下一代Ipv6協議勢必閃亮登場。許多人為Ipv6所提供的安全而歡欣鼓舞，因為IPV6有一些很不錯的特性，如對本地IPSec的支持。

不過事情總有兩方面。IPv6也為安全專家們帶來了一些挑戰，即在漏洞掃描和滲透測試方面存在著不少困難。由于增加了Ipv6所提供的全新IP空間，因而，如果要掃描IP進而決定哪些主機已聯機，然后執行漏洞掃描，就得花去若干年時間。通過傳統的網絡掃描(逐臺主機和逐個子網地實施掃描)方式來發現主機的方式將會一去不復返。取得代之的是發現主機的新方法，使漏洞掃描更加具有針對性。

幸運的是，我們可以根據現有的硬件和軟件工具而使用一些技術來實施漏洞掃描和滲透測試。幾乎不用花什么額外的成本，無需掃描我們就可能斷定哪些IP正在網絡上使用。然后將發現的活動IP交給漏洞掃描器，漏洞掃描器就可以花更多的時間實施其本職工作，而不是用于發現主機。

在查找本地網絡段上的其它主機時，IPv4的 ARP是常用的方法，但是它將隨著Ipv6的到來而遠去。ARP的功能被IPv6的新協議NDP(鄰居發現協議)所替代。在NDP中有幾種不同的功能，但關于主機發現，它可用于發現本地網絡段上的其它Ipv6主機。

NDP的局限在于它僅能發現在本地網絡段上的主機，如果你的網絡是那種沒有復雜路由的扁平式結構，那么，NDP是很不錯的一種工具。但是在地理上有很多變化和差異的大型企業中，NDP并不能通過路由器而工作。為了解決分段網絡所帶來的問題，我們可以通過每個網絡段上的某臺主機來執行命令，或者從能夠訪問每個網絡段的路由器來執行命令。

從滲透測試的角度來看，一旦通過物理訪問或損害內部主機的方式進入了網絡，就可以使用NDP。攻擊者可以從利用NDP來開始發現并損害其它有漏洞的主機，為進入網絡提供更深入的滲透。

網絡中的流動數據通常是網絡中一種被忽略的但極有價值的信息源。它無需記錄內容但卻保留了網絡中所有的網絡通信的記錄。多數企業級的路由器和第三層的交換機都支持導出網絡流量數據。使用網絡流量的記錄，管理員很容易就可以確認任何時段曾在網絡上通信的所有主機。

由于通過網絡流數據而獲得了在線主機，漏洞掃描就可以僅針對在最后一段時間里通信的這些主機。

有些商品化漏洞掃描和漏洞管理解決方案，如Tenable的Security Center已經具備了掃描已知主機的特性，還能掃描首次被發現的新主機。類似地，多數網絡行為分析產品都能使用網絡流量數據，并對初次發現的主機或行為不符合正?；鶞实闹鳈C執行漏洞掃描。

IPv6的IP地址將會使DNS變得日益重要，因為IP地址將變得幾乎無法記住。在微軟的活動目錄域中，DNS記錄是動態更新的，所以可以將主機名提供給掃描工具而不是將IP地址清單交給它。使用Fierce等工具來查詢DNS服務對于網絡外部的滲透測試人員至關重要，因為他們無法訪問NDP和網絡的數據流。

對于使用DHCPv6來將本地IP地址分配給其內部主機的網絡來說，動態主機配置協議(DHCP)仍可作為一種提供主機信息的信息源。管理員可以查詢DHCP服務器的日志，從而看出哪些地址已被分配，并且可以限制，要求僅掃描這些已分配的IP地址。

有些系統和網絡管理員還在拖延，他們想盡可能晚地部署Ipv6，但卻忽視了一個事實，即Ipv6已經在他們的網絡上了。一個全功能的Ipv6網絡協議棧已經包含在所有的現代操作系統的內部了，如Windows、 Mac OS X、 Linux等，這意味著IPv6雖然還沒有被用于通過網絡和互聯網的網關進行傳輸，但它仍可被用于在本地網絡段上的攻擊。

幾年來,滲透測試人員已經認識到了這個問題，Metasploit Framework等工具從2008年開始就已經支持IPv6。一旦一臺主機受到了損害，IPv6就可被攻擊者用于網絡連接，從而利用本地網絡段上的其它系統的漏洞。根本原因在于：基于主機的防火墻可能并不支持IPv6，或者系統管理員并沒有認識到很多服務通常會監聽IPv4 和 IPv6，而且他們也沒有加固IPv4。

入侵檢測和防御系統(IDS/IPS)也可能使安全團隊對IPv6所承載的攻擊熟視無睹。商業類和開源的IDS/IPS解決方案正在增加對IPv6的支持，但這種支持并不平衡。例如，Snort是一個開源的IDS，許多商業類的產品都以它為基礎，而且它也包括報對IPv6的支持。但默認情況下，并沒有啟用這種支持，而且許多工具本身并不支持IPv6。

IPv6，不管你是否認為自己正在運行，現在就是為它可能造成的安全影響而做準備的時候。漏洞管理工作需要適應，對主機的固化也要求確保加固 IPv4 和IPv6。

【編輯推薦】

1. 淺析IPv6存在的攻擊漏洞
2. 當IPV6網絡協議遇到網絡監控
3. IPv6或誘發垃圾郵件和病毒爆發
4. 聯想網御全力保障IPv6網絡安全