网站主页   操作系统    网络工程    服务器    网页制作    数据库    程序开发    网络安全    办公软件   
讲座日期: 本周六下午1点30分 抢座
讲座地点: 北大青鸟马甸校区
主讲老师: 王老师 金牌讲师
讲座主题: 网络安全
讲座内容: 检测、防御、黑客信息,如何过滤不安全的网站,如何防御黑客的进攻。
订座电话: 010-82011432/33
  您当前位置:主页 > 网络学院 > 网络工程 > IPV6教程 >

重新审视Ipv6的漏洞扫描和渗透测试




带来了一些可喜的安全性和其它特性,但是对于IP的专业人士来说,可能还存在着一些潜在的问题。

随着地址逐渐耗尽,下一代协议势必闪亮登场。许多人为所提供的安全而欢欣鼓舞,因为有一些很不错的特性,如对本地IPSec的支持。

不过事情总有两方面。也为安全专家们带来了一些挑战,即在漏洞扫描和渗透测试方面存在着不少困难。由于增加了所提供的全新IP空间,因而,如果要扫描IP进而决定哪些主机已联机,然后执行漏洞扫描,就得花去若干年时间。通过传统的扫描(逐台主机和逐个子网地实施扫描)方式来发现主机的方式将会一去不复返。取得代之的是发现主机的新方法,使漏洞扫描更加具有针对性。

幸运的是,我们可以根据现有的硬件和软件工具而使用一些技术来实施漏洞扫描和渗透测试。几乎不用花什么额外的成本,无需扫描我们就可能断定哪些IP正在上使用。然后将发现的活动IP交给漏洞扫描器,漏洞扫描器就可以花更多的时间实施其本职工作,而不是用于发现主机。

在查找本地段上的其它主机时,的 ARP是常用的方法,但是它将随着的到来而远去。ARP的功能被的新协议NDP(邻居发现协议)所替代。在NDP中有几种不同的功能,但关于主机发现,它可用于发现本地段上的其它主机。

NDP的局限在于它仅能发现在本地段上的主机,如果你的是那种没有复杂路由的扁平式结构,那么,NDP是很不错的一种工具。但是在地理上有很多变化和差异的大型企业中,NDP并不能通过路由器而工作。为了解决分段所带来的问题,我们可以通过每个段上的某台主机来执行命令,或者从能够访问每个段的路由器来执行命令。

从渗透测试的角度来看,一旦通过物理访问或损害内部主机的方式进入了,就可以使用NDP。攻击者可以从利用NDP来开始发现并损害其它有漏洞的主机,为进入提供更深入的渗透。

中的流动数据通常是中一种被忽略的但极有价值的信息源。它无需记录内容但却保留了中所有的通信的记录。多数企业级的路由器和第三层的交换机都支持导出流量数据。使用流量的记录,管理员很容易就可以确认任何时段曾在上通信的所有主机。

由于通过流数据而获得了在线主机,漏洞扫描就可以仅针对在最后一段时间里通信的这些主机。

有些商品化漏洞扫描和漏洞管理解决方案,如Tenable的Security Center已经具备了扫描已知主机的特性,还能扫描首次被发现的新主机。类似地,多数行为分析产品都能使用流量数据,并对初次发现的主机或行为不符合正常基准的主机执行漏洞扫描。

的IP地址将会使DNS变得日益重要,因为IP地址将变得几乎无法记住。在微软的活动目录域中,DNS记录是动态更新的,所以可以将主机名提供给扫描工具而不是将IP地址清单交给它。

使用Fierce等工具来查询DNS服务对于外部的渗透测试人员至关重要,因为他们无法访问NDP和的数据流。

对于使用DHCPv6来将本地IP地址分配给其内部主机的来说,动态主机配置协议(DHCP)仍可作为一种提供主机信息的信息源。管理员可以查询DHCP服务器的日志,从而看出哪些地址已被分配,并且可以限制,要求仅扫描这些已分配的IP地址。

有些系统和管理员还在拖延,他们想尽可能晚地部署,但却忽视了一个事实,即已经在他们的上了。一个全功能的协议栈已经包含在所有的现代操作系统的内部了,如Windows、 Mac OS X、 Linux等,这意味着虽然还没有被用于通过和互联网的网关进行传输,但它仍可被用于在本地段上的攻击。

几年来,渗透测试人员已经认识到了这个问题,Metasploit Framework等工具从2008年开始就已经支持。一旦一台主机受到了损害,就可被攻击者用于连接,从而利用本地段上的其它系统的漏洞。根本原因在于:基于主机的防火墙可能并不支持,或者系统管理员并没有认识到很多服务通常会监听 和 ,而且他们也没有加固。

入侵检测和防御系统(IDS/IPS)也可能使安全团队对所承载的攻击熟视无睹。商业类和开源的IDS/IPS解决方案正在增加对的支持,但这种支持并不平衡。例如,Snort是一个开源的IDS,许多商业类的产品都以它为基础,而且它也包括报对的支持。但默认情况下,并没有启用这种支持,而且许多工具本身并不支持。

不管你是否认为自己正在运行,现在就是为它可能造成的安全影响而做准备的时候。漏洞管理工作需要适应,对主机的固化也要求确保加固 和。


上一篇:消息称IPv4地址将于2011年6月分配完毕  
下一篇:SonicWALL固件和NSA防火墙平台通过IPv6认证
相关信息:

·网络工程师 IPv6技术助力国内下一代互联网发展 ·北大青鸟华腾教育 办公环境布置IPV6注意事项
·北大青鸟华腾 基于IPv6的嵌入式互联网视频应用开发 ·TCP协议连接管理流程
·TCP/IP协议所包含协议与相应层次简单总结 ·TCP/IP协议簇中的关键协议汇总
·TCP传输控制协议概念浅述 ·浅述IPv6网络协议的两点内容
·话说TCP/IP和WAP协议的种种不同 ·简单介绍TCP传输控制协议

Copyright © 2002-2015 版权所有
学校地址:北京市海淀区西三旗建材城中路29号北大青鸟
招生热线:010-82011433/32 京公网安备110102004704  京ICP备05043413号 京公网安备110102004704