在 IPv4 下,我经常使用 nmap 扫描我的整个 IP 范围以识别新连接的设备并更新我的文档,追踪和关闭不属于网络的东西等。我甚至有可以自动执行此操作的工具,例如我的 AV 软件会扫描定义的 IP 范围,然后在该范围内看到的任何东西上安装 AV 软件。
这在 IPv6 下是不可行的,因为我将从扫描几千个 IP 地址变成扫描数千万亿个 IP 地址。
替代方案是什么?路由器/交换机是否能够报告它们最近看到的 IPv6 地址,以便我可以对网络上的所有内容进行端口扫描?这是我能看到的唯一方法,但我希望 SF 会有更多更好的想法。
答案1
是的,对 IPv6 网络进行强力扫描是徒劳的,这对网络安全来说是一件好事。作为系统管理员,您仍然有许多信息来源可用来帮助监视您的网络:
您网络上的路由器(可能运行 radvd)可以记录已请求 IPv6 无状态自动配置的客户端。如果您想强制所有自动配置客户端发送路由器请求,您可以关闭 radvd 的定期免费路由器广告。
您的 DHCPv6 服务器(如果有)可以记录所有已请求/接收 IPv6 状态配置的客户端。
您可以嗅探 ICMPv6 流量,其中包括邻居请求多播(相当于 IPv4 ARP)。网络上任何试图使用静态配置“隐藏”自身的设备仍必须发送此类数据包才能与本地链路上的其他设备进行通信。
当然,您自己的服务器将拥有正确记录的静态 IP 地址,因此您始终知道如何访问它们。在 IPv4 中为服务器提供静态 DHCP 租约是个坏主意,在 IPv6 中这样做仍然是个坏主意。
IPv6 还处于早期阶段,但我预计在未来几年,我们将开始看到 DNS 和 radvd/DHCPv6 之间更好的集成,从而必然出现更好的网络清单/报告工具。
答案2
我不确定您的需求到底是什么(网络规模等),但我认为随着 IPV6 的普及,这些问题会逐渐显现。
与此同时,你可以分层地解决问题......
DHCP 服务器会跟踪所请求的地址。
几乎任何设置为混合监控的设备都会看到一些 RARP/ARP 请求的广播流量,并可以查找不寻常/新的设备。
交换机监控端口上的机器可以查找来自新设备的流量。
边境的代理可以轻松追踪网页浏览或使用其他服务的情况。
如果您担心某物或某人进入网络探测您的机器,蜜罐机器可以使用 SNORT 之类的程序来监控网络流量。
如果您的交换机支持此功能,它可以监控连接到每个端口的内容并报告哪些设备正在发送流量。
您甚至可以在交换机上限制允许通过其路由的 IP,以便创建 VLAN 并限制在给定子网上要查找的流量。根据您的情况,可能需要做更多的工作,但这意味着即使在 IPV6 网络中,您也不必扫描像天空中的星星一样多的地址来查找异常流量,并且跳入的任何人或任何事物都必须符合该 IP 地址段才能执行任何操作或正确路由。
答案3
我建议您看看 DHCPv6——我的理解是,虽然 IP 地址可以在 IPv6 上自动配置,但 DNS 服务器之类的东西仍然需要使用 DHCP 进行配置。
对于您来说,使用 DHCP 服务器将能够报告当前处于活动状态的租约,这应该可以让您合理地了解网络上有哪些客户端可用。