Substituição de IPv6 para varrer faixa de IP

3

No IPv4, eu geralmente uso o nmap para escanear toda a minha faixa de IPs para identificar dispositivos recém-conectados e atualizar minha documentação, rastrear e desligar coisas que não pertencem à rede, etc. Eu ainda tenho ferramentas que fazem isso automaticamente, por exemplo, meu software antivírus varre um intervalo IP definido e, em seguida, instala o software antivírus em qualquer coisa que possa ver nesse intervalo.

Isso será inviável no IPv6, já que eu vou varrendo alguns milhares de endereços IP para muitos qutillions.

Qual será a alternativa? Os roteadores / switches poderão relatar quais endereços IPv6 eles têm visto ultimamente para que eu possa fazer a varredura na porta de tudo na rede? Essa é a única abordagem que posso ver, mas espero que o SF tenha mais e melhores ideias.

    
por Richard Gadsden 12.04.2011 / 15:30

3 respostas

4

Sim, a varredura de força bruta de redes IPv6 é fútil, e isso é uma coisa muito boa para a segurança da rede. Como administrador de sistemas, você ainda tem várias fontes de informações disponíveis para ajudar a manter as guias em suas redes:

  • Os roteadores em suas redes, presumivelmente executando o radvd, podem registrar os clientes que solicitaram o autoconfig sem estado do IPv6. Você pode desativar os anúncios de roteadores periódicos gratuitos do radvd se quiser forçar todos os clientes autoconfig a enviar solicitações de roteador.

  • Seus servidores DHCPv6 (se você tiver algum) podem registrar todos os clientes que solicitaram / receberam configurações com estado IPv6.

  • Você pode farejar o tráfego ICMPv6, que inclui multicasts de solicitação de vizinho (o equivalente ao IPv4 ARP). Qualquer dispositivo em sua rede tentando se "disfarçar" com uma configuração estática ainda terá que enviar tais pacotes para se comunicar com outros dispositivos no link local.

  • É claro que seus próprios servidores terão endereços IP estáticos devidamente documentados, para que você sempre saiba como alcançá-los. Não foi uma boa idéia fornecer aos servidores as concessões DHCP estáticas no IPv4, e ainda é uma má idéia fazê-lo no IPv6.

Ainda é cedo para IPv6, mas espero que nos próximos anos, vamos começar a ver uma melhor integração entre DNS e radvd / DHCPv6 e, portanto, melhores ferramentas de inventário / relatórios de rede, por necessidade.

    
por 12.04.2011 / 18:10
1

Não sei exatamente quais são suas necessidades (tamanho da rede, etc.), mas suspeito que problemas como esses estejam evoluindo, pois o IPV6 ganha mais tração.

Nesse meio tempo, você pode abordar o problema em camadas ...

Os servidores DHCP controlariam o endereço solicitado.

Qualquer dispositivo definido para monitoramento promíscuo verá algum tráfego de broadcast para solicitações RARP / ARP e poderá procurar dispositivos novos / incomuns.

Uma máquina em uma porta de monitoramento de um switch pode procurar tráfego de novos dispositivos.

Um proxy na fronteira pode rastrear facilmente o que é navegação na Web ou outros serviços.

Uma máquina honeypot pode monitorar o tráfego da rede usando algo parecido com o SNORT, caso você esteja preocupado com algo ou alguém pulando na rede para investigar suas máquinas.

Seus comutadores podem monitorar o que está conectado a cada porta e informar quais dispositivos estão enviando tráfego se você tiver comutadores compatíveis.

Você pode até mesmo limitar no switch quais IPs podem ser roteados por meio deles para que você crie vlans e limite o tráfego a ser procurado em uma determinada sub-rede. Pode ser mais trabalho do que vale a pena, dependendo da sua situação, mas isso significaria que mesmo em uma rede IPV6 você não precisaria varrer tantos endereços quanto estrelas no céu para encontrar tráfego incomum e qualquer coisa terá que se encaixar nesse segmento de endereços IP para fazer qualquer coisa ou ser roteado adequadamente.

    
por 12.04.2011 / 16:15
0

Sugiro que você dê uma olhada no DHCPv6 - meu entendimento é que, embora os endereços IP possam ser configurados automaticamente no IPv6, itens como servidores DNS ainda precisam ser configurados com o DHCP.

No seu caso, usar um servidor DHCP será capaz de informar quais concessões estão atualmente ativas, o que deve lhe dar uma idéia razoável de quais clientes estão disponíveis na rede.

    
por 12.04.2011 / 16:03