Attualmente non ci sono in giro strumenti comodi capaci di controllare un sistema sulla rete per problemi di sicurezza inerenti a IPv6. Né Nessus né nessun altro security scanner commerciale, per quanto ne so, è in grado di effettuare la scansione di indirizzi IPv6.
ATTENZIONE: si abbia cura di effettuare la scansione solo sui propri sistemi o solo dopo aver ricevuto un ordine scritto, diversamente si potrebbe incorrere in problemi legali. SI CONTROLLINO DUE VOLTE gli indirizzi IPv6 di destinazione prima di avviare una scansione.
Con il netcat abilitato IPv6 (si veda IPv6+Linux-status-apps/security-auditing per maggiori dettagli) si può eseguire un portscan tramite un apposito script che scorre un intervallo di porte, cattura banner e così via. Esempio di utilizzo:
# nc6 ::1 daytime 13 JUL 2002 11:22:22 CEST |
NMap, uno dei migliori portscanner nel mondo, supporta IPv6 sin dalla versione 3.10ALPHA1. Esempio di utilizzo:
# nmap -6 -sT ::1 Starting nmap V. 3.10ALPHA3 ( www.insecure.org/nmap/ ) Interesting ports on localhost6 (::1): (The 1600 ports scanned but not shown below are in state: closed) Port State Service 22/tcp open ssh 53/tcp open domain 515/tcp open printer 2401/tcp open cvspserver Nmap run completed -- 1 IP address (1 host up) scanned in 0.525 seconds |
Strobe è un portscanner a basso budget (rispetto a NMap), ma esiste tuttavia una patch disponibile per abilitare IPv6 (si veda IPv6+Linux-status-apps/security-auditing per maggiori dettagli). Esempio di utilizzo:
# ./strobe ::1 strobe 1.05 (c) 1995-1999 Julian Assange <proff@iq.org>. ::1 2401 unassigned unknown ::1 22 ssh Secure Shell - RSA encrypted rsh ::1 515 printer spooler (lpd) ::1 6010 unassigned unknown ::1 53 domain Domain Name Server |
Nota: lo sviluppo di strobe non è andato molto avanti, il numero di versione mostrato non è quello giusto.
Se il risultato di una verifica non coincide con la propria politica di sicurezza, si utilizzi il firewalling IPv6 per tappare i buchi, per esempio usando netfilter6 (si veda Firewalling/Netfilter6 per maggiori dettagli).
Info: Informazioni più dettagliate concernenti la sicurezza IPv6 si possono trovare qui:
Firewalling Considerations for IPv6 / draft-savola-v6ops-firewalling-??.txt
IPv6 Neighbour Discovery trust models and threats / draft-ietf-send-psreq-??.txt
Security Considerations for 6to4 / draft-savola-v6ops-6to4-security-??.txt
Access Control Prefix Router Advertisement Option for IPv6 / draft-bellovin-ipv6-accessprefix-??.txt
Security of IPv6 Routing Header and Home Address Options / draft-savola-ipv6-rh-ha-security-??.txt