17.3. Verifica sicurezza di IPv6

Attualmente non ci sono in giro strumenti comodi capaci di controllare un sistema sulla rete per problemi di sicurezza inerenti a IPv6. Né Nessus né nessun altro security scanner commerciale, per quanto ne so, è in grado di effettuare la scansione di indirizzi IPv6.

17.3.1. Implicazioni legali

ATTENZIONE: si abbia cura di effettuare la scansione solo sui propri sistemi o solo dopo aver ricevuto un ordine scritto, diversamente si potrebbe incorrere in problemi legali. SI CONTROLLINO DUE VOLTE gli indirizzi IPv6 di destinazione prima di avviare una scansione.

17.3.2. Verifica di sicurezza con netcat abilitato IPv6

Con il netcat abilitato IPv6 (si veda IPv6+Linux-status-apps/security-auditing per maggiori dettagli) si può eseguire un portscan tramite un apposito script che scorre un intervallo di porte, cattura banner e così via. Esempio di utilizzo:

# nc6 ::1 daytime
13 JUL 2002 11:22:22 CEST
   

17.3.3. Verifica di sicurezza con nmap abilitato IPv6

NMap, uno dei migliori portscanner nel mondo, supporta IPv6 sin dalla versione 3.10ALPHA1. Esempio di utilizzo:

# nmap -6 -sT ::1
Starting nmap V. 3.10ALPHA3 ( www.insecure.org/nmap/ ) 
Interesting ports on localhost6 (::1): 
(The 1600 ports scanned but not shown below are in state: closed) 
Port       State       Service 
22/tcp     open        ssh 
53/tcp     open        domain 
515/tcp    open        printer 
2401/tcp   open        cvspserver
Nmap run completed -- 1 IP address (1 host up) scanned in 0.525 seconds
   

17.3.4. Verifica di sicurezza con strobe abilitato IPv6

Strobe è un portscanner a basso budget (rispetto a NMap), ma esiste tuttavia una patch disponibile per abilitare IPv6 (si veda IPv6+Linux-status-apps/security-auditing per maggiori dettagli). Esempio di utilizzo:

# ./strobe ::1 strobe 1.05 (c) 1995-1999 Julian Assange <proff@iq.org>.
::1 2401 unassigned unknown
::1 22 ssh Secure Shell - RSA encrypted rsh 
::1 515 printer spooler (lpd)
::1 6010 unassigned unknown 
::1 53 domain Domain Name Server
   

Nota: lo sviluppo di strobe non è andato molto avanti, il numero di versione mostrato non è quello giusto.

17.3.5. Risultati della verifica

Se il risultato di una verifica non coincide con la propria politica di sicurezza, si utilizzi il firewalling IPv6 per tappare i buchi, per esempio usando netfilter6 (si veda Firewalling/Netfilter6 per maggiori dettagli).

Info: Informazioni più dettagliate concernenti la sicurezza IPv6 si possono trovare qui: