目前並無合適的工具可用來確認系統上關於 IPv6 網路的安全性問題。目前即使是 Nessus 或其他商業性安全性檢測軟體都還無法掃描 IPv6 位址.
17.3.1. 法律議題
注意:僅可掃描自有或經過對方授權的電腦,否則您將有遭遇法律追訴的可能。在掃描前請多確認掃描目的 IPv6 位址是否正確.
17.3.2. 使用 IPv6 - 支援 的 netcat 作 IPv6 安全性驗證
透過使用 IPv6 - 支援 的 netcat (可參照 IPv6+Linux-status-apps/security-auditing ) 你可以包裝一個指令段 (wrapping a script) 以完成在特定通訊埠區段的掃描,或取得 banners 等等工作。使用範例:
# nc6 ::1 daytime
13 JUL 2002 11:22:22 CEST
17.3.3. 使用 IPv6 - 支援 的 nmap 作 IPv6 安全性驗證
NMap, 作為世界上最棒的通訊埠掃描工具之一,從 3.10ALPHA1 版起即支援 IPv6 . 使用範例:
# nmap -6 -sT ::1
Starting nmap V. 3.10ALPHA3 ( www.insecure.org/nmap/ )
Interesting ports on localhost6 (::1):
(The 1600 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
53/tcp open domain
515/tcp open printer
2401/tcp open cvspserver
Nmap run completed -- 1 IP address (1 host up) scanned in 0.525 seconds
17.3.4. 使用 IPv6 - 支援 的 strobe 作 IPv6 安全性驗證
Strobe 是一個 (與 NMap 相較) 功能較簡單的通訊埠掃描工具,但也提供了 IPv6 - 支援修正檔 (參照 IPv6+Linux-status-apps/security-auditing ).
使用範例:
# ./strobe ::1 strobe 1.05 (c) 1995-1999 Julian Assange
::1 2401 unassigned unknown
::1 22 ssh Secure Shell - RSA encrypted rsh
::1 515 printer spooler (lpd)
::1 6010 unassigned unknown
::1 53 domain Domain Name Server
附註: strobe 並未繼續開發,在此顯示的版本並不十分正確.
17.3.5. 驗證結果
若驗證結果與你的 IPv6 安全策略不相符,使用 IPv6 防火牆來關閉漏洞,例如使用 netfilter6 (參照 Firewalling/Netfilter6 ). 資訊:更多關於 IP 安全性的資訊可在此取得:
- Firewalling Considerations for IPv6 / draft-savola-v6ops-firewalling-??.txt
- IPv6 Neighbour Discovery trust models and threats / draft-ietf-send-psreq-??.txt
- Security Considerations for 6to4 / draft-savola-v6ops-6to4-security-??.txt
- Access Control Prefix Router Advertisement Option for IPv6 / draft-bellovin-ipv6-accessprefix-??.txt
- Requirements for Plug and Play IPsec for IPv6 applications /draft-kobayakawa-ipsec-ipv6-pnpipsec-reqts-??.txt
- Security of IPv6 Routing Header and Home Address Options / draft-savola-ipv6-rh-ha-security-??.txt