В IPv4 я часто использую nmap для сканирования всего диапазона IP-адресов, чтобы идентифицировать новые подключенные устройства и обновлять мою документацию, отслеживать и отключать вещи, которые не принадлежат сети, и т. Д. У меня даже есть инструменты, которые делают это автоматически, например, мое программное обеспечение AV сканирует определенный диапазон IP-адресов, а затем устанавливает программное обеспечение AV на все, что может видеть в этом диапазоне.
Это будет невозможно в IPv6, поскольку я перейду от сканирования нескольких тысяч IP-адресов к множеству квантиллионов.
Какая будет альтернатива? Смогут ли маршрутизаторы / коммутаторы сообщать, какие IPv6-адреса они видели в последнее время, чтобы я мог сканировать все порты в сети? Это единственный подход, который я вижу, но я ожидаю, что у SF будет больше и лучших идей.
Да, сканирование сетей IPv6 методом перебора бесполезно, и это очень хорошо для сетевой безопасности. Как системный администратор, вы по-прежнему имеете доступ к ряду источников информации, которые помогут вам следить за своими сетями:
Маршрутизаторы в ваших сетях, предположительно работающие под управлением radvd, могут регистрировать клиентов, которые запросили автоконфигурацию IPv6 без сохранения состояния. Вы можете отключить периодическую бесплатную рекламу маршрутизатора от radvd, если хотите, чтобы все клиенты автоконфигурации отправляли запросы маршрутизатора.
Ваши серверы DHCPv6 (если они есть) могут регистрировать всех клиентов, которые запросили / получили конфигурацию с отслеживанием состояния IPv6.
Вы можете прослушивать трафик ICMPv6, который включает многоадресные рассылки запроса соседей (эквивалент IPv4 ARP). Любое устройство в вашей сети, пытающееся «скрыться» со статической конфигурацией, все равно должно будет отправлять такие пакеты для связи с другими устройствами по локальному каналу.
Конечно, ваши собственные серверы будут иметь должным образом задокументированные статические IP-адреса, поэтому вы всегда знаете, как с ними связаться. Было плохой идеей давать серверам статическую аренду DHCP в IPv4, и все еще плохая идея делать это в IPv6.
Для IPv6 еще рано, но я ожидаю, что в ближайшие годы мы начнем видеть лучшую интеграцию между DNS и radvd / DHCPv6, а следовательно, и более совершенные инструменты инвентаризации сети / отчетности по мере необходимости.
Я не уверен, что именно вам нужно (размер сети и т. Д.), Но подозреваю, что подобные проблемы будут развиваться по мере того, как IPV6 набирает обороты.
А пока вы можете подходить к проблеме поэтапно ...
DHCP-серверы будут отслеживать запросы на адрес.
Практически любое устройство, настроенное на беспорядочный мониторинг, будет видеть некоторый широковещательный трафик для запросов RARP / ARP и может искать необычные / новые устройства.
Машина, подключенная к порту мониторинга коммутатора, может искать трафик от новых устройств.
Прокси-сервер на границе может легко отслеживать, что просматривает веб-сайт или использует другие службы.
Машина-приманка может отслеживать сетевой трафик, используя что-то вроде SNORT, если вас что-то беспокоит или кто-то прыгает по сети, чтобы проверить ваши машины.
Ваши коммутаторы могут отслеживать, что подключено к каждому порту, и сообщать, какие устройства отправляют трафик, если у вас есть коммутаторы, которые это поддерживают.
Вы даже можете ограничить на коммутаторе, какие IP-адреса разрешено маршрутизировать через них, чтобы вы могли создавать vlan и ограничивать трафик, который нужно искать в данной подсети. Может потребоваться больше работы, чем она того стоит, в зависимости от вашей ситуации, но это будет означать, что даже в сети IPV6 вам не придется сканировать столько адресов, сколько звезд в небе, чтобы найти необычный трафик и кого-либо или что-то прыгающее в должен будет соответствовать этому сегменту IP-адресов, чтобы делать что-либо или правильно маршрутизироваться.
Я бы посоветовал вам взглянуть на DHCPv6 - я понимаю, что, хотя IP-адреса могут быть настроены автоматически на IPv6, такие вещи, как DNS-серверы, по-прежнему необходимо настраивать с помощью DHCP.
В вашем случае с помощью DHCP-сервера можно будет сообщить о том, какие аренды в настоящее время активны, что должно дать вам разумное представление о том, какие клиенты доступны в сети.