Difference between revisions of "IPv6 Security: Audit Security"

From OnnoWiki
Jump to navigation Jump to search
Line 13: Line 13:
  
 
  # apt-get install netcat6
 
  # apt-get install netcat6
 +
 +
Jika anda mempunyai server daytime di localhost, dapat melakukan scan:
  
 
  # nc6 ::1 daytime
 
  # nc6 ::1 daytime
 
  13 JUL 2002 11:22:22 CEST
 
  13 JUL 2002 11:22:22 CEST
 +
 +
Contoh lain jika kita mempunyai server, misalnya SMTP (port 25), maka
 +
 +
# nc6 ::1 25
 +
220 axioo ESMTP Postfix (Ubuntu)
  
 
==Security auditing menggunakan nmap IPv6-enabled==
 
==Security auditing menggunakan nmap IPv6-enabled==

Revision as of 08:19, 27 June 2015

Fasilitas / tool untuk melakukan security audit pada jaringan IPv6 masih terus di kembangkan. Tool yang ada memang belum sebaik yang tersedia di IPv4.


Masalah Hukum / Legal

PERHATIAN: berhati-hati saay melakukan scan ke sistem yang kita gunakan, jika tidak mungkin kita akan terkena masalah hukum. CEK tujuan IPv6 address DUA KALI sebelum melakukan scan.


Audit Security Menggunakan netcat yang IPv6

Dengan menggunakan netcat IPv6-enabled kita dapat menjalankan portscan dengan membungkusnya dengan script dan melakukannya pada range port tertentu, untuk menangkap banner dll. Contoh penggunaan:

# apt-get install netcat6

Jika anda mempunyai server daytime di localhost, dapat melakukan scan:

# nc6 ::1 daytime
13 JUL 2002 11:22:22 CEST

Contoh lain jika kita mempunyai server, misalnya SMTP (port 25), maka

# nc6 ::1 25
220 axioo ESMTP Postfix (Ubuntu)

Security auditing menggunakan nmap IPv6-enabled

NMap, salah satu portscaner terbaik di dunia, mendukung IPv6 sejak versi 3.10ALPHA1. Contoh penggunaan:

# nmap -6 -sT ::1
Starting Nmap 6.00 ( http://nmap.org ) at 2013-07-11 07:54 WIT
Nmap scan report for ip6-localhost (::1)
Host is up (0.00049s latency).
Not shown: 993 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
80/tcp  open  http
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds
631/tcp open  ipp
873/tcp open  rsync

Nmap done: 1 IP address (1 host up) scanned in 0.15 seconds

Security auditing menggunakan strobe IPv6-enabled

Strobe (dibandingkan dengan NMap) merupakan portscanner low budger, tetapi ada patch untuk mengaktifkan IPv6. Contoh penggunaan:

# ./strobe ::1 strobe 1.05 (c) 1995-1999 Julian Assange <proff@iq.org>.
::1 2401 unassigned unknown
::1 22 ssh Secure Shell - RSA encrypted rsh 
::1 515 printer spooler (lpd)
::1 6010 unassigned unknown 
::1 53 domain Domain Name Server


Catatan: tampaknya strobe tidak di kembangkan lebih lanjut.

Hasil Audit

Jika hasil audit ternyata tidak cocok dengan kebijakan keamanan IPv6, gunakan firewall IPv6 untuk menutup lubang yang ada, misalnya, menggunakan netfilter6.

Informasi tambahan: Lebih detail tentang IPv6 Security dapat di peroleh disini:

  • IETF drafts - IPv6 Operations (v6ops)
  • RFC 3964 / Security Considerations for 6to4