Pentest

2 07, 2019

Die Aussagekraft von Vulnerability-Scanner vs. Penetrationstests

von |2. Juli 2019|Pentest|1 Kommentar|

It is worth mentioning that automated methods are much faster in performing the security analysis.

Alavi, Bessler und Massoth 2018

Die vorherige Anmerkung von Alavi, Bessler und Massoth schildert den ausschlaggebenden Beweggrund hinter den Einsatz von Vulnerability-Scanner bei der Durchführung von Penetrationstests: Zwar haben beide als Hauptaufgabe die Identifikation von Schwachstellen in IT-Systemen, jedoch geschieht dies bei Vulnerability-Scannern rein automatisiert, welche lediglich von einem Anwender konfiguriert und gestartet werden müssen. Wegen den geringeren personellen Ressourcen sollten Kunden beim Einkauf eines Pentests Acht geben, nicht mit einem aufbereiteten Vulnerability-Scan-Report „abgespeist“ zu werden.

Inwieweit die Ergebnisse eines Vulnerability-Scanners mit einem Penetrationstest verglichen werden können, haben zwei BACPPler – Saed Alavi und Niklas Bessler – in ihrem Paper „A Comparative Evaluation of Automated Vulnerability Scans Versus Manual Penetration Tests on False-negative Errors“ gezeigt. Für ihre Analyse haben sie sich die Frage gestellt, wie viele Schwachstellen von einem Vulnerability-Scanner und einem Penetrationstester nicht als solche identifiziert werden, obwohl die Lücken vorhanden sind? Im Wissenschaftsjargon ist hier die Rede von der False-Negative-Rate (FNR). Dazu haben sie eine mit Schwachstellen übersäte IT-Infrastruktur aufgebaut und diese sowohl einem Penetrationstest als auch einem Vulnscan unterzogen. Wie – zugegebenermaßen – zu erwarten war, kamen sie zu dem Schluss, dass Penetrationstests zwar Vulnerablity-Scans beinhalten können, aber mit ihren manuellen Prüfphasen weit darüber hinaus gehen:

„Most importantly, we have seen a remarkable higher false-negative rate in the vulnerability scan, which suggests that automated methods cannot replace manual penetration testing. However, the combination of both methods is a conceivable approach.“

Alavi, Bessler und Massoth 2018

Dennoch ist der Einsatz von Vulnerability-Scannern nicht obsolet: Auch wenn die Fülle an Informationen eines Vulnerability-Scanners erst überblickt, sortiert und ausgewertet werden muss – je nach Scanner kann dies leider selbst einen Fachmann benötigen -, sind sie ein Werkzeug um die eigene IT zu härten.

20 07, 2017

Best of Pentest-Akquise

von |20. Juli 2017|Pentest|0 Kommentare|

Vertrieb, Sales, Akquise.. alles ein hartes Geschäft. Manchmal hat man Glück, meistens hat man Pech. Normales Business. Aber manchmal.. fehlen einem die Worte – Reaktion am Telefon (sinngemäß wiedergegeben):

„Also von Pentests halte ich nichts. Die kosten nur Geld. Dann werden irgendwelche Sicherheitslücken gefunden. Und dann muss man noch mehr Geld ausgeben, um die Lücken zu beheben. Das ist einfach zu teuer.“

TOP!

11 02, 2017

Blackbox-Pentests sind der falsche Ansatz

von |11. Februar 2017|Pentest|0 Kommentare|

Whitebox-, Greybox- oder Blackbox-Pentests? Offen gesagt, sind meiner Meinung nach Blackbox-Pentests der falsche Ansatz. Während bei einem Whitebox- oder Greybox-Pentest dem Penetration Tester alle notwendigen oder zumindest alle hilfreichen Informationen zum Ziel vorliegen, liegen bei einem Blackbox-Pentest dem Penetration Tester gar keine Informationen vor. Er hat sozusagen die gleiche Sicht, wie es ein böswilliger externer Angreifer hätte. Die Aussagekraft eines Blackbox-Pentests ist somit klar: Wie viel Informationen kann ein Angreifer über ein Ziel sammeln, wie weit kann er vorgehen, wie weit kann er in ein Unternehmen oder in ein IT-System eindringen?

Sorry, aber das ist aus Kundensicht Geldverschwendung.

Erstens stimmt das mit der Aussagekraft nur bedingt: Während ein böswilliger Angreifer überhaupt keine Probleme hätte, eine spezifische Zielperson per Xing/LinkedIn ausfindig zu machen und ihr z.B. gezielten Schadcode am Virenscanner vorbei unterschiebt oder es ganz einfach mit Social Engineering versucht, wird diese Herangehensweise in den meisten Fällen – und aus guten Gründen – bei einem professionellen Pentest ausgeschlossen (der Betriebsfrieden lässt grüßen).

Zweitens kann es sein, dass ein Penetration Tester bei einem Blackbox-Pentest gar nicht in der Lage ist, alle notwendigen Prüfungen zu machen – entweder scheitert er an einer Loginmaske und kann gar keine Schwachstellen in der Anwendung dahinter sehen – oder trotz gutem Information Gathering werden gar nicht alle öffentlich erreichbaren Systeme identifiziert.

Drittens verbringt der Penetration Tester am Ende auch Zeit damit Sachen herauszufinden, die man ihm hätte auch einfach mitteilen können. Der Aufwand von Blackbox-Pentests ist sehr schwer zu kalkulieren und sind im Zweifel immer mehr Aufwand.

Insgesamt ist das Verhältnis zwischen Aussagekraft und Aufwand/Kosten nicht optimal. Ich rate stets davon ab.

1 10, 2016

Artikel in der iX 10/2016: Momentaufnahme – Was Penetrationstests erreichen können

von |1. Oktober 2016|Pentest|0 Kommentare|

In der Oktober-Ausgabe der iX aus dem Heise-Verlag ist mein erster Artikel im Print-Bereich erschienen:

Momentaufnahme – Was Penetrationstests erreichen können

Ein Penetrationstest kann zwar typische Schwachstellen im Firmennetz aufdecken, ist aber kein Allheilmittel. Welche Erkenntnisse diese Einbruchssimulationen wirklich bringen, hängt von verschiedenen Randbedingungen ab…

https://www.heise.de/select/ix/2016/10/1475741089664718

23 04, 2016

Übersicht Penetrationstest-Dienstleistungsunternehmen in Deutschland

von |23. April 2016|Pentest|0 Kommentare|

Aus einer Marktanalyse heraus hatte ich eine Liste deutscher Dienstleistungsunternehmen für Penetrationstests bzw. IT-Sicherheitsanalysen zusammengestellt. Diese Liste der Pentest-Dienstleister ist das Ergebnis von persönlicher Erfahrung mit Anbietern, der geschalteten Anzeigen durch Google AdWords sowie normale Google-Suchergebnisse. Falls ein Unternehmen fehlt, das die unten genannten Kriterien erfüllt, nehme ich es gerne zusätzlich auf. An dieser Stelle möchte ich erwähnen, dass ich selbst Gesellschafter eines dieser Unternehmen bin, der binsec GmbH aus Frankfurt am Main. Die Liste in alphabetischer Reihenfolge ist:

  • binsec GmbH aus Frankfurt am Main
  • cirosec GmbH aus Heilbronn
  • it.sec GmbH & Co. KG aus Ulm
  • RedTeam Pentesting GmbH aus Aachen
  • Secorvo Security Consulting GmbH aus Karlsruhe
  • secuvera GmbH aus Gäufelden
  • SRC Security Research & Consulting GmbH aus Bonn
  • SySS GmbH aus Tübingen
  • usd AG aus Neu-Isenburg

Die Kriterien zur Auswahl waren:

  • Nur Unternehmen mit Stammsitz in Deutschland.
  • Nur Unternehmen, die speziell auf Informations- oder IT-Sicherheit spezialisiert sind.
  • Nur Unternehmen, mit einem expliziten Fokus auf Penetration Testing.
  • Keine Freelancer sowie keine Ein-Personen-GmbHs.
25 09, 2015

Aussagekraft und Grenzen von Penetrationstests

von |25. September 2015|Pentest|0 Kommentare|

Vor kurzem wurde mir in einem Beratungsgespräch die Frage gestellt, ob man nach einem Penetrationstest eine Garantie bekommt, dass eine geprüfte Anwendung absolut sicher ist. Die Frage ist natürlich aus der Sicht eines Kunden verständlich. Wer je nach Aufwand vielleicht mehrere Tausend Euro für eine Sicherheitsanalyse ausgibt, erwartet zumindest unterschwellig, dass alle möglichen Schwachstellen identifiziert wurden und eine geprüfte Anwendung 100% sicher ist. Die unbequeme Wahrheit ist leider, dass das nicht der Fall sein kann.

Grundsätzlich gilt, dass nahezu alle durchgeführten Penetrationstests ein Kompromiss aus Testaufwand und Aussagekraft sind. Bei professionellen Pentest-Dienstleistern beinhaltet ein Test mindestens,

  • die Prüfung nach einer standardisierten Vorgehensweise, die sich an den Best Practices orientiert
  • die Verwendung eines Tool-Sets, um automatisiert auf typische Schwachstellen prüfen zu können
  • zusätzlich umfangreiche manuelle Prüfungen
  • den Einsatz von zertifizierten Penetrationstestern (eher OSCP & OSCE weniger CISSP / CEH & Co)
  • die Durchführung einer Qualitätssicherung
  • die Abgabe eines detaillierten Berichts

Sind die genannten Kriterien bei einem Test erfüllt, werden mit ziemlicher Sicherheit:

  • alle einfach zu entdeckenden Schwachstellen (low hanging fruits) gefunden
  • mindestens allen Angreifern auf dem Niveau Script Kiddy keine Chance mehr gelassen
  • mindestens alle unspezifischen automatisierten Angriffe die Grundlage entzogen
  • den Aufwand für einen Angreifer auf mindestens den Aufwand erhöht, den der Penetrationstester investiert hat
  • eine absolut aussagekräftige Richtung gezeigt, ob ein Zielsystem bzw. eine Zielanwendung grundsätzlich auf professionellem Security-Niveau aufgesetzt bzw. entwickelt wurde

Das ehrliche Zugeständnis, dass unter Umständen ein Angreifer mit einem deutlich höheren Aufwand dennoch eine Schwachstelle finden könnte, ist leider nicht verkaufsfördernd.

Ein höheres Prüfungsniveau, wie z.B. die Entwicklung oder gar den Aufkauf von Zero Day Exploits ist in den allermeisten Fällen leider nicht realistisch. Die Durchführung eines APTs (advanced persistent threat) auf NSA & Co Niveau ist sehr, sehr aufwendig und würde die Kosten eines Penetrationstests in extreme Höhe treiben. Für einen Kunden wäre das ein enorm schlechtes Preis-/Leistungsverhältnis und die finanziellen Ressourcen ließen sich mit Sicherheit sinnvoller in die eigene Sicherheit investieren.

Aber nehmen wir einmal ein, als Pentest-Dienstleister würde man eine 100%-Sicherheitsgarantie geben: Was würde passieren, wenn ein System dennoch kompromittiert werden würde? Wie soll nachgewiesen werden, dass der Penetrationstester etwas übersehen hat? Wie soll nachgewiesen werden, dass der Kunde das System seitdem nicht verändert hat? Wie soll nachgewiesen werden, dass der Kunde eventuell nicht ein Sicherheitsupdate übersehen hat? Wie wird mit dem Problem von Sicherheitslücken in eingesetzten Frameworks oder Bibliotheken umgegangen? Ein einziger Penetrationstest mit einer 100%-Sicherheitsgarantie und man hat als Dienstleister für alle Ewigkeiten unkalkulierbare Rechtsrisiken. Selbst wenn man das Risiko grob abschätzt und im Durchschnitt auf alle Kunden umlegt, würde es die Kosten eines Penetrationstests unverhältnismäßig in die Höhe treiben. Kein Kunde würde das bezahlen wollen.  Eine 100%-Sicherheitsgarantie ist leider unrealistisch.

Nichtsdestotrotz werden in den meisten Penetrationstests Sicherheitslücken oder -schwachstellen identifiziert, die das Sicherheitsniveau transparenter machen und Potential zur Verbesserung aufzeigen. In der Praxis sind Pentestberichte mit exakt 0 Findings sehr selten und deuten auf ein extrem hohes Sicherheitsniveau hin. Letztendlich ist für den Kunden wichtig, die genannten Grenzen, aber auch die aufgezeigten Vorteile eines Penetrationsteste zu kennen um die für ihn richtige Entscheidung treffen zu können: Pentest ja oder nein?

23 11, 2014

Was kostet ein Penetration Test?

von |23. November 2014|Pentest|0 Kommentare|

Die Kosten eines Penetrationstests sind primär von zwei Faktoren abhängig: Vom Aufwand und vom Tagessatz.

1. Der zeitliche Aufwand eines Penetration Tests

Die Dauer eines Penetrationstests ist abhängig von der Größe und Komplexität einer Anwendung oder einer IT-Infrastruktur. Grundsätzlich gibt es keine pauschalen Schätzwerte und es kommt immer auf den Einzelfall an. Angebote ohne vorherige Aufwandschätzung halte ich für grundsätzlich nicht seriös und rate davor ab.

Die grobe Richtung sieht aber wie folgt aus: Bei einer kleinen Webanwendung, also eine zweistellige Anzahl von Seiten mit ein paar Formularen und Parametern liegt man inklusive der Vorbesprechung, dem eigentlich Pentest und der Berichtserstellung bei etwa einem Tag. Der Aufwand wächst danach bei Webanwendungen weniger mit der Anzahl der Links, sondern eher mit einer steigenden Komplexität: Session Management, Rollen- und Benutzermanagement, AJAX usw. können schnell den notwendigen Aufwand erhöhen.

Den Aufwand eines IT-Infrastruktur-Penetrationstests pauschal zu beziffern ist noch schwieriger. Es hängt hier vom eigentlichen Ziel, der Anzahl der Hosts, der Anwendungen und Dienste ab. Manchmal macht es hier mehr Sinn, die eigentlichen Ziele des Tests zu konkretisieren und dann eine fixe Anzahl von Tagen dafür einzuplanen.

2. Der Tagessatz des Penetration Tester

Der Tagessatz im Penetration Testing ist auch hier von verschiedenen Faktoren abhängig: Zum Beispiel von der Erfahrung und Qualifikation vom Penetration Tester, von der dazugehörigen Unternehmensgröße, dem Unternehmensstandort, den Vertriebszielen usw.

Ist man auf der Suche nach einem qualifizierten Pentest-Freelancer landet man schnell bei Tagessätzen von 800€ und höher. Wobei alle Beispielpreise aus meinen Erfahrungen hier für Unternehmen netto wären. Beauftragt man ein Unternehmen mit ein paar Mitarbeitern mit einem Pentest liegt man anfänglich irgendwo bei 1.000€, man kann aber auch schnell 1.200€ bis 1.300€ pro Tag zahlen. Nach oben wie immer offen.

11 08, 2014

Literatur & mehr fürs Pentesting

von |11. August 2014|Pentest|0 Kommentare|

Eine kleine – unvollständige – Übersicht über die verfügbare Literatur, Kurse usw. für Pentesting:

Kurse

Der OSCP (Offensive Security Certified Professional) von Offensive Security ist absolut sein Geld wert. Krassere Lernkurve geht kaum. Neben dem sehr guten Lab wird noch eine PDF und Videos mitgeliefert. Mehr Exploit Development gibts beim OSCE von Offensive..

Bücher

Für Exploit Development recht gut:

  • Hacking: Die Kunst des Exploits
  • Aus dem Tagebuch eines Bughunters: Wie man Softwareschwachstellen aufspürt und behebt

Ein älteres Buch (2007) über grundsätzliches Penetration Testing:

  • Die Kunst des Penetration Testing – Handbuch für professionelle Hacker

Metasploit ist zwar nicht gleich Pentesting, aber die Bücher sind ganz ok:

  • Penetration Testing mit Metasploit: Eine praktische Einführung
  • Metasploit: Das Handbuch zum Penetration-Testing-Framework

Online

Für Webanwendungen einfach OWASP.org besuchen. Der Pentesting Guide ist recht gut:

  • https://www.owasp.org/index.php/OWASP_Testing_Project

Für Metasploit gibts noch:

  • http://www.offensive-security.com/metasploit-unleashed/Requirements

 

1 08, 2014

Wie wird man eigentlich Penetration Tester?

von |1. August 2014|Pentest|14 Kommentare|

Einführung

Ich wurde nun schon mehrmals gefragt, wie man eigentlich Penetration Tester wird und welche Vorgehensweise ich dazu empfehlen kann. Es gibt weder eine darauf spezialisierte Ausbildung noch ein darauf spezialisierter Studiengang. Ich möchte die Beantwortung der Frage von hinten aufziehen und zuerst die Frage beantworten, was ein guter Penetration Tester denn überhaupt können und wissen muss. Nun, da wären mindestens Kenntnisse und Fähigkeiten in:

  1. IT-Systemadministration (Betriebssysteme, Netzwerke usw.)
  2. Anwendungsentwicklung (diverse Programmiersprachen wie C, Java, PHP, Python)
  3. Theoretische Angriffstechniken: Buffer Overflow, Code Execution, Injections, uvm.
  4. Bedienung von Tools wie Nessus, Nikto, nmap, owasp-zap (damit meine ich nicht auf Skriptkiddie-Niveau)
  5. Entwicklung eigener Tools oder die Weiterentwicklung vorhandener
  6. Strukturierter Vorgehensweisen für Penetration Testing (OSSTMM, OWASP Penetration Testing Guide)
  7. Report-Erstellung (Strukturierte Berichte, Schreiben von Erläuterungen und Dokumentation)

Okay, die Auflistung ist umfangreich, ich möchte aber nichts streichen. Ich halte alle Punkte für relevant und notwendig. Es geht schließlich nicht um die Frage wie man Hacker wird, sondern wie man professioneller Karriere als Penetration Tester beginnt. Dazu gehört dann doch deutlich mehr als nur hacken zu können.

Die Grundlagen (Punkte 1 und 2)

Ich empfehle als Grundlage entweder eine Ausbildung zum Fachinformatiker (Fachrichtung Systemintegration oder Anwendungsentwicklung) oder bei formaler Eignung (ab Fach-Abi) ein Informatik-Studiengang an einer Fachhochschule. Eine Universität würde ich für das Berufsziel Penetration Tester nicht wählen, das ginge aufgrund der Mathe- und Theorielastigkeit am Ziel vorbei. Ich würde ein Informatik-Studium an einer FH wählen, entweder reine Informatik oder zumindest etwas Vergleichbares in technischer Richtung. Medieninformatik und Wirtschaftsinformatik bieten keine idealen Vorrausetzungen für Penetration Tester, sind aber immer noch besser als gar nichts.

An der Anwendungsentwicklung kommt man in der Ausbildung und im Studium nicht vorbei und grundlegende IT-Systemadministration sollte hoffentlich auch dabei sein. Ansonsten muss man privat ein wenig nachhelfen – einfach alte Hardware nehmen und mit Linux & Windows experimentieren. Die Virtualisierungen Xen, kvm & Co erlauben auch den Aufbau eines ganzen Netzwerks auf einer physikalischen Maschine und sind kostenfrei. Hier kann man sich austoben und die Grundlagen vertiefen, wenn man ansonsten keinen Zugang zu praktischen Erfahrung bekommt. Ansonsten sollte man sicherlich noch eine vernünftige Script-Sprache lernen; ich empfehle Python (oder Perl oder Ruby oder bash, aber nicht PHP & Co).

Die Angriffstechniken (Punkte 3 bis 5)

Die theoretischen und praktischen Angriffstechniken ohne „Anleitung“ zielgerichtet zu lernen erfordert eine gewisse Selbstdisziplin. Es gibt im Netz dafür gute Online-Kurse wie z.B. den OSCP (Offensive Security Certified Professional) von Offensive Security. Der CEH (Certified Ethical Hacker) ist nur theoretisch und vermittelt keine Praxis. Das Wissen vom CEH kann man sich auch aus Büchern und dem Web anlesen, falls einem der OSCP zu „praktisch“ orientiert ist. Das zur Verfügung gestellte Hacking-Lab ist beim OSCP ist definitiv sein Geld wert und ich kann es nur weiterempfehlen.

Ansonsten gibt es im Web auch noch sehr viele frei-verfügbare & verwundbare Server-Images, an denen man kostenlos üben kann. Bücher gibt es auch einige, mit unterschiedlichem Niveau. Wer hier noch in der Ausbildung oder Studium etwas dazu lernt, dürfte ziemlich viel Glück gehabt haben. Oder er studiert direkt einen Bachelor in IT-Security und hat tatsächlich einen guten Prof für die Vorlesung erwischt. Das dürfte aber die Ausnahme sein. Ich würde ohnehin nicht bereits im Bachelor eine Spezialisierung wählen, dafür gibt es Master-Studiengänge.

Die Entwicklung eigener Tools wird mit steigender Erfahrung notwendig sein und ist mehr ein natürlicher Anpassungsprozess an eventuell nicht ausreichende oder nicht vorhandene Tools. Wer bereits Erfahrung im Programmieren oder in der Software-Entwicklung besitzt hat es hier deutlich leichter, auch wenn Penetration Testing nicht Anwendungsentwicklung bedeutet.

Die Professionalisierung vom Hacking (Punkte 6 und 7)

Professionelle Penetrationstests weisen immer eine strukturierte Vorgehensweise auf. Wer einfach „drauflos hackt“ wird vielleicht etwa finden, sicherlich nicht alles und vor allem wird der Test nicht reproduzierbar sein. Damit sinkt die Aussagekraft eines Penetrationstests enorm – eine ordentliche Vorgehensweise ist im professionellen Umfeld dringend erforderlich. Diverse Ansätze sind frei verfügbar (z.B. OSSTMM). Daran sollte man sich zumindest erst einmal orientieren, bis man in der Lage ist eventuell notwendige Anpassungen vorzunehmen.

Nach einem Penetrationstest muss noch der Bericht dazu erstellt werden. Dieser muss klar verständlich, vollständig und am Zielpublikum ausgerichtet sein (was nie einheitlich sein wird). Wichtig ist es dabei auch, schreiben zu können: Schriftlich Sachverhalte darlegen oder aufzeigen können. Konkrete Formulierungen wählen. Sichere Rechtschreibung und Grammatik.

Fazit

Die Anforderungen an Pentester sind sehr hoch. Der Weg dorthin erfordert ein hohes Maß an Interesse, intrinsische Motivation und Eigeninitiative. Niemand wird einem den Weg dorthin im Detail vorgeben und ich glaube auch nicht, dass man das regelrecht planen kann. Wer gerne Sicherheitslücken entdeckt und Spaß dabei hat, der soll den Weg dorthin einschlagen.

Ergänzung vom 5. April 2018:
Mittlerweile gibt es von der binsec academy GmbH ein „Pentest Training“ als Online-Kurs zum Selbststudium:
https://binsec-academy.com/de/courses/p/
Privatkunden, die sich über den folgenden Link registrieren, erhalten automatisch einen 25%-Rabattgutschein im System hinterlegt:
https://binsec-academy.com/promo/security_sauer_ninja_c2VjdXJ/
(Gültig nur für Privatkunden. Aktion und Gutschein gültig bis 31.12.2018. Solange Vorrat reicht.)

26 07, 2014

Penetration Testing von IPv6-Netzwerken

von |26. Juli 2014|Pentest|0 Kommentare|

Ein gewöhnliches IPv4-Netzwerk besteht nicht aus sonderlich vielen IP-Adressen. Ein /24er Block besteht aus 256 Adresse. Selbst bei einem wesentlich größerem /22 existieren nur 1.024 Adressen. Auch wenn nicht alle nutzbar sind (Network, Broadcast) bleiben wir einmal bei diesen Zahlen.

Relativ am Anfang eines Penetrationstests einer IT-Infrastruktur bzw. einem Netzwerk steht die Identifizierung der Live-Hosts, also der IP-Adressen, die tatsächlich einem Host zugewiesen sind. Das kann durch einen kurzen Ping-Sweep passieren oder man ignoriert ICMP und scannt den maximalen Port-Range über TCP und UDP. Vergleicht man beide Fälle anhand eines /22er-Blocks ergibt das bei einem Ping-Sweep 1.024 zu verschickende Anfragen und bei einem Scan über den gesamten Port-Bereich inkl. TCP und UDP bereits 1.024*65.535*2 = 134.215.680 – über 130 Millionen Anfragen, um absolut zuverlässig alle aktiven Hosts in einem /22 erkennen zu können.

Definitiv ist der Scan über alle Ports relativ zeitintensiv, aber noch realisierbar. Gehen wir einmal davon aus, dass ein Host jede Anfrage mit CLOSED o.ä. beantwortet und der Scanner nicht in einen Timeout läuft. Bei einer angenommenen Netzwerk-Latenz von 1ms (Gigabit-Ethernet) dauert der Scan – sofern nicht parallelisiert – ca. 37 Stunden. Wird der Scan um den Faktor 10 parallelisiert, ist er in 3,7 Stunden fertig. Selbst der komplette Scan eines etwas größeren IPv4-Netzes ist kein gigantisches Problem.

Und dann kam IPv6.

Nachdem der Adressraum bei IPv6 128bit beträgt, im Gegensatz zu 32bit bei IPv4, sind die Netze wesentlich größer. Gehen wir einmal von einem kleineren /56 IPv6-Netz aus. Das sind gerade einmal 9.223.372.036.854.775.808 Adressen. Also knapp 10^19 Adressen. Selbst wenn man nun auf einen vollständigen Scan verzichtet und nur einen Ping-Sweep zur Erkennung der Live-Hosts nutzt, sind das immernoch 10^19 Anfragen, die verschickt werden müssen. Nehmen wir an, wir verschicken (unrealistischer Weise) 100.000 Anfragen gleichzeitig, die alle in 1ms beantwortet werden. Wie lange dauert dann nur ein simpler Ping-Sweep über ein /56-Netz? 10^11 Sekunden bzw. 27.777.777 Stunden bzw. 1.157.407 Tage bzw. 3.170 Jahre. Ein Scan über ein komplettes „kleines“ IPv6-Netz – unmöglich!

Es gibt zwar verschiedene statische Häufungen, wie Netzwerk-Administratoren IPv6-Adressen vergeben, aber selbst die Berücksichtigung beliebter Bestandteile von IPv6-Adressen wie „:dead:“, „:b00b:“, „:cafe:“ oder „:babe:“ schränkt die Auswahl nicht zuverlässig genug für einen Penetrationstest ein.

Ein anderer Ansatz ist das Sniffen des gesamten IPv6-Verkehrs über Mirror/Monitoring-Ports an zentralen Core-Switche über eine gewisse Dauer. Das setzt natürlich nicht nur die grundsätzliche technische Möglichkeit voraus, sondern auch die Kooperation des Unternehmens. Sofern man einmal betriebliche oder datenschutzrechtliche Bedenken außen vor lässt – Datenschutzbeauftragte (Abgreifen von personenbezogenen Daten) und Betriebsräte (Achtung mögliche Leistungskontrolle) werden das in der Praxis sicherlich zu verhindern wissen. Technisch grundsätzlich möglich, ob wirklich umsetzbar sei einmal dahingestellt.

Bleibt eigentlich nur noch eine Liste mit IPv6-Adressen von den Administratoren des Zielnetzwerks zu erfragen. Idealerweise wird der Bestand von Hosts und verwendeten IP-Adressen in irgendeiner Datenbank oder Datei gepflegt. In wie weit solch eine Liste vollständig ist, kann man naturgemäß von außen nicht wirklich beurteilen. Es bleibt nur noch übrig, diese Liste mit möglichen weiteren IP-Adressen zu ergänzen, die man z.B. durch DNS Enumeration o.ä. gewinnen kann.

Egal wie, absolut vollständige Penetrationstests von IPv6-Netzwerken sind fast unmöglich zu garantieren. Ein Penetrationstests von IPv6-Netzwerken kann vollständig sein, muss er aber nicht. Das schlimmste daran ist, dass man nicht wissen wird, ob ein Test nun alle Hosts betrachtet hat oder nicht.