IPv6

Schwachstellen/Vulnerability Scan mit Nessus und IPv6

Leave a Comment

Nessus von Tenable Networks Security ist ein bekannter Vulnerability Scanner / Schwachstellen-Scanner zur Analyse eines Netzwerks auf bekannte Schwachstellen. Nessus kann hierbei nicht nur mit gewöhnlichen IPv4-Adressen umgehen, sondern beherrscht auch IPv6.

Grundsätzlich ist es durch die extrem hohe Anzahl von möglichen Adressen bei IPv6 nicht möglich ganze Netze zu scannen. Aber man kann Nessus Listen von IPv6-Adressen übergeben, die er auf mögliche Schwachstellen analysiert. Dabei sollte man die Option „ping scan“ in der eigenen Scan Policy tunlichst deaktivieren. Sobald diese aktiviert ist, scheint Nessus nicht mehr alle übergebenen IPv6-Adressen zu scannen und/oder bricht vorher ab. Die Ursache für das Verhalten ist mir nicht bekannt, ich hatte die Probleme selbst und wurde vom Support darauf aufmerksam gemacht.

IPv6 ist das Ende vom Black Box Penetration Test

Leave a Comment

In einem gewöhnlichen IPv4-Netz existieren nicht sehr viele IP-Adressen. Ein paar Hundert. Vielleicht auch ein paar Tausend. Es ist relativ unproblematisch diese kleinen Mengen an möglichen Adressen innerhalb eines Netzwerks auf die Erreichbarkeit von verschiedenen Diensten zu prüfen. Für einen Black Box Penetration Test reicht es also aus, wenn der Penetration Tester nur den Netzbereich als Angriffsziel vom Auftraggeber mitgeteilt bekommt.

Dies ändert sich nun mit der Einführung von IPv6. Durch die hohe Anzahl von möglichen IP-Adressen innerhalb eines gewöhnlichen /64-Netzes ist es unmöglich einen kompletten Netzwerkscan eines einzelnen Netzes durchzuführen. Ein /64 umfasst 18.446.744.073.709.551.616 Adressen. Das sind mehr potentiell verwendete Adressen als es rechnerisch überhaupt ipv4-Adressen gibt. Es ist während eines Pentests unmöglich alle Adressen auch nur auf die Erreichbarkeit eines einzelnen Diensts zu prüfen. Da bei einem Black Box Penetration Test nur minimale Informationen über das Ziel bekannt sind, ist die Durchführung eines aussagekräftigen Tests bei ipv6 nicht mehr möglich. Es ist zwingend erforderlich, dass ein Penetration Tester eine exakte Auflistung aller aktiven Hosts bekommt.

IPv6 eschwehrt damit auch White Box oder Grey Box Penetration Testing: Welches Unternehmen verfügt wirklich über eine Dokumentation aller verwendeten IP-Adressen? Welche Aussagekraft besitzen Penetration Tests in IPv6-Netzen zukünftig überhaupt noch?