:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Verwundbare VM für Security-Tests Metasploitable als Security-Testumgebung
Metasploitable ist eine virtuelle Linux- bzw. Windows-Maschine, die absichtlich angreifbar ist. Die VM kann zum Beispiel dazu verwendet werden, Sicherheitsschulungen durchzuführen, Sicherheitswerkzeuge zu testen und Penetrationstests durchzuführen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Im Fokus der Lösung von Metasploitable steht das Erstellen einer VM auf Basis von Linux, die angreifbar ist und über zahlreiche Sicherheitslücken verfügt. Metasploitable3 steht darüber hinaus auch als virtueller Windows-Computer zur Verfügung, um Angriffe durchzuführen. Neben Windows kann aber auch ein Linux-System in Metasploitable3 erstellt werden.
Das Tool stellt also im Netzwerk auf Basis einer VM einen Computer mit IP-Adresse im Netzwerk zur Verfügung. Um sich eine umfassende Testumgebung für Sicherheitslücken zu erstellen, bietet es sich an eine VM mit Metasploitable zu installieren, und diese mit den Tools aus Kali-Linux zu untersuchen. Metasploitable3 wird als Open Source zur Verfügung gestellt. Eine Liste der integrierten Sicherheitslücken ist auf der Seite „Vulnerabilities“ zu finden.
:quality(80)/images.vogel.de/vogelonline/bdb/1683600/1683635/original.jpg "Die Metasploitable-VM kann für Angriffe von verschiedenen Sicherheitstools genutzt werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1683600/1683636/original.jpg "Kali-Linux und Metasploitable sind ein gutes Gespann, wenn es darum geht Sicherheitstools effektiv zu testen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1683600/1683637/original.jpg "Kali-Linux kann über das Windows-Subsystem für Linux auch in Windows eingebunden werden und für Angriffe auf Metasploitable genutzt werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1683600/1683638/original.jpg "In Kali unter Windows kann können auch Linux-Sicherheitstools installiert werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1375500/1375525/original.jpg "Metasploit bringt alles mit, um eigene Angriffstools zu basteln. (gemeinfrei)")
Überblick zu Metasploit
Metasploit macht jeden zum Hacker
Metasploitable und Metasploit nutzen
Der virtuelle Computer kann mit VMware-Produkten und VirtualBox gestartet werden. Der virtuelle Server selbst hat keinerlei Aufgaben, sondern wird lediglich gestartet und ist danach im Netzwerk angreifbar. Für Sicherheitstests arbeiten Administratoren also nicht mit Metasploitable, sondern mit den entsprechenden Sicherheitstools, mit denen die Sicherheitslücken des Servers untersucht werden. Die VM ist also ideal für Testumgebungen und für Schulungen. Neben den Tools in Kali und allen anderen verfügbaren Sicherheitstools, kann auch das bekannte Sicherheitstool Metasploit zusammen mit Metasploitable eingesetzt werden, um dessen Funktionen zu testen.
Um Metasploitable zum Beispiel mit Metasploit auf Basis von Kali zu testen, kann Kali auch im Windows-Subsystem für Linux auf Rechnern mit Windows 10 oder Windows Server 2019 installiert werden. Damit in der Kali-Distribution Tools zur Verfügung stehen, müssen diese manuell installiert werden. Der Vorteil besteht darin, dass das Image klein bleibt, und nur die Tools Platz benötigen, die auch tatsächlich benötigt werden. Die Installation erfolgt in der Kali-Shell ebenfalls wieder mit „apt-get“. Auch hier sollte im Vorfeld mit „apt-get update“ eine Aktualisierung erfolgen. Um das Metasploit-Framework in Kali zu installieren, werden zum Beispiel folgende Befehle eingegeben:
sudo apt-get updatesudo apt-get install metasploit-frameworkDanach stehen die Tools zur Verfügung und können in der Eingabeaufforderung, der PowerShell und im Windows Terminal so verwendet werden, wie in einem Linux-Terminal. Wo Metasploitable selbst anschließend virtualisiert wird, spielt keine Rolle.
Beim Einsatz von Metasploitable und Kali können also auch Windows-Administratoren eine Sicherheitsumgebung auf ihrem Windows 10-Rechner aufbauen und Sicherheitslücken testen und Tools für die Sicherheitsanalyse einsetzen, die bisher meistens nur für Linux eingesetzt wurden.
:quality(80)/images.vogel.de/vogelonline/bdb/1116700/1116732/original.jpg "Metasploitable3 ist eine absichtlich verwundbare Windows-Umgebung, mit der sich Angriffsszenarien ausprobieren lassen. (Pixabay)")
Absichtlich verwundbares Windows-System für Hack-Angriffe
Metasploitable3 bietet standardisiertes Windows für Hacks
Metasploitable nutzen
Metasploitable wird als ZIP-Datei heruntergeladen und enthält alle Dateien, um eine VM in VMware Workstation, ESXi oder VirtualBox zu erstellen. Wer Kali und Metasploitable mit Hyper-V virtualisieren will, muss die virtuellen Festplatten von Metasploitanble in das VHJDX-Format konvertieren. Microsoft stellt dazu kostenlos „Microsoft Virtual Machine Converter 3.0“ zur Verfügung. Alternativ können die Dateien vom Metasploitable3 auch über die PowerShell oder das Linux-Terminal heruntergeladen werden.
Nach dem Start der VM steht diese sofort zur Verfügung. Es sind keinerlei Konfigurationen notwendig. Um sich anzumelden, zum Beispiel für das Abrufen der IP-Adresse des virtuellen Servers, wird der Benutzername „msfadmin“ und das Kennwort „msfadmin“ genutzt. Die Angriffe werden nicht in der VM gestartet, sondern im Netzwerk. Die VM dient generell immer nur als Ziel, um Angriffe anderer Tools zu simulieren. Solche Tools können von allen anderen Rechnern im Netzwerk gestartet werden, auch von Windows oder macOS aus. Auch Sicherheits-Distributionen wie Kali-Linux können genutzt werden, um Angriffe auf die VM zu starten.
Die Sicherheitslücken lassen sich zum Beispiel auch mit Zenmap und Nmap durchgeführt werden, aber auch professionellere Tools entdecken schnell die einzelnen Sicherheitslücken. Ein Beispiel ist VSFTP, das in Metasploitable in der Version 2.3.4 installiert ist. Diese Version hat verschiedene Sicherheitslücken, die wiederum mit Sicherheitstools ausgenutzt werden können.
:quality(80)/images.vogel.de/vogelonline/bdb/1613800/1613808/original.jpg "Mit der Integration von kali Linux in das Windows-Subsystem für Linux (WSL) können Admins einfacher die Sicherheit in modernen Microsoft-Netzwerken testen. (Offensive Security)")
Video-Tipp: Kali Linux und das WSL
Kali Linux direkt in Windows 10 einbinden
Metasploitable 3 installieren
Um die Version 3 von Metasploitable zu installieren, kann in Linux auf das Terminal und in Windows auf die Befehlszeile gesetzt werden. Die Installation in Linux wird mit folgenden Befehlen durchgeführt:
mkdir metasploitable3-workspacecd metasploitable3-workspacecurl -O https://raw.githubusercontent.com/rapid7/metasploitable3/master/Vagrantfile && vagrant upIn Windows werden die entsprechenden Daten mit folgenden Befehlen installiert:
mkdir metasploitable3-workspacecd metasploitable3-workspaceInvoke-WebRequest -Uri "https://raw.githubusercontent.com/rapid7/metasploitable3/master/Vagrantfile" -OutFile "Vagrantfile"vagrant upIn Windows werden die Installationsdateien von Vagrant benötigt.
Die weiteren Voraussetzungen und Anleitungen zur Installation sind auf der GitHub-Seite von Metasploitable zu finden. Einige Videos zum Einrichten von Metasploitable gibt es auf Youtube im Kanal „Hacking Metasploitable 3“.
:quality(80)/images.vogel.de/vogelonline/bdb/1341800/1341815/original.jpg "Kali Linux: Die Distribution ist vollgestopft mit Hacking-Tools, perfekt für IT-Experten und Pentester. (Offensive Security)")
Kali Linux Workshop, Teil 1
Kali Linux installieren und Hacking-Lab aufsetzen
(ID:46401251)
:quality(80)/p7i.vogel.de/wcms/59/58/59583df567d1868aaa0fdf7f739d85bd/0114836679.jpeg "Ein neues Kali-Projekt „Purple“ für die Netzwerk-Verteidigung vereint Tools für Red-Teams und Blue-Teams. (Bild: Tierney - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")