Penetration Testing mit Metasploit: Eine praktische Einführung
Sie sparen 21% gegenüber der Buchausgabe!
Buchausgabe: 32,90€
Download-Version: 25,99€
(Preis inkl. Mwst. )
| Autor(en): | Frank Neugebauer |
| Verlag: | dpunkt.verlag |
| Version: | 1. Auflage, 2011 |
| Umfang: | 230 Seiten |
| Format: | PDF: 9,02MB |
| ISBN: | 3898647390 |
| Bestell-Nr.: | 89864867P |
| Artikeltyp: | E-Book |
Dieses Buch bietet einen kompakten und praxisorientierten Einstieg ins Penetration Testing. Es zeigt das übliche Vorgehen bei einem Test und erläutert, worauf jeweils zu achten ist. Eingesetzt wird dabei das am weitesten verbreitete kostenfreie Werkzeug zum Penetration Testing: das Metasploit-Framework.
Der Leser lernt zunächst, wie man eine Testumgebung auf der Basis eines VMware-Servers aufbaut und wie man Metasploit und weitere Testsysteme in virtuellen Umgebungen installiert und konfiguriert. Das Framework wird dann im Zusammenspiel mit weiteren Tools (wie Nmap, Nexpose und Nessus) eingesetzt, um zahlreiche Penetration Tests praktisch durchzuspielen. Dabei wird gezeigt wie man Schwachstellen ausnutzt und entsprechende Gegenmaßnahmen entwickelt.
Unter anderem werden folgende Szenarien vorgestellt:
- Windows-Schwachstellen ausnutzen (Windows-Druckerwarteschlange, Internet Explorer)
- Trojanische Pferde für Windows, Linux und Mac OS erstellen
- Virenschutzprogramme und Intrusion-Detection-Systeme umgehen
- Webseiten auf Schwachstellen prüfen
- Wireless Access Points zum Ausspionieren von Nutzerdaten einsetzen
Nach der Lektüre des Buches ist man in der Lage, das Metasploit-Framework und die entsprechenden Module in einer Testumgebung einzusetzen sowie eigene Angriffsszenarien zu entwickeln.
Leseprobe:
4 Metasploit für Pentester (S. 57-58)
In Zusammenarbeit mit den Firmen BDO1 und Ernst & Young2 hat das Bundesamt für Sicherheit in der Informationstechnik3 (BSI) eine Studie4 erarbeitet, die sich mit der Organisation und Durchführung von Penetrationstests in sicherheitsrelevanten IT-Systemen befasst. In diesem umfangreichen Dokument wurde u.a. der Ablauf dieser Tests in fünf Phasen beschrieben. Diese werden hier nun kurz vorgestellt:
¦ Phase 1 – Vorbereitung
In dieser Phase werden in Vorbesprechungen die Ziele und Erwartungen des Auftraggebers erörtert. Rechtliche Aspekte, Befugnisse und Penetrationstechniken werden besprochen und die Vereinbarungen schriftlich festgehalten.
¦ Phase2 – Informationsbeschaffung und -auswertung
In dieser Phase werden alle Informationen über das Zielnetzwerk zusammengetragen. Hier geht es vor allem darum, Erkenntnisse über die vorhandenen Systeme (Hardware, Software) und angebotenen Dienste zu sammeln. Dies wird insbesondere durch Portscans erreicht.
¦ Phase 3 – Bewertung der Informationen/Risikoanalyse
Gemäß den Ergebnissen der vorherigen Phase werden nun die Zielsysteme für mögliche Angriffe ausgewählt. Der erfahrene Penetrationstester wählt dabei Systeme nach bekannten Schwachstellen oder potenziellen Gefährdungen aus und nimmt dazu gern die Hilfe von sogenannten Vulnerability-Scannern (z.B. Nessus, NeXpose) in Anspruch.
¦ Phase 4 – Aktive Eindringversuche
Diese Phase birgt das größte Risiko des Tests und sollte gründlich vorbereitet werden. Hier werden die ausgewählten Systeme z.B. mittels Buffer-Overflow-Exploits angegriffen. Ziel ist es, dadurch administrative Systemrechte zu erlangen.
¦ Phase 5 – Abschlussanalyse
In einer abschließenden Phase werden die Prüfergebnisse in einem Bericht zusammengefasst und bewertet. Penetrationstester achten immer darauf, dass alle durchgeführten Tests nachvollziehbar und ausreichend dokumentiert worden sind. Bei einem abschließenden Gespräch mit dem Auftraggeber werden die Ergebnisse erläutert und bei Bedarf werden Vorschläge zur Verbesserung der IT-Sicherheit gemacht. In der Regel wird der Abschlussbericht an den Auftraggeber übergeben.
In diesem Kapitel wird gezeigt, wie das Metasploit-Framework in Verbindung mit anderen Tools und Programmen in den einzelnen Phasen der Penetrationstests eingesetzt werden kann.
Der Leser lernt zunächst, wie man eine Testumgebung auf der Basis eines VMware-Servers aufbaut und wie man Metasploit und weitere Testsysteme in virtuellen Umgebungen installiert und konfiguriert. Das Framework wird dann im Zusammenspiel mit weiteren Tools (wie Nmap, Nexpose und Nessus) eingesetzt, um zahlreiche Penetration Tests praktisch durchzuspielen. Dabei wird gezeigt wie man Schwachstellen ausnutzt und entsprechende Gegenmaßnahmen entwickelt.
Unter anderem werden folgende Szenarien vorgestellt:
- Windows-Schwachstellen ausnutzen (Windows-Druckerwarteschlange, Internet Explorer)
- Trojanische Pferde für Windows, Linux und Mac OS erstellen
- Virenschutzprogramme und Intrusion-Detection-Systeme umgehen
- Webseiten auf Schwachstellen prüfen
- Wireless Access Points zum Ausspionieren von Nutzerdaten einsetzen
Nach der Lektüre des Buches ist man in der Lage, das Metasploit-Framework und die entsprechenden Module in einer Testumgebung einzusetzen sowie eigene Angriffsszenarien zu entwickeln.
Leseprobe:
4 Metasploit für Pentester (S. 57-58)
In Zusammenarbeit mit den Firmen BDO1 und Ernst & Young2 hat das Bundesamt für Sicherheit in der Informationstechnik3 (BSI) eine Studie4 erarbeitet, die sich mit der Organisation und Durchführung von Penetrationstests in sicherheitsrelevanten IT-Systemen befasst. In diesem umfangreichen Dokument wurde u.a. der Ablauf dieser Tests in fünf Phasen beschrieben. Diese werden hier nun kurz vorgestellt:
¦ Phase 1 – Vorbereitung
In dieser Phase werden in Vorbesprechungen die Ziele und Erwartungen des Auftraggebers erörtert. Rechtliche Aspekte, Befugnisse und Penetrationstechniken werden besprochen und die Vereinbarungen schriftlich festgehalten.
¦ Phase2 – Informationsbeschaffung und -auswertung
In dieser Phase werden alle Informationen über das Zielnetzwerk zusammengetragen. Hier geht es vor allem darum, Erkenntnisse über die vorhandenen Systeme (Hardware, Software) und angebotenen Dienste zu sammeln. Dies wird insbesondere durch Portscans erreicht.
¦ Phase 3 – Bewertung der Informationen/Risikoanalyse
Gemäß den Ergebnissen der vorherigen Phase werden nun die Zielsysteme für mögliche Angriffe ausgewählt. Der erfahrene Penetrationstester wählt dabei Systeme nach bekannten Schwachstellen oder potenziellen Gefährdungen aus und nimmt dazu gern die Hilfe von sogenannten Vulnerability-Scannern (z.B. Nessus, NeXpose) in Anspruch.
¦ Phase 4 – Aktive Eindringversuche
Diese Phase birgt das größte Risiko des Tests und sollte gründlich vorbereitet werden. Hier werden die ausgewählten Systeme z.B. mittels Buffer-Overflow-Exploits angegriffen. Ziel ist es, dadurch administrative Systemrechte zu erlangen.
¦ Phase 5 – Abschlussanalyse
In einer abschließenden Phase werden die Prüfergebnisse in einem Bericht zusammengefasst und bewertet. Penetrationstester achten immer darauf, dass alle durchgeführten Tests nachvollziehbar und ausreichend dokumentiert worden sind. Bei einem abschließenden Gespräch mit dem Auftraggeber werden die Ergebnisse erläutert und bei Bedarf werden Vorschläge zur Verbesserung der IT-Sicherheit gemacht. In der Regel wird der Abschlussbericht an den Auftraggeber übergeben.
In diesem Kapitel wird gezeigt, wie das Metasploit-Framework in Verbindung mit anderen Tools und Programmen in den einzelnen Phasen der Penetrationstests eingesetzt werden kann.
Empfehlen
Reduzierte Artikel in dieser Kategorie:
Transiente Fehler in Mikroprozessoren - Mechanismen zur Erkennung, Behebung und Tolerierung
Buchausgabe: 59,95€
Download-Version: 52,99€
Buchausgabe: 59,95€
Download-Version: 52,99€
Kein Bild vorhanden
Stoßspannungs- und Stoßstrommesstechnik - Grundlagen - Messgeräte - Messverfahren
Buchausgabe: 79,95€
Download-Version: 69,99€
Buchausgabe: 79,95€
Download-Version: 69,99€
Kein Bild vorhanden
Einsatz von SAP in einem regionalen Versorgungsunternehmen unter den Gesichtspunkten Regulierung ...
Buchausgabe: 13,99€
Download-Version: 12,99€
Buchausgabe: 13,99€
Download-Version: 12,99€
Der besondere Tipp
Denken Sie nicht an einen blauen Elefanten!
Anhand verblüffender Experimente und einfacher Übungen lernen Sie, wie unsere Umwelt die Gedanken und die Gedanken unsere Umwelt beeinflussen.
Früher: 12,00€
bei uns nur: 4,99€
