Andrea Danti - Fotolia

Wie ein Cloud-basiertes Kali Linux bei Pentests helfen kann

Die bekannte Pentest-Distribution Kali Linux lässt sich auch aus der Cloud betreiben. Das bietet einige Vorteile, allerdings müssen Anwender ein paar Punkte beachten.

Eine gute Sicherheits-Policy wird so angelegt, dass sie auf die Schwachstellen, Risiken, Bedrohungen und Regulierungsanforderungen eines jeden Unternehmens individuell eingeht. Teil einer solchen Policy sollte ein genaues Schwachstellen-Management und -Testing sein.

Immer häufiger führen Unternehmen reguläre Penetrationstests durch, mit denen sich Schwachpunkte in den Systemen finden lassen, die in regulären Schwachstellen-Scans nicht auftauchen. Bei diesen Tests kommt wahrscheinlich Kali Linux zum Einsatz, die wohl am weitesten verbreitete Sicherheitsdistribution von Offensive Security. Sie ist kostenlos erhältlich, basiert auf Debian und enthält hunderte verschiedener Tools.

Kali Linux in der Cloud

Der Nachteil bei einer lokalen Installation: Niemand will wirklich ein System in seinem Netzwerk haben, das im Grunde ein riesiges Hacker-Toolkit ist. Es ist ein verlockendes Ziel für jeden Angreifer. Selbst wenn so ein System isoliert und gehärtet ist, einige Tests werden sowieso besser von außerhalb des Firmennetzwerks durchgeführt. Das minimiert das Risiko eines ungewollten Ausbruchs.

Warum also nicht einfach Kali Linux und potentiell verwundbare Systeme in einer Cloud-Instanz eines Drittanbieters betreiben? Tatsächlich benötigt man lediglich einen SSH-Zugang, der aus dem Internet zugänglich ist oder ein grafisches Interface. Es muss keine direkte Verbindung zwischen dem Testnetz und der Produktivumgebung der Firma bestehen.

Ein solcher Test von außen ist eine gute Möglichkeit, um die Verteidigung gegen externe Angreifer zu testen. Er offenbart auch, wie viele Informationen von außen erkennbar sind und welchen Fußabdruck Abwehrmaßnahmen hinterlassen. So lassen sich Lücken oder Schwachstellen in Lösungen wie Firewalls oder Sicherheitsrichtlinien erkennen.

Ein anderer guter Anwendungsfall für ein Cloud-basiertes Kali Linux ist das Training für Sicherheitsprofis. Das gilt nicht nur für einzelne Experten, die ihre Fähigkeiten verbessern möchten, sondern auch als Trainingsumgebung und Hacking-Sandkasten für Studenten.

Kali Linux: Optionen und Alternativen

Es gibt mehrere Lösungen, um Kali Linux in einer Cloud-Instanz zu installieren und zu nutzen. Amazon etwa bietet den kostenlosen Amazon Web Services Free Tier. Dabei handelt es sich um eine limitierte Instanz, in der neue Nutzer lernen können, wie AWS funktioniert und wie sich das Produkt nutzen lässt.

Das vorkonfigurierte Kali Linux Amazon Machine Image ist ebenfalls kostenlos und lässt sich innerhalb des limitierten freien Angebots nutzen. Damit kann man den Server aufsetzen und für 12 Monate kostenlos nutzen, maximal sind 750 Stunden pro Monat möglich. Es ist wichtig, diese Beschränkungen zu beachten, um unerwartete Kosten zu vermeiden.

Mit dieser Methode sind Kosten keine Limitierung, wenn es um Trainings oder einmalige Tests geht. Für größere Unternehmen sollten diese minimalen Kosten keine Rolle bei der Entscheidung spielen. In dieser Situation sollten die Betriebskosten für einige virtuelle Linux-Systeme in der mittleren Leistungsklasse leicht mit einer sichereren Gesamtumgebung zu rechtfertigen sein.

Microsoft Azure bietet ebenfalls eine Kali-Linux-Maschine, abgesehen von einem einmaligen monatlichen Trial-System sind diese allerdings nicht kostenlos nutzbar. Wie gesagt, sollte dies für Unternehmen kein Hinderungsgrund sein. Aus einer technischen Perspektive gibt es aber keinen großen Unterschied zwischen den beiden Systemen.

Zusätzlich gibt es einige andere Cloud-Anbieter, die gleichfalls den Betrieb von Kali Linux in ihren Cloud-Systemen ermöglichen. Die meisten Anwender können eine einfache Linux-Maschine betreiben, diese lässt sich problemlos mit Kali Linux starten. Allerdings sollte man in jedem Fall vorab klären, ob der jeweilige Anbieter einen solchen Einsatz erlaubt.

Die Beschränkungen der Kali-Linux-Systeme

Cloud-Anbietern ist es oft nicht recht, wenn solche mächtigen Hacking-Werkzeuge innerhalb ihrer Umgebung betrieben werden. Kali Linux wird für legitime Tests genutzt, allerdings können es auch Angreifer für ihre Zwecke missbrauchen. Das kann nicht nur für die Infrastruktur des Anbieters problematisch sein, es kann ihn auch in technische oder rechtliche Probleme bringen, etwa, wenn ein Angriff auf ein Opfer zum jeweiligen Cloud-Netzwerk zurückverfolgt wird.

Daher gibt es bei den meisten Anbietern Richtlinien, die virtuelle Maschinen erfüllen müssen. Bei Amazon etwa dürfen Kali Linux Images nicht den root-Login verwenden. Offensive Security ist deswegen auf den Nutzernamen „admin“ ausgewichen.

Kali Linux startet einige potentiell bösartige Angriffe gegen Ziele. Das löst mit hoher Wahrscheinlichkeit Alarme beim Cloud-Anbieter und dessen Sicherheits-Team aus. Um zu verhindern, dass der Anbieter die jeweilige virtuelle Maschine sperrt, sollten Tester vorab den jeweiligen Hersteller informieren. Das klappt meist über ein Online-Formular oder eine E-Mail, Amazon etwa bietet die notwendigen Informationen hier. So kann der Anbieter die Quelle und die Zieladresse während des Tests in eine Whitelist aufnehmen.

Wichtig ist, sich vorab über die Beschränkungen des Anbieters zu informieren. Bei Amazon etwa sind komplette Bereiche nicht erlaubt, dazu gehören unter anderem Systeme, die innerhalb der eigenen Cloud betrieben werden. Da dies die Leistung aller Instanzen in einem Knoten beeinträchtigt, verbietet der Anbieter solche Tests.

Fazit

Cloud-Systeme bieten Sicherheitsexperten einige sinnvolle Möglichkeiten. Da sich die Systeme innerhalb der Cloud vom Produktionsnetzwerk trennen lassen, eignen sie sich für Test, simulierte Angriffe oder auch die Untersuchung von Malware sehr gut. Es gibt technische Beschränkungen, diese werden aber oft von den Vorteilen aufgewogen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Penetration Tester, alles andere als ein normaler IT-Job

Pentests: Standards und Methodologie

Cloud Penetration Testing: Das sollten Prüfer wissen

Artikel wurde zuletzt im Dezember 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close