Aufbau eines Testlabors

Da man die Ausnutzung von Schwachstellen aufgrund des so genannten Hackerparagraphen (§ 202c) nicht im Internet testen sollte, empfiehlt es sich ein Testlabor für diese Zwecke aufzubauen.

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

1.
Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2.
Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.
 

Aufgrund der heute zur Verfügung stehenden recht günstigen Hardware (Multi-Core Prozessoren, Arbeitsspeicher und Festplattengrößen) ist es sinnvoll dieses Labor zu virtuallisieren. Hierzu eignen sich die gängigen Virtuallisierungstools wie VMware, VirtualBox und Hypervision.

 

Eine sehr gute Anleitung wie man ein solches Labor mit der Virtuallisierungssoftware realisiert findet sich auf den Seiten von Rapid7 dem Hersteller von Metasploit und Nexpose. Die Anleitung ist hier zu finden: How To Set Up A Penetration Testing Lab

 

Was sollte ein solches Labor enthalten?

Betriebssysteme:

  • Windows 2000
  • Windows XP
  • Windows Vista
  • Windows 7
  • Windows 8
  • Windows 2000 Server
  • Windows 2003 Server
  • Windows 2008 Server
  • verschiedene Linux Distributionen

 Dienste:

  • FTP
  • HTTP
  • SSH
  • SMB
  • usw.

Im Falle von Linux gibt es bereits fertige VMs die Vulnerable by Design sind, d.h. diese haben bereits von Hause aus Dienste und Software installiert die Schwachstellen enthalten. Dazu gibt bald einen weiteren Beitrag mit einer Übersicht ausserdem wird ein Beitrag über Vulnerable WebApps geben.

Veröffentlicht in Penetration Testing Getagged mit: , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*