Buchbesprechung

Hacking mit Metasploit

Skripte können Administratoren das Leben deutlich leichter machen - besonders, wenn sich wiederholende Abläufe im Spiel sind. Dabei steht eine Vielzahl an ... (mehr)

Nach den grundlegenden Sicherheitsmaßnahmen wie Firewalls, IDS/ IPS, Patching und Antimalware verschafft das Penetration Testing einen tieferen Einblick in bekannte, angreifbare Schwächen der eigenen IT-Umgebung. Ein Standardwerkzeug hierfür ist Metasploit. Bei dem Tool handelt es sich um ein Framework, das sich aus mehreren Werkzeugen zusammensetzt. Der Autor des Buchs "Hacking mit Metasploit", Michael Messner, richtet sich mit seinem rund 570-seitigen Werk in der 2. Auflage an Admins und Sicherheitsverantwortliche, die mit Penetration Testing bislang nicht viel am Hut hatten. Dementsprechend ausführlich erläutert Messner zu Beginn den Sinn und Zweck sowie die typische Vorgehensweise beim Pentesting. Auf 86 Seiten beschreibt der Autor das Einmaleins des Penetration Testings sowie die Geschichte und den Aufbau von Metasploit.

Anschließend folgt der (simulierte) Angriff. Hierfür orientiert sich Messner an drei Phasen: der Pre-Exploitation-Phase, der Exploit-Phase und der Post-Exploitation-Phase. Los geht's mit den Angriffsvorbereitungen, namentlich der Informationsbeschaffung über die anzugreifenden Systeme mit Scannern. Sind die nötigen Infos zusammengetragen, folgt der eigentliche Angriff mit den passenden Exploits. Viel zu beschreiben gibt es für den Autor hierbei nicht, da Metasploit rund 1300 Exploits griffbereit mitbringt. Deutlich komplexer ist da schon die Frage, was ein Angreifer dann mit seinem Zugang in der Post-Exploitation-Phase anstellt – die eigene Anwesenheit verbergen, Rechte ausweiten, andere Systeme angreifen. Auch hierfür bringt Metasploit einige Werkzeuge mit, die Messner eher knapp, dafür mit vielen Beispiellistings und Screenshots beschreibt. Knapp 130 widmet der Autor diesen drei Phasen. Den Rest des Buches machen weiterführende Anwendungszwecke wie die Analyse von IPv6-Netzwerken oder virtuelle Umgebungen aus. Auch erläutert der Autor verschiedene Automatisierungsmöglichkeiten und Drittanbieter-Tools.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Mehr zum Thema

Buchbesprechung

Artikel der Woche

Systeme mit Vamigru verwalten

Auch wer nur kleine Flotten von Linux-Servern verwaltet, freut sich über Werkzeuge, die ihm diese Arbeit erleichtern. Vamigru tritt mit diesem Versprechen an. Wir verraten, was es leistet und wie Sie es in der eigenen Umgebung in Betrieb nehmen. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite