Das IT Security Meetup Kassel bietet regelmäßig Workshops an, um den Umgang mit Metasploit zu schulen. Metasploit ist ein freies Open-Source-Projekt zur IT Security. Es bietet wertvolle Informationen über Sicherheitslücken in IT-Systemen und wird oft im Rahmen von Penetrationstest oder für IDS-Angriffserkennungssysteme eingesetzt. Denn für den Erfolg von IT-Systemen ist es entscheidend, dass sie sicher sind. Das liegt gleichermaßen im Interesse der Hersteller wie der Anwender.
Im Folgenden erläutern wir die Begriffe Penetrationstest und IDS etwas genauer, um ein besseres Verständnis dafür zu erhalten, wofür Metasploit eingesetzt wird. Danach gehen wir genauer auf die Funktionsweise von Metasploit ein.
Was sind Penetrationstests in der IT Security?
Penetrationstests sind Sicherheitschecks. Alle Bestandteile eines IT-Systems werden dabei auf etwaige Sicherheitsschwächen geprüft, indem man sie aus der Perspektive des Angreifers attackiert. Dabei werden konkrete Schwachstellen in der Software identifiziert und Gegenmaßnahmen eingeleitet, bevor es zu echten Cyber-Angriffen kommen kann. Um einen guten Anwendungs- bzw. Penetrationstest durchzuführen, lässt man zunächst einen automatisierten ‚Vulnerability Scan‘ über das System laufen, der anfangs nicht mehr ist als eine erste Empfindlichkeitsprüfung. Anschließend erfolgt die sorgfältige Erarbeitung eines detaillierten Testverfahrens anhand valider und realistischer Angriffsmuster.
Was bedeutet IDS in der IT Security?
Die Abkürzung IDS steht für Intrusion Detection System. Man unterscheidet zwischen host-basierten IDS (HIDS), netzwerk-basierten IDS (NIDS) und hybriden IDS.
- HIDS sind die ältesten ihrer Art. Ursprünglich vom Militär entwickelt, sollen sie dem Schutz von Großrechnern dienen. Dazu müssen sie in jedes der zu überwachenden Systeme integriert werden und schlagen Alarm, wenn sie dort einen Angriff erkennen. Die Vorteile solcher Systeme sind sehr spezifische Aussagen über die jeweiligen Angriffe und eine vollflächige Überwachung. Der Nachteil ist, dass sie selbst durch einen DoS-Angriff ausgehebelt werden können.
- NIDS dokumentieren und analysieren sämtliche Datenpakete innerhalb eines Netzwerks, um ebenfalls verdächtige Aktivitäten aufzuspüren und zu melden. Einfallstor für Angreifer ist ja heute überwiegend das Internetprotokoll, NIDS können hier Angriffsmuster auslesen und mit nur einem Sensor ein ganzes Netzsegment überwachen. So weit ihr Vorteil. Ihr Nachteil ist, dass sie bei zu hoher Datenlast keine lückenlose Überwachung mehr garantieren können.
- Hybride IDS bündeln das Beste beider Welten, um eine höhere Dichte der Überwachung zu erzielen.
So funktioniert Metasploit
Nicht nur einzelne Applikationen, auch ganze Infrastrukturen können von Attacken aus dem Netz bedroht sein. Insbesondere Schwachstellen von Netzwerkprotokollen in unterschiedlichsten Schichten können hier verheerende Risiken mit sich bringen.
Um diese ausfindig zu machen und zu schließen, setzen wir uns in Metasploit-Workshops regelmäßig den ’schwarzen Hut‘ auf und führen aus der Hacker-Perspektive Angriffe auf Micromata-Server durch. Es geht darum, seinen Feind zu kennen und ihm eine Nasenlänge voraus zu sein.
Martin Pizala, Experte für IT Security bei Micromata.
Nicht etwa in krimineller Absicht versteht sich, sondern mit dem Ziel, Verwundbarkeiten aufzuspüren und zu eliminieren. Metasploit liefert zu jeder erkannten Sicherheitslücke so genannte Exploits aus, die das System genau da angreifen, wo es verwundbar ist. Im Gegensatz zur Burp Suite greift Metasploit dabei nicht nur die über das User Interface erreichbaren Elemente einer Webseite an, sondern alle zugrunde liegenden Schnittstellen eines Servers. Mithilfe verschiedener Module lassen sich dabei diverse Angriffsszenarien durchexerzieren – je nach Motiv des Angreifers zum Schaden oder zum Nutzen des Systembetreibers.
Und hier zeigt Metasploit eine weitere große Stärke: Weil das Framework quelloffen ist, kann jedes Angriffsmuster, das es uns zur Verfügung stellt, direkt im Quellcode mitgelesen werden. Auf diese Weise macht Metasploit uns die Funktionsweise jedes Angriffsmusters Schritt für Schritt transparent.
Dadurch kann anschließend viel leichter ermittelt werden, wo und vor allem wie die verwundbare Stelle im Code eliminiert werden kann. Je nach Art der Sicherheitslücke kann sie dann von Entwicklern, Administratoren oder DevOps geschlossen werden. Das erleichtert das Patchmanagement – ist teilweise sogar die einzige Möglichkeit, ein Patchmanagement durchzuführen.
Die Nutzung von Metasploit ist selbstverständlich nur zu Testzwecken im eigenen Netzwerk legitim. Das unbefugte Zugreifen auf fremde Systeme erfüllt den Tatbestand der Computerkriminalität. Auch kleine mittelständische Unternehmen geraten vermehrt in das Visier von Cyber-Kriminellen. Deshalb sind auch sie, genau wie die großen Konzerne, gut beraten, in Sachen IT Security immer auf dem neuesten Stand zu sein.
IT Security ist eine Daueraufgabe an vielen Fronten. Welche Maßnahmen wir zur Sicherung Ihrer geschäftsrelevanten Software ergreifen, können Sie hier nachlesen.
Das IT Security Meetup Kassel
Das IT Security Meetup wurde im Frühjahr 2016 von Micromata und anderen IT-Experten. Ziel war es, eine Gemeinschaft von Fachleuten zu schaffen, die sich aktiv mit dem Thema IT Security auseinandersetzt, Wissen austauscht und durch diesen Know-how-Transfer die Vertiefung von IT-Security-Kompetenzen vorantreibt.
