Konzeptionierung und Entwicklung einer Cloudbasierten Umgebung für Penetrationstests
Conception and development of a cloud-based environment for penetration tests
- Die Aufgabe von Penetrationstestern ist es, Sicherheitslücken in IT-Systemen zu finden. Dieser Prozess kann innerhalb eines Pentest-Labors geübt werden. Das Ziel der Arbeit war es, ein Konzept zu erstellen, das ein solches Labor auf Basis von Cloud-Computing erstellt. Die Erstellung fand dabei nach einem fünfstufigen Vorgehen statt. Anforderungsanalyse, Evaluation eines Cloud-Providers und eines Automatisierungstools, Grundlagen der gewählten Lösungen, Konzeptionierung und Implementation. Ziel der Analyse war es, Anforderungen zu sammeln, das die Umgebung erfüllen soll. Hauptziel war es demnach einfach und mit minimalem Zeitaufwand verschiedene Infrastruktur-Szenarien zu erstellen. Ein solches Szenario war beispielsweise ein unsicheres Office Netzwerk. Auf diesen Forderungen aufbauend wurden verschiedene Cloud-Provider sowie Anbieter von Automatisierungstools verglichen und es wurde eine Entscheidung für je einen getroffen. Die Wahl fiel auf OpenStack als On-Premise Cloud-Lösung und Terraform als Tool, das automatisiert die Infrastrukturen erzeugen soll. Jene wurden in dem darauffolgenden Kapitel genauer vorgestellt und deren Funktion sowie Betrieb erläutert. Nachdem das Fundament für das Konzept gelegt war, erfolgte das Planen, was für verschiedenen Systeme für das Szenario des Office Netzwerk nötig waren. Dabei handelte es sich um Windows Server und Client, Linux Client und eine Metasploitable Maschine. Daraufhin folgte die Evaluation, wie diese Systeme bereitgestellt und bei Instanziierung konfiguriert werden sollen. Entschieden wurde sich für manuell erstellte Systemabbilder und zur Konfiguration das Tool Cloud-Init. Abschließend wurde das Konzept an einem Prototyp, mit dem Ziel der Prüfung auf Fehlerfreiheit, umgesetzt. Die Implementation erfolgte ohne Probleme und das Labor stand mit dem geforderten Szenario, das innerhalb von 10 Minuten mit einem Befehl erstellt werden konnte, zur Verfügung. Zukünftige Arbeiten könnten das Konzept in einer Langzeitstudie auf eventuell auftretende Fehler hin prüfen. Zudem können weitere Szenarien und weitere Autmatisierungstools implementiert werden.
Author: | Andre Rohrbach |
---|---|
URN: | urn:nbn:de:bsz:mit1-opus4-138483 |
Advisor: | Ronny Bodach, Jan Hoyer |
Document Type: | Bachelor Thesis |
Language: | German |
Year of Completion: | 2022 |
Granting Institution: | Hochschule Mittweida |
Release Date: | 2023/03/25 |
GND Keyword: | Penetrationstest; Computersicherheit |
Page Number: | 67 |
Institutes: | Angewandte Computer‐ und Biowissenschaften |
DDC classes: | 005.8 Internetkriminalität, Computersicherheit, Datensicherung, Computerforensik, Identitätsverwaltung |
Open Access: | Frei zugänglich |
Licence (German): | Urheberrechtlich geschützt |