Cyber Range in 5 Minuten erstellen: Dein erster Schritt zum Hacking-Profi! (Anleitung speichern)

Für Einsteiger in die Cybersicherheit ist das Einrichten einer Übungsumgebung (Cyber Range) für Penetrationstests oft notwendig. Eine Cyber Range ist im Wesentlichen eine Plattform, die eine reale Netzwerkumgebung simuliert und es Sicherheitspersonal ermöglicht, verschiedene Sicherheitstests (wie Penetrationstests, Schwachstellensuche und Angriffs-/Verteidigungsübungen) in einer kontrollierten Umgebung durchzuführen. Der Aufbau einer solchen Range hilft Fachleuten, die Simulation realer Angriffe und Schwachstellen legal und ethisch vertretbar zu üben, wodurch letztendlich die Effektivität und Genauigkeit der Sicherheitsabwehr verbessert wird.

Die technische Architektur für den Aufbau einer Übungsumgebung ist grundsätzlich dieselbe wie die Bereitstellung (Deployment) einer echten Website. Während Produktionsumgebungen möglicherweise komplexere Konfigurationen beinhalten (wie Lastverteilung, Sicherheits-Härtung usw.), basiert die Kern-Laufzeitumgebung auf diesen Schlüsselkomponenten:

1. Website-Anwendungscode: Beinhaltet sowohl Frontend- als auch Backend-Logik.

2. Webserver: Verarbeitet Anfragen und liefert Inhalte aus. Gängige Beispiele sind Nginx, Apache, Caddy usw.

3. Datenbank: Speichert und verwaltet Daten, wie z. B. MySQL, MongoDB, PostgreSQL usw.

Diese drei Komponenten bilden die Grundlage einer funktionsfähigen Website.

Basierend auf diesen Komponenten können verschiedene Technologie-Stacks kombiniert werden, wie z. B. Frontend + Python + Nginx + MySQL, Frontend + Java + Nginx + MySQL, Frontend + PHP + Apache + MongoDB usw.

Das manuelle Konfigurieren und Verwalten all dieser Komponenten und ihrer Abhängigkeiten für eine Übungsumgebung wäre ziemlich mühsam und zeitaufwändig. Um die Bereitstellung zu vereinfachen und sich auf die Übung selbst zu konzentrieren, empfehlen wir daher die Verwendung eines praktischen integrierten Werkzeugs wie ServBay. Es hilft uns, schnell und einfach Website-Laufzeitumgebungen mit verschiedenen Kombinationen einzurichten.

Okay! Beginnen wir mit dem Aufbau der Übungsumgebung!

ServBay

ServBay Einführung

ServBay ist ein Verwaltungswerkzeug für Entwicklungsumgebungen, das gängige Entwicklungssprachen (einschließlich Python, PHP, Go, Node.js usw.) sowie beliebte Webserver und Datenbanken integriert. Für unsere Anforderungen an Penetrationstests müssen wir verschiedene Szenarien berücksichtigen. Der Kernvorteil von ServBay liegt im Ein-Klick-Wechsel zwischen verschiedenen Softwareversionen, sodass du schnell verschiedene Zielumgebungen mit bekannten Schwachstellen simulieren kannst.

ServBay Installation

Zuerst installieren wir ServBay. Offizieller Download-Link: https://www.servbay.com/download

Gehe zur Initialisierungs-Oberfläche von ServBay und wähle die Webserver, Sprachen und Datenbanken aus, die du installieren möchtest.

Warte, bis die Installation abgeschlossen ist. ServBay wird automatisch gestartet.

Der folgende Bildschirm zeigt an, dass die Installation abgeschlossen ist.

Lade die MySQL-Datenbank herunter und starte sie.

Starte dann den benötigten Webserver. Ich habe hier Nginx gewählt.

Sobald die Umgebung bereit ist, müssen wir die Übungsanwendung installieren. Hier empfehle ich DVWA.

DVWA

DVWA Einführung

DVWA (Damn Vulnerable Web Application) ist, einfach gesagt, eine Website, die absichtlich mit Schwachstellen gefüllt ist ("damn vulnerable") und speziell zum Üben dient. Sie enthält absichtlich eine Reihe gängiger Web-Schwachstellen wie SQL-Injection, XSS (Cross-Site Scripting), Schwachstellen beim Datei-Upload usw., was sie perfekt für Lernende im Bereich Cybersicherheit zum Üben macht.

DVWA umfasst 10 Angriffsmodule.

Zusätzlich ermöglicht DVWA die manuelle Anpassung des Sicherheitslevels des Quellcodes: Niedrig, Mittel, Hoch und Unmöglich. Je höher das Level, desto strenger die Sicherheitsmaßnahmen und desto größer die Schwierigkeit der Penetration. Egal, ob du Anfänger oder Experte bist, DVWA kann deine Übungsanforderungen erfüllen!

DVWA Installation

DVWA Download-Link: https://github.com/digininja/DVWA

Nach dem Herunterladen und Entpacken verschiebe die Dateien in das Verzeichnis /Applications/ServBay/www/. (Hinweis: Dieser Pfad ist macOS-spezifisch. Passe ihn an, wenn du ein anderes Betriebssystem verwendest, normalerweise in den von ServBay festgelegten Web-Root-Ordner.)

Benenne dann die Datei config.inc.php.dist in config.inc.php um. Du musst nur den Datenbank-Benutzernamen und das Passwort ändern; andere Konfigurationen können unverändert bleiben.

Freundlicher Hinweis: Du musst hier die MySQL-Zugangsdaten (Benutzername und Passwort) eingeben. Die Standardwerte findest du normalerweise im ServBay-Panel, es sei denn, du hast sie während der Einrichtung oder danach geändert. Wenn du den MySQL-Benutzernamen oder das Passwort geändert hast, verwende hier deine benutzerdefinierten Zugangsdaten.

Datenbank und Website konfigurieren

Gehe in deinem Browser zu https://servbay.host/ (oder dem in ServBay konfigurierten Host), um die Instanz-Website zu öffnen. Klicke auf phpMyAdmin, um zur Anmeldeseite zu gelangen.

Gib den MySQL-Benutzernamen und das Passwort ein (im ServBay-Panel zu finden oder von dir festgelegt), greife auf die Datenbankverwaltungsseite zu und erstelle eine neue Datenbank.

Gib den Namen für die neue Datenbank ein (normalerweise 'dvwa', wie in der DVWA-Konfigurationsdatei angegeben) und klicke auf 'Erstellen'.

Öffne nun ServBay und erstelle eine neue Seite (Site), deren Stammverzeichnis auf den zuvor platzierten DVWA-Ordner zeigt (z. B. /Applications/ServBay/www/DVWA). Weise ihm einen Domainnamen zu (z. B. dvwa.test).

Gib in deinem Browser den Domainnamen ein, den du gerade für die Seite konfiguriert hast. Du solltest erfolgreich die Setup-/Anmeldeseite von DVWA erreichen. Wenn es die Setup-Seite ist, klicke zuerst auf die Schaltfläche "Create / Reset Database".

Gib den Standard-Benutzernamen admin und das Passwort password ein, um dich auf der Übungsseite für Penetrationstests anzumelden.

Okay, die DVWA-Einrichtung ist abgeschlossen! Herzlichen Glückwunsch!!!

Klicke auf die Schaltfläche 'DVWA Security' im linken Menü. Auf dieser Seite kannst du den Sicherheitslevel für die DVWA-Übungsumgebung festlegen (Niedrig, Mittel, Hoch, Unmöglich). Wähle das gewünschte Level entsprechend deinen Bedürfnissen und beginne deine Übung im Penetrationstest.

Durch die Kombination von ServBay und DVWA kannst du schnell eine Übungsumgebung für Cybersicherheit erstellen. Deine Reise vom Anfänger zum Cybersicherheitsprofi ist auf gutem Wege!