Penetration Testing -harjoitusympäristön toteutus vapailla ohjelmilla : Kali Linuxiin sisältyvällä Metasploitilla tunkeutuminen Metasploitable 2 -koneeseen Vagrant-virtuaaliympäristössä
Jääskeläinen, Toni (2017)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2017120519944
https://urn.fi/URN:NBN:fi:amk-2017120519944
Tiivistelmä
Nykyaikaisista järjestelmistä on tullut niin monimutkaisia, että kaikkia mahdollisia haavoittuvuuksia voi olla vaikea löytää. Monimutkaisuus käy ilmi jo pelkästään tarjolla olevista erityyppisistä puolustusmekanismeista. Vaikka niiden tarkoitus on puolustaa järjestelmäympäristöä ja turvata tärkeät tiedot, voi määrittelyihin tulla virheitä. Näin ympäristöön voi jäädä haavoittuvuuksia monista turvatoimenpiteistä huolimatta. Tunkeutumistestaajat toimivat laillisesti hyökkääjän roolissa selvittämällä olemassa olevia haavoittuvuuksia ja yrittämällä tunkeutua niihin. He raportoivat löydöksensä ja antavat suosituksia haavoittuvuuksien paikkaamista varten. Olisi tärkeää olla olemassa ympäristö, jossa voi harjoitella tunkeutumistestausta turvallisesti.
Aluksi teoriaosiossa käytiin läpi, mitä Penetration Testing eli tunkeutumistestaus on ja mitä siihen kuuluvat seitsemän vaihetta pitävät sisällään. Ympäristön toteutusta varten kerrottiin ensin vapaista ohjelmista ja virtualisoinnista. Tämän jälkeen tarkasteltiin ympäristön toteutukseen soveltuvia työkaluja. Seuraavaksi tarkasteltiin, minkälaisilla työkaluilla tunkeutuminen kannattaa toteuttaa. Teoriaosion lopussa tarkasteltiin, minkälaiseen kohteeseen harjoitusympäristössä kannattaa tunkeutua.
Työn tehtävänä oli selvittää, kuinka Penetration Testing -harjoitusympäristö toteutetaan vapailla ohjelmilla. Tavoitteena oli saada aikaan ympäristö, jossa voi turvallisesti harjoitella tunkeutumistestausta. Ympäristön piti myös olla helposti saatavilla ja hyödynnettävissä. Työn kohderyhmänä olivat Penetration Testing -aloittelijat, jotka hallitsevat Linuxin ja komentorivin käytön. Työ rajattiin käsittämään vapaat ohjelmat. Työhön valittiin virtuaaliympäristön mahdollistavaksi kokonaisuudeksi Vagrant, joka käyttää VirtualBoxia providerina. Tunkeutumistyökaluksi valittiin Kali Linuxiin normaalisti sisältyvä Metasploit Framework ja kohteeksi tarkoituksella haavoittuvaksi tehty Metasploitable 2.
Työ oli toiminallinen opinnäytetyö ja siihen liittyvät tiedostot tuotettiin GitHubiin, opinnäytetyön raportti mukaan lukien. Virtuaalikoneiden boxit tuotettiin Vagrant Cloudiin osoitteeseen https://app.vagrantup.com/tonijaaskelainen/. Työssä pystytettiin kannettavaan tietokoneeseen virtuaalinen ympäristö ja testattiin sen toiminta.
Työ tehtiin aikavälillä joulukuu 2015 – marraskuu 2017. Suurin osa työn alkuosasta tehtiin syksyllä 2016 ja työn loppuosasta syksyllä 2017.
Projektin tuloksena syntyi tunkeutumistestaukseen sopiva virtualisoitu harjoitusympäristö, johon liittyvän Vagrantfilen voi ladata GitHubista osoitteesta https://github.com/tonijaaskelainen/beginnerpentest/ tai kopioida työn liiteosiosta. Vagrant haki työssä luodut base boxit onnistuneesti Vagrant Cloudista ja toteutettuun järjestelmään tunkeutuminen onnistui.
Aluksi teoriaosiossa käytiin läpi, mitä Penetration Testing eli tunkeutumistestaus on ja mitä siihen kuuluvat seitsemän vaihetta pitävät sisällään. Ympäristön toteutusta varten kerrottiin ensin vapaista ohjelmista ja virtualisoinnista. Tämän jälkeen tarkasteltiin ympäristön toteutukseen soveltuvia työkaluja. Seuraavaksi tarkasteltiin, minkälaisilla työkaluilla tunkeutuminen kannattaa toteuttaa. Teoriaosion lopussa tarkasteltiin, minkälaiseen kohteeseen harjoitusympäristössä kannattaa tunkeutua.
Työn tehtävänä oli selvittää, kuinka Penetration Testing -harjoitusympäristö toteutetaan vapailla ohjelmilla. Tavoitteena oli saada aikaan ympäristö, jossa voi turvallisesti harjoitella tunkeutumistestausta. Ympäristön piti myös olla helposti saatavilla ja hyödynnettävissä. Työn kohderyhmänä olivat Penetration Testing -aloittelijat, jotka hallitsevat Linuxin ja komentorivin käytön. Työ rajattiin käsittämään vapaat ohjelmat. Työhön valittiin virtuaaliympäristön mahdollistavaksi kokonaisuudeksi Vagrant, joka käyttää VirtualBoxia providerina. Tunkeutumistyökaluksi valittiin Kali Linuxiin normaalisti sisältyvä Metasploit Framework ja kohteeksi tarkoituksella haavoittuvaksi tehty Metasploitable 2.
Työ oli toiminallinen opinnäytetyö ja siihen liittyvät tiedostot tuotettiin GitHubiin, opinnäytetyön raportti mukaan lukien. Virtuaalikoneiden boxit tuotettiin Vagrant Cloudiin osoitteeseen https://app.vagrantup.com/tonijaaskelainen/. Työssä pystytettiin kannettavaan tietokoneeseen virtuaalinen ympäristö ja testattiin sen toiminta.
Työ tehtiin aikavälillä joulukuu 2015 – marraskuu 2017. Suurin osa työn alkuosasta tehtiin syksyllä 2016 ja työn loppuosasta syksyllä 2017.
Projektin tuloksena syntyi tunkeutumistestaukseen sopiva virtualisoitu harjoitusympäristö, johon liittyvän Vagrantfilen voi ladata GitHubista osoitteesta https://github.com/tonijaaskelainen/beginnerpentest/ tai kopioida työn liiteosiosta. Vagrant haki työssä luodut base boxit onnistuneesti Vagrant Cloudista ja toteutettuun järjestelmään tunkeutuminen onnistui.