Kali Linux Review & Alternativen
Der Linux Der Erwerb und die Nutzung des Betriebssystems ist kostenlos. Es ist in vielen verschiedenen Versionen namens „Distributionen“ verfügbar und Kali Linux ist eine davon. Kali Linux verfügt über eine grafische Benutzeroberfläche zum Hosten von Point-and-Click-Softwarepaketen und bietet ein Windows-ähnliches Erlebnis.
Diese Distribution ist einzigartig, weil sie nicht nur eine bietet Betriebssystem . Viele Betriebssysteme verfügen über integrierte Dienstprogramme und werden kostenlos geliefert. Ein Beispiel für dieses Phänomen ist die Windows Defender-Firewall, eine praktische Funktion, die traditionell nicht als regulärer Bestandteil eines Betriebssystems angesehen wird. Darüber hinaus enthält Kali Linux ein Paket von Penetrationstest-Tools .
Es gibt ungefähr 300 Werkzeuge zusätzlich zu den Dienstprogrammen, die normalerweise in jeder Linux-Distribution zu finden sind, in Kali Linux enthalten. Obwohl es so viele Tools gibt, bieten nicht alle unterschiedliche Funktionen. Beispielsweise konkurrieren in der Welt der Penetrationstest-Tools mehrere in Kali Linux enthaltene Systeme miteinander. Also, es gibt sie Gruppen von Werkzeugen, wobei alle Mitglieder jeder Gruppe sehr ähnliche Funktionen bieten.
Es ist unwahrscheinlich, dass jemals jemand alle 300 Tools nutzen wird. Dies liegt daran, dass es unmöglich wäre, sich mit so vielen Werkzeugen vertraut zu machen und praktische Kenntnisse darüber zu erwerben. Alle im Kali-Bundle enthaltenen Tools sind vorhanden unabhängig verfügbar . Einige Tools sind in kostenlosen und kostenpflichtigen Versionen von ihrer Quelle verfügbar, andere hingegen schon einfach frei . In allen Fällen ist die kostenlose Versionen sind im Kali-Paket enthalten – Sie erhalten keine Werkzeuge kostenlos, die normalerweise von ihren Originallieferanten für einen Preis angeboten werden.
Über Kali Linux
Kali Linux wurde erstmals am 13. März 2013 veröffentlicht. Die Entstehungsgeschichte von Kali ist kompliziert. Es stammt aus dem Jahr 2006, als Das Wasser Aarons hat ein Paket mit dem Namen erstellt BackTrack . Hierbei handelte es sich um ein Paket von Penetrationstest-Tools, das in einer Linux-Version mit dem Namen „ Whoppix , die auf einer Distribution namens basierte Knoppix , was wiederum eine Ableitung von war Debian .
Knoppix und Whoppix führten das Betriebssystem von einer CD-ROM aus. Aharoni änderte diese Linux-Implementierung später in ein System namens WHAX , die darauf basierte Slax , ein weiteres CDROM-basiertes System, das eine Version von Debian war.
Das Tools-Paket hieß Auditor-Sicherheitssammlung . Dabei handelte es sich um ein Paket von 300 kostenlosen Tools, die Max Moser ausgewählt hatte. Obwohl in vielen Beschreibungen von Kali Linux angegeben ist, dass das Paket jetzt Folgendes enthält 600 Werkzeuge , die Kali-Linux-Site listet nur 300 auf.
Ungefähr zu der Zeit, als Aharoni BackTrack gründete, gründete er eine Cybersicherheitsberatung namens Offensive Sicherheit . Dieses Unternehmen wurde registriert als Offensive Security LLC im Jahr 2008. Das Unternehmen übernahm die Verantwortung für die Verwaltung von BackTrack. Das Unternehmen änderte seinen Namen in Offensive Security Services, LLC im Jahr 2012. Das Unternehmen bietet Penetrationstests, Sicherheitsberatung und Schulungen für Penetrationstester an.
Offensive Security betreibt sein Zertifizierungsprogramm namens Zertifizierter Experte für Offensivsicherheit (OSCP). Leider ist dies eine der schwierigsten Akkreditierungen, da der Teilnehmer eine Prüfung bestehen muss, die eine reale Hacking-Herausforderung beinhaltet und in ein von Offensive Security verwaltetes Testsystem eindringen muss.
Mati Aharoni leitete ein Offensive-Security-Team in einem Neuentwicklungsprojekt für BackTrack. Dies führte zur Entstehung von Kali Linux . Seit seiner Einführung im Jahr 2013 wurde Kali in den Jahren 2019 und 2020 mit neuen Versionen aktualisiert. Die Originalversion ist Mal 1.0.0 Moto ; die zweite Version ist Zeiten 2019.4 ; Die neueste Version ist Zeiten 2020.3 .
Was macht Kali?
Kali Linux ist ein Betriebssystem, genau wie Debian. Es hat sein Logo und einen Slogan:
„Je leiser du wirst, desto mehr kannst du hören.“
Benutzer von Kali Linux müssen nicht im Bereich Cybersicherheit tätig sein. Es ist möglich, das Betriebssystem einfach über seine grafische Benutzeroberfläche oder die Befehlszeile zu verwenden.
Kali Linux-Tools
Es gibt zwei Auflistungen der in Kali Linux enthaltenen Tools auf der Website des Kali-Projekts . Das erste ist eine Zusammenfassung jedes Tools , wobei die Liste der Werkzeuge nach Typ gruppiert ist. Das zweite ist eine Liste von Werkzeugen , alphabetisch geordnet. In jeder Liste ist der Name des Tools ein Link zu einer Beschreibungsseite. Somit stellen die beiden Systeme dieselben Informationen dar, jedoch in einem unterschiedlichen Format.
Aus Platzgründen können hier in diesem Testbericht nicht alle Tools beschrieben werden. Weitere Informationen zu Kali Linux und seinem Toolspaket finden Sie jedoch im Kali Linux Spickzettel .
Hier sind einige der wichtigsten Tools im Paket:
1. Metasploit-Framework
Metasploit ist als kostenpflichtiges Produkt erhältlich, genannt Metasploit Pro, und ein freies System namens Metasploit-Framework . Die Funktionen von Metasploit Pro, die in der kostenlosen Version nicht verfügbar sind, sind auf das automatische Scannen von Schwachstellen ausgerichtet. Metasploit ist ein Open-Source-Projekt, wird aber von gesponsert Rapid7 , das die zusätzlichen Funktionen in Metasploit Pro bereitstellt.
Metasploit Framework bietet Ihnen Penetrationstools zur Ausführung Informationsbeschaffung Und Anschläge dass du in der startest Metasploit-Konsole , ein angepasstes Befehlszeilenfenster.
2. Rülpsen-Suite
Der Rülpsen-Suite Die in Kali Linux enthaltene Version ist die Gemeinschaftsausgabe . Hier werden alle wichtigen Befehle angezeigt, die in der kostenpflichtigen Vollversion Professional verfügbar sind, aber sie funktionieren nicht. Die Tools, die Ihnen noch zur Verfügung stehen, sind jedoch immer noch sehr nützlich. Burp Suite funktioniert, indem es Datenverkehr abfängt, analysiert, generiert und einfügt. Dieses Tool ist auch eine gute Wahl für rohe Gewalt Zeugnisse erraten.
Burp Suite bietet sowohl eine grafische Benutzeroberfläche als auch eine Befehlszeilenschnittstelle. Weitere Informationen zur Burp Suite finden Sie im Spickzettel für die Burp Suite .
3. Wireshark
Wireshark ist ein Paket-Sniffer, der bereits zum Werkzeugkasten jedes Netzwerkadministrators gehört und von Hackern häufig verwendet wird. Dieser Verkehrsabfangjäger kann betrieben werden drahtlose Systeme sowie LANs . Daher ist Wireshark ein hervorragendes Werkzeug für die Durchführung von Forschungsarbeiten, und seine Ergebnisse können zur Analyse in andere Dienstprogramme exportiert werden.
Der frei Der Wireshark-Dienst in Kali Linux bietet sowohl eine GUI als auch eine Befehlszeilenschnittstelle.
4. OWASP ZAP
Der Öffnen Sie das Web Application Security-Projekt ist ein gemeinnütziges Forschungsinstitut für Schwachstellen in Webanwendungen. Seine OWASP Top 10 sind der Branchenprüfstein für Hackerstrategien. Darüber hinaus erstellt die Organisation die Zed-Angriffs-Proxy , das ist das OWASP ZAP das ist in Kali Linux enthalten.
Der Zugriff auf den ZAP-Dienst erfolgt über ein eigenes GUI-Fenster und er bietet einen Traffic-Interceptor, einen Webcrawler und einen URL-Fuzzer. Im Paket ist auch eine Schwachstellen-Scanner-Funktion enthalten automatisieren Forschung.
5. Nmap
Nmap ist der Netzwerk-Mapper, und es bietet eine hervorragende Recherchemöglichkeit für Hacker und Penetrationstester, die in ein Netzwerk eingebrochen sind und alle angeschlossenen Geräte sehen müssen. Dabei handelt es sich um ein Befehlszeilentool, über dessen Funktionen leichter zugegriffen werden kann Zenmap , sein GUI-Begleiter, der auch in Kali Linux enthalten ist. Das Nmap-System funktioniert weiter Untersuchen von Paket-Headern, Daher bietet es auch einen Paketerfassungsdienst.
6. Ettercap
Ettercap ist ein kostenloses Paketerfassungstool, das Dienstprogramme zur Erleichterung eines enthält Man-in-the-Middle-Angriff, und es kann auch verwendet werden für Deep Packet Inspection . Dies ist ein Befehlszeilendienstprogramm. Dafür steht eine GUI-Schnittstelle zur Verfügung, die jedoch kaum mehr als ein angepasstes Befehlszeilen-Zugriffsfenster ist. Der Ettercap-Dienst funktioniert durch ARP-Poisoning, um allen Endpunkten vorzutäuschen, dass der Ettercap-Host ein Gateway zum Internet sei. Mehr über Ettercap erfahren Sie in unserem Ettercap-Spickzettel .
7. SQLmap
SQLmap ist ein leistungsstarkes Hacker-Tool, das das entdeckt und manipuliert Datenbanken die Websites bedienen. Es gibt Ihnen einen Überblick über die Datenbankinstanzen und hilft Ihnen dann dabei, in diese einzudringen. Angriffe können durchgeführt werden, ohne Spuren zu hinterlassen oder Werte in Zieldatenbanken zu verändern.
Dies ist ein Befehlszeilendienstprogramm mit nur einem Befehl, aber dank einer umfangreichen Liste von Schaltern und Optionen tausende Verwendungsmöglichkeiten. Erfahren Sie mehr über sqlmap im sqlmap-Spickzettel .
8. Maltesisch
Maltego ist ein flexibles Tool, das vielseitig einsetzbar ist. Es verknüpft die Forschung miteinander Karten erstellen von Beziehungen zwischen Dateninstanzen. Ein hervorragendes Beispiel dafür, wie Maltego die Forschung unterstützen kann, ist die Abbildung der Verbindungen zwischen vielen Benutzern auf einem Social-Media-Plattform . Das System kann auch verwendet werden, um Netzwerke abzubilden und Softwareabhängigkeiten zu erkennen.
Systemanforderungen für Kali Linux
Kali Linux wird auf einem Bare-Metal-Computer installiert – einem Computer, der noch nicht über ein Betriebssystem verfügt. Der Computer benötigt mindestens folgende Hardware:
- 20 GB Festplatte (50 GB empfohlen)
- 2 GB RAM
- Ein bootfähiges CD-DVD-Laufwerk oder ein USB-Stick
- Ein Intel Core i3 oder ein AMD E1 Prozessor
Kali Linux installieren
Die Software für die Kali-Linux-Installation ist unter erhältlich Website des Kali-Projekts . Finden Sie die Kali Linux-Downloadseite um das Installationsprogramm zu finden.
Neben der Installation des Systems auf einem Bare-Metal-Computer stehen sieben weitere Konfigurationen zur Verfügung. Dazu gehört die Möglichkeit, Kali Linux auf einer VM oder einem Android-Gerät zu installieren. Es ist auch möglich, Kali Linux auf Containern auszuführen. Auf der Kali-Projektseite ist eine Installationsanleitung verfügbar, in der die Installationsschritte für jede Option erläutert werden.
Vor- und Nachteile von Kali Linux
Kali Linux genießt hohes Ansehen und wird von vielen Penetrationstests eingesetzt. Obwohl es gelobt wird, ist es nicht perfekt. Hier ist unsere Bewertung des Pakets:
Vorteile:
- Viele Bereitstellungsoptionen, einschließlich Operationen über VMs und Container
- Eine umfangreiche Bibliothek nützlicher Tools
- Völlig kostenlose Nutzung
- Eine Desktop-Umgebung im Windows-Stil
- Eine große Benutzergemeinschaft im Bereich Cybersicherheit
Nachteile:
- Viele der Tools sind veraltet
- Die in Kali enthaltenen kostenlosen Tools sind oft nur ein Anreiz für die kostenpflichtigen Versionen
- Ein Kali Windows wäre schön
Alternativen zu Kali Linux
Kali Linux ist insofern einzigartig, als es ein Betriebssystem und Penetrationstools kombiniert. Nirgendwo sonst erhalten Sie ein so hervorragendes Paket kostenlos. Die offensichtliche Alternative zu Kali Linux ist Debian Linux . Wenn Sie den Overhead von 300 Tools nicht nutzen möchten, werden Sie diese nie verwenden. Installieren Sie einfach Debian kostenlos, sehen Sie sich die Liste der Kali Linux-Tools an, wählen Sie die wenigen aus, die Sie benötigen, und installieren Sie diese.
Hier ist unsere Liste der fünf besten Alternativen zu Kali Linux:
- Invincible (Zugang zur kostenlosen Demo)Das ist ein Schwachstellenscanner das auch von Penetrationstestern als Recherchetool genutzt werden kann. Hierbei handelt es sich um einen Webanwendungsscanner, der nach Exploits in Webseiten sucht, indem er einen Scanner über einen Browser ausführt. Es ist möglich, das Tool einen kompletten Scan durchführen zu lassen oder seine Funktionen auf eine Schwachstelle zu beschränken und es immer wieder mit unterschiedlichen Betriebswerten auszuführen, um eine bestimmte Schwachstelle zu testen. Das ist ein SaaS-Plattform, Sie können die Software aber auch zur Installation herunterladen Windows Server . Greifen Sie zur Bewertung auf ein Demosystem zu.
- Acunetix (Zugang zur kostenlosen Demo)Dieses System ist in drei Editionen erhältlich und die niedrigste bietet ein Paket mit Forschungstools für Penetrationstests. Dieses System sucht sowohl von außen als auch innerhalb des Netzwerks nach Schwachstellen. Zu den Bereitstellungsoptionen gehören a cloudbasiert gehosteter Dienst oder ein Softwarepaket für Windows , Mac OS , oder Linux-Installation . Greifen Sie für eine Bewertung auf ein Demosystem zu.
- Bugcrowd-Asset-Inventar Dieses Penetrationstestsystem untersucht alle unterstützende Dienstleistungen in die Software integriert, die Unternehmen nutzen. Obwohl ein Systemadministrator möglicherweise einen Blick auf die Sicherheit der Software wirft, die das Unternehmen erwirbt, denken nur wenige daran, einen Blick auf die zugrunde liegenden Dienste zu werfen, auf denen diese Pakete basieren. Käfermenge kriecht durch Anwendungsabhängigkeiten, um zugrunde liegende Schwachstellen zu identifizieren. Du kannst Eine Demo anfordern des Dienstes.
- CrowdStrike-Penetrationstestdienste Bei diesem Beratungsdienst handelt es sich nicht um ein Tool, sondern um ein Team von Penetrationstests. Es ist effektiver, ein Team zu engagieren, das Ihre Sicherheitstests für Sie durchführt, als einige Ihrer IT-Mitarbeiter mit Tools auszustatten, die nicht explizit in White-Hat-Hacking geschult sind.
- Indusface-Penetrationstestdienste Eine Alternative zum Team von CrowdStrike, dem Indusface White-Hat-Hacker können beauftragt werden, den Schutz Ihres Systems vor Angriffen zu testen. Beobachten Sie, wie der Angriff voranschreitet, und prüfen Sie, ob Ihr Sicherheitsdienst die Aktionen des Hackers erkennt. Sie können auch APIs und mobile Apps testen.