Dieser Blog-Artikel ist Teil der Artikelserie „Netzsicherheit“, in der ich einen Einblick in mein Hochschul-Modul „Netzsicherheit I – IT-Sicherheit von Netzwerken“ gebe, das ich im Rahmen des Zertifikatsprogramms an der Hochschule Albstadt-Sigmaringen in der Weiterbildung als Dozent halte. Es richtet sich an Teilnehmende, die sich im Bereich Netzsicherheit weiterbilden möchten und ein einzelnes Modul belegen. In den vorherigen Artikeln habe ich das Modul und die einzelnen Studienbriefe und die dazugehörigen Übungsaufgaben beschrieben. In diesem Artikel geht es nun um die virtuelle Laborumgebung, mit welcher die Teilnehmenden die Übungsaufgaben bearbeiten.
Konzept
Die Teilnehmenden eines Moduls im Rahmen des Zertifikatsprogramms kommen aus ganz Deutschland und benötigen daher einen flexiblen Zugriff auf die Laborumgebung. Grundsätzlich stehen dafür zwei Möglichkeiten zur Verfügung: entweder werden diese auf einem zentralen Server betrieben und die Teilnehmenden greifen mit einer Remote-Verbindung (z. B. RDP oder VNC) darauf zu oder nutzen eine virtualisierte Umgebung, die die Teilnehmenden selbst auf ihren Systemen einsetzen. Beide Varianten habe Vor- und Nachteile.
Bei der ersten Variante wird als Hauptbaustein ein zentraler Server benötigt, entweder lokal oder in der Cloud. Darauf greifen die Teilnehmenden per Remote-Verbindung zu. Hier bietet sich zum Beispiel RDP an, da auf Windows-Systemen die benötige Software bereits vorinstalliert ist und andere Betriebssysteme verschiedene Lösungen bereitstellen. Der Vorteil ist hier der einfache Zugriff für die Teilnehmenden, da keine Einrichtung notwendig ist. Allerdings wird eine durchgängige Internetverbindung benötigt, wodurch das Arbeiten im Zug etwa unmöglich ist. Auch darf hier die Verbindung natürlich nicht blockiert werden. Hier gab es in der Vergangenheit immer wieder Probleme, da der Zugang aus Unternehmensnetzwerken heraus blockiert wurde. Gleichzeitig müssen für alle Teilnehmenden Varianten vorgehalten werden, was entsprechende Ressourcen benötigt.
Mit der zweiten Variante werden virtualisierte Maschinen erstellt, die die Teilnehmenden herunterladen. Dabei können Bündel aus mehreren Systemen erstellt werden, die ein vorkonfiguriertes Netzwerk verwenden. Der Vorteil ist hier, dass unabhängig von einer Internetverbindung gearbeitet werden kann und selbst komplette Konfigurationen vorgenommen werden können. Der Nachteil ist, dass die Teilnehmenden die virtuellen Maschinen herunterladen und auf ihrem Rechner die lokalen Ressourcen zur Verfügung stellen müssen.
Umsetzung
Für mein Modul „Netzsicherheit I“ habe ich mich für die Variante der lokal virtualisierten Laborumgebung entschieden. Da auch Notebooks in den letzten Jahren immer leistungsfähiger wurden und mittlerweile sogar Einsteigergeräte auch vier CPU-Kerne aufweisen, spielen die lokalen Ressourcen eigentlich keine Rolle mehr. Und die Teilnehmenden können selbstständig die Einstellungen der virtuellen Maschinen verändern, wodurch mehr Flexibilität erreicht werden kann.
Als Grundlage verwende ich die Virtualisierungssoftware VirtualBox. Der Download erfolgt als vorkonfiguriertes Bündel aus vier Maschinen und kann direkt importiert werden. Dabei muss nur eine einzige Einstellung angepasst werden, die sich leider nicht fest einstellen lässt, sodass beim Import die MAC-Adresse übernommen werden muss. Die Systeme habe ich so optimiert, dass möglichst wenig CPU- und RAM-Ressourcen benötigt werden und sich auch der Speicherplatzverbrauch in Grenzen hält.
Die Systeme
Im Rahmen der Übungsaufgaben gibt es verschiedene Szenarien, die die Teilnehmenden bearbeiten müssen. Um diese möglichst realitätsnah abzubilden, verwende ich vier verschiedene Systeme.
Das Herzstück bildet der Router, mit dem das virtualisierte Netzwerk zwischen den anderen Systemen gesteuert wird. Als System setze ich OpenWRT ein, wodurch nur wenige Ressourcen benötigt werden und gleichzeitig eine große Flexibilität zur Verfügung steht.
Als Server wird eine Debian-Installation verwendet. Hier ist keine grafische Oberfläche vorhanden, stattdessen sind verschiedene Dienste installiert und vorkonfiguriert. Ferner habe ich verschiedene Automatismen angelegt, damit diese Aktionen auch analysiert werden können.
Für den Client wird ebenfalls ein Debian-System verwendet, das als grafische Oberfläche Xfce verwendet. Auch sind verschiedene Anwendungen wie der WireGuard VPN-Client vorinstalliert und bereits konfiguriert.
Das letzte System ist ein Kali Linux. Dabei handelt es sich um eine spezielle Linux-Distribution, die für Pentests optimiert wurde. Hier sind bereits einschlägige Tools vorinstalliert und viele weitere Tools lassen sich einfach nachinstallieren. Damit führen die Teilnehmenden Angriffe in der virtualisierten Laborumgebung durch.
Artikelserie Netzsicherheit
Dieser Beitrag ist Teil der Artikelserie „Netzsicherheit“, in der ich einen Einblick in mein Zertifikatsmodul „Netzsicherheit I – IT-Sicherheit von Netzwerken“ in der Weiterbildung gebe, das ich im Rahmen des Zertifikatsprogramms als Dozent halte. Die Artikelserie umfasst die folgenden Beiträge:
- Das Zertifikatsmodul Netzsicherheit I
- Didaktisches Modell der Weiterbildung
- Studienbrief 1: Netzwerktechnik und IT-Sicherheit
- Studienbrief 2: Angriffs- und Sicherheitskonzepte
- Studienbrief 3: Identitäts- und Zugriffsmanagement
- Studienbrief 4: Angriffe auf Netzwerkprotokolle
- Studienbrief 5: Sicherheit von virtuellen Netzwerken
- Die virtuelle Laborumgebung des Moduls
- Praxisveranstaltung in der Weiterbildung