Hacktor
Last updated
Last updated
Der Hacktor ist eine Softwarekomponente, die in einem spezifischen Netzwerksegment installiert werden kann, um Penetrationstests auf den erreichbaren Assets durchzuführen.
Halten Sie die Softwarekomponente Hacktor stets aktuell und führen regelmäßig Updates durch.
Falls Sie einen Hacktor-Container hinzufügen möchten, ist es erforderlich, dass Sie sich auf jeder Maschine via docker loginregistry.enginsight.com anmelden.
Was bedeutet, dass die Zugangsdaten auf mehreren Maschinen eingetragen und gesichert werden müssen. Bei einer Passwort-Rotation müssen diese Zugangsdaten entsprechend überall aktualisiert werden!
Weitere Informationen zur sicheren Speicherung der Zugangsdaten finden Sie hier.
Um einen Hacktor hinzuzufügen reicht es auf den Button Hacktor hinzufügen zu drücken und den Quellcode mit Rootrechten auf einem linuxbetriebenen Server oder Computer auszuführen.
Der Host, auf welchem der Hacktor installiert ist, muss mit den Zielsystemen kommunizieren können. Überprüfen Sie ggf. Ihre Firewall-Einstellungen und setzen Sie Hacktor auf eine IDS-Whitelist.
Klicken Sie den gewünschten Hacktor in der Liste an, um ihn entsprechend Ihrer Anforderungen zu konfigurieren.
Standardmäßig werden zwei Zielsysteme parallel bearbeitet. Hat ihr System, auf dem Hacktor installiert ist, ausreichend Ressourcen, können Sie den Defaultwert jedoch hochsetzen. Das empfiehlt sich insbesondere, wenn Sie große IT-Infrastrukturen einem Pentest unterziehen möchten. So reduzieren Sie die Dauer des Pentests.
Mit dem Timeout-Wert definieren Sie, wann ein Pentest auf ein einzelnes Zielsystem abgebrochen werden soll. Dazu legen Sie die Minuten fest, die der Scan pro Zielsystems in Anspruch nehmen darf. Die bis zum Abbruch gesammelten Ergebnisse können Sie dennoch im Audit Report einsehen, das Zielsystem erhält den Status timeout.
Hohe Timeout-Vorgaben führen potenziell dazu, dass Pentests länger dauern können. Sie stellen jedoch sicher, dass keine Ergebnisse verloren gehen. Die standardmäßig vorgegebenen 180 Minuten sind ein Kompromiss, den Sie gemäß Ihren Bedürfnissen variieren können.
Sie können die Frequenz festlegen, mit welcher der Penetrationstest durchgeführt wird. Richten Sie sich dabei nach den Ressourcen, die vorhanden sind. Eine höhere Frequenz bedeutet kürzere Timeouts und mehr Requests. Dadurch verkürzt sich die Zeit, die der Pentest in Anspruch nimmt, deutlich. Sollte jedoch eine zu hohe Frequenz gewählt werden, welche die getesteten Systeme überlastet, können Ergebnisse verloren gehen.
Im Details bedeuten die Frequenzeinstellungen:
| LOW | MEDIUM | HIGH | |
|---|---|---|---|
Minimale Paketumlaufzeit (RTT) | 100ms | 100ms | 50ms |
Maximale Paketumlaufzeit (RTT) | 10s | 1,250ms | 300ms |
Maximale Verbindungsversuche | 10ms | 6ms | 2ms |
Maximale TCP Scan Verzögerung | 1s | 10ms | 5ms |
Maximale UDP Scan Verzögerung | 1s | 1s | 1s |
Zeitüberschreitung pro Ziel (Portscan) | --- | --- | 15min |
Legen Sie manuell die Port Range fest, die bei den attackierten Assets angesteuert werden soll. In der Standardeinstellungen werden die 3500 meist verwendeten Ports gescannt und getestet. Abweichend können Sie einzelne Ports als Reihe angeben oder eine Sequenz. Alternativ können Sie beide Varianten auch kombinieren oder eine andere Anzahl an häufig verwendeten Ports definieren.
Richten Sie sich dabei nach der folgenden Syntax:
SYNTAX | BEISPIEL | BESCHREIBUNG |
TOP_PORTS:[number] | TOP_PORTS:3500 | Steuere eine bestimmte Anzahl von häufig verwendeten Ports an. |
[number],[number],[number],[number] | 21,22,80,443 | Gib in einer Reihe deine manuell festgelegten Ports an. |
[number]-[number] | 1-65535 | Gib in einer Sequenz deine manuell festgelegten Ports an. |
[number],[number]-[number] | 21-22,80-433 | Kombiniere Reihe und Sequenz. |
Der Enginsight Hacktor wird von uns laufend aktualisiert. Damit alle (neuen) Funktionen wie gewünscht funktionieren, ist es nötig, dass Sie den Hacktor stets auf dem aktuellen Stand halten.
Gehen Sie auf Penetrationstests → Hacktors und prüfen Sie, ob alle Versionsnummern aktuell sind. Es wird Ihnen eine Warnung ausgegeben, sollte eine veraltete Version installiert sein.
Wenn ein Hacktor nicht über die aktuelle Versionsnummer verfügt, klicken Sie in der rechten Spalte unter Aktionen auf den Update-Button.
Die aktuelle Versionsnummer finden Sie stets hier.
Um aktuelle Logs der Softwarekomponente Hacktor abzurufen haben Sie die folgende Möglichkeit:
Haben Sie Zugriff auf den Hacktor-Server können Sie die aktuellen Logs auch selbst auslesen. Am besten speichern Sie sich die Logs selbst in eine .txt-Datei ab.
Nutzen Sie dazu die unten stehenden Befehle. Passen Sie zuvor den Dateinamen an.
Debian:
CentOS:
Wie weit die Logs in die Vergangenheit zurückreichen hängt von der Konfiguration und der Auslastung des Servers ab.
