Im diesjährigen Weihnachtsspecial von About Security geht es um die Frage "Was gibt es denn so an mehr oder weniger nützlichen Live-CDs?" Die folgende Aufzählung ist thematisch und darunter alphabetisch geordnet, auf eine Rangordnung habe ich verzichtet. Die persönlichen Anforderungen und Vorlieben sind zu unterschiedlich, um hier zu einem fairen Urteil zu kommen.
1. Administration allgemein
grml ist eine auf Debian basierende Live-CD, die als Schweizer Taschenmesser der Systemadministratoren und Texttool-User bezeichnet wird. Außer für normale Administrationsarbeiten kann die CD auch für forensische Untersuchungen eingesetzt werden.
nUbuntu (Network Ubuntu) ist ein um Netzwerk- und Sicherheitstools erweiterter Ableger von Ubuntu, bei dem gleichzeitig für diesen Zweck unnötige Pakete wie z.B. Gnome und OpenOffice entfernt wurden. Gemäß dem Motto "Der Weg ist das Ziel" ist nUbuntu weniger als fertiges System als als Experimentierfeld zu sehen: Die Entwickler wollen einfach mal sehen, wie das ist, wenn man eine eigene Distribution entwickelt.
2. Exoten
Damn Vulnerable Linux (DVL) ist genau das, wonach es sich anhört: Ein extrem verwundbares Linux-System. Es wurde für Trainingszwecke entwickelt und so unsicher wie nur möglich konfiguriert. Ideal also, um nach Schwachstellen zu suchen und garantiert fündig zu werden.
N E U ! Security aktuell
Täglich aktuelle Security-Infos!
3. Firewall
m0n0wall ist ebenfalls eine Firewall auf einer Live-CD - im Gegensatz zu allen anderen vorgestellten Systemen aber auf FreeBSD-Basis. Außer CDs für Standard-PCs gibt es auch angepasste Images für Soekris Embedded-Systeme. pfSense ist eine Ableitung von m0n0wall, die u.a. Traffic-Shaping und Clustering unterstützt.
redWall Firewall ist eine von CD lauffähige Firewall mit Gateway-Funktionen (z.B. Virusscanner und Spamfilter) auf Gentoo-Basis. Da die Logfunktionen über eine MySQL-Datenbank laufen, kann das System auch als zentrales Management/Logging-System für mehrere Installationen eingesetzt werden.
SmoothWall ist eine über eine Weboberfläche konfigurierbare Firewall auf Basis eines eigenen, gehärteten Linux-Systems. Sie läuft nicht von CD, sondern muss installiert werden. IPCop ist eine als Firewall und Router vorgesehene Linux-Distribution auf der Grundlage von SmoothWall. Eine vollständige Installation enthält außer Router- und Firewallfunktionen auch noch den Proxy-Server Squid, das Intrusion Detection System Snort sowie weitere Funktionen. Auch die Endian Firewall ist keine Live-CD, sondern eine erweiterte Version von IPCop, die als vollständiges Security-Gateway eingesetzt werden kann. Zusätzliche Funktionen sind z.B. Virenscanner und Spam-Filter.
4. Forensik
Die FCCU GNU/Linux Forensic Boot CD ist eine Forensik-Live-CD auf Basis der bekannten Live-CD Knoppix. Ihre Besonderheit: Eine Reihe von Tool erlaubt die Analyse des Speichers eines Rechners über eine Firewire-Verbindung. Auch, wenn auf diesem Rechner Windows läuft.
Helix basiert ebenfalls auf Knoppix und ist auf Incidend Response und Forensik spezialisiert. Die Besonderheit dieser Live-CD besteht darin, das besonderen Wert darauf gelegt wurde, keinesfalls Änderungen am Host-Computer vorzunehmen. Dadurch wird verhindert, das eventuell vorhandene Spuren eines Angriffs zerstört und damit Beweise vernichtet werden.
Kcpentrix ist eine flexibel anpassbare Forensik-Live-DVD auf Basis der Slackware-Live-DVD SLAX 5 mit vielen nützlichen Tools.
Auch der Penguin Sleuth Kit basiert auf Knoppix und enthält vor allem die Linux-Version des Forensik-Toolkits 'The Sleuth Kit' (TSK). Während die aktuelle TSK-Version vom 12.12.2007 stammt, ist der Penguin Sleuth Kit zuletzt am 12.6.2006 aktualisiert worden. Ein Update ist also überfällig. Im Januar 2007 wurden Änderungen am Aufbau angekündigt: Zum einen soll es sowohl eine bootbare CD als auch eine virtuelle Appliance geben, zum anderen soll die CD vom Anwender von Grund auf selbst zusammengestellt werden können, so das sie an die eigenen Anforderungen angepasst werden kann.
5. Penetration Testing
BackTrack ist eine Penetrationstest-CD auf Slackware-Basis, die aus der Verbindung der beiden Distributionen Whax und Auditor Security Collection entstanden ist. Kern von BackTrack ist das Metasploit-Framework.
Die "BSI OSS Security Suite" BOSS des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist eine im Wesentlichen auf dem Schwachstellen-Scanner Nessus aufbauende, um eine einheitliche Oberfläche erweiterte Live-CD zur Schwachstellensuche.
Der auf Knoppix basierende "Inside Security Rescue Toolkit" (INSERT) bietet ähnliche Funktionen wie BOSS und passt notfalls auf eine scheckkartengrosse Mini-CD.
Die "security tools distribution" (STD, früher Knoppix-STD) ist eine um eine große Sammlung an Sicherheitstools erweiterte Knoppix-CD. Im Gegensatz zur grafischen Oberfläche der BOSS-CD läuft hier aber fast alles auf der Kommandozeile ab.
Schlussbemerkungen
Informationen über den Status von Distributionen findet man z.B. bei DistroWatch.com. Ich wünsche viel Spaß beim Ausprobieren. In der nächsten Folge von About Security geht es weiter um die Sicherheit von Webanwendungen.
Ich wünsche allen Lesern ein erfolgreiches neues Jahr!
Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!
Kommentare