ネット管理者

Kali Linux のレビューと代替案

Kali Linux のレビューと代替案



Linux オペレーティング システムは無料で入手して使用できます。 「ディストリビューション」と呼ばれるさまざまなバージョンがあり、Kali Linux もその 1 つです。 カリ・リナックス には、ポイント アンド クリック ソフトウェア パッケージをホストするためのグラフィカル ユーザー インターフェイスがあり、Windows と同様のエクスペリエンスを提供します。

このディストリビューションは、単に提供するだけではないという点でユニークです。 オペレーティング·システム 。多くのオペレーティング システムにはユーティリティが組み込まれており、無料で提供されます。この現象の一例は、Windows Defender ファイアウォールです。これは、従来、オペレーティング システムの通常の部分とは考えられていなかった便利な機能です。さらに、Kali Linux には次のパッケージが含まれています。 侵入テストツール



くらいあります 300 ツール Linux ディストリビューションに通常含まれるユーティリティに加えて、Kali Linux に含まれています。非常に多くのツールがありますが、すべてが異なる機能を提供するわけではありません。たとえば、侵入テスト ツールの世界では、Kali Linux に含まれる多数のシステムが相互に競合します。それで、あります ツールのグループ、 各グループのメンバー全員が非常に似た機能を提供します。

300 個のツールすべてを使用する人はおそらくいないでしょう。これほど多くのツールに精通して作業知識を得るのは不可能だからです。 Kali バンドルに含まれるすべてのツールは次のとおりです。 独立して利用可能 。一部のツールはソースから無料バージョンと有料バージョンで入手できますが、その他のツールは ただ自由 。すべての場合において、 無料版 これらは Kali パッケージに含まれています。通常、元のサプライヤーから有償で提供されるツールを無料で入手することはできません。



Kali Linuxについて

Kali Linux は 2013 年 3 月 13 日に初めてリリースされました。Kali の作成の歴史は複雑です。それは2006年に遡ります。 アロンの水 というパッケージを作成しました バックトラック 。これは、Linux のバージョンにパッケージ化された侵入テスト ツールのバンドルで、 ワッピックス と呼ばれるディストリビューションをベースにしていた ノッピックス 、これはさらに派生したものでした。 デビアン

Knoppix と Whoppix は、CD ROM からオペレーティング システムを実行しました。 Aharoni は後にこの Linux 実装を と呼ばれるシステムに変更しました。 ワックス に基づいた スラックス 、Debian のバージョンである別の CDROM ベースのシステム。

ツール パッケージは 監査人のセキュリティコレクション 。これは、Max Moser が選択した 300 個の無料ツールのパッケージでした。 Kali Linux の多くの説明では、バンドルには次のものが含まれていると記載されていますが、 600 ツール 、Kali Linux サイトには 300 しか記載されていません。

Aharoni が BackTrack を作成していた頃、彼はサイバーセキュリティ コンサルタント会社を設立しました。 攻撃的なセキュリティ 。この企業は次のように登録されました オフェンシブセキュリティLLC 同社は BackTrack の管理責任を引き継ぎました。社名を次のように変更しました オフェンシブ セキュリティ サービス、LLC 同社は侵入テスト サービス、セキュリティ コンサルティング、侵入テスト担当者のトレーニングを提供しています。

Offensive Security は、と呼ばれる認定プログラムを実行しています。 攻撃セキュリティ認定プロフェッショナル (OSCP)。残念ながら、これは取得するのが最も難しい認定の 1 つです。参加者は現実世界のハッキングの課題を含む試験に合格する必要があり、申請者は Offensive Security によって管理されているテスト システムに侵入する必要があるからです。

Mati Aharoni は、BackTrack の再開発プロジェクトで攻撃セキュリティ チームを率いました。その結果、 カリ・リナックス 。 Kali は 2013 年の発売以来、2019 年と 2020 年に新しいバージョンで更新されています。オリジナルのバージョンは 1.0.0モトの倍 ; 2番目のバージョンは タイムズ 2019.4 ;最新バージョンは タイムズ 2020.3

カリは何をしますか?

Kali Linux は、Debian と同様のオペレーティング システムです。そのロゴとキャッチフレーズは次のとおりです。

「静かになればなるほど、より多くの音が聞こえるようになります。」

Kali Linux のユーザーは、サイバーセキュリティの分野で働いている必要はありません。グラフィカル ユーザー インターフェイスまたはコマンド ラインを通じてオペレーティング システムを使用することもできます。

カリ・リナックス

Kali Linux ツール

Kali Linux に含まれるツールのリストが 2 つあります。 カリプロジェクトのウェブサイト 。 1つ目は 各ツールの概要 、タイプごとにグループ化されたツールのリスト。 2つ目は ツールのリスト 、アルファベット順に並べられています。各リストでは、ツールの名前が説明ページへのリンクになっています。したがって、2 つのシステムは同じ情報を異なる形式で提供します。

スペースが足りないため、このレビューではすべてのツールを説明できません。ただし、Kali Linux とそのツール パッケージの詳細については、 Kali Linux チートシート

パッケージに含まれる最も重要なツールのいくつかを次に示します。

1. Metasploit フレームワーク

メタスプロイト と呼ばれる有料製品として利用できます メタスプロイト プロ、 と呼ばれる無料システム Metasploit フレームワーク 。無料版では利用できない Metasploit Pro の機能は、自動脆弱性スキャンを対象としています。 Metasploit はオープンソース プロジェクトですが、後援されています。 ラピッド7 、Metasploit Pro の追加機能を提供します。

Metasploit フレームワークは、実行するための侵入ツールを提供します。 情報収集 そして 攻撃 で起動すること Metasploit コンソール 、カスタマイズされたコマンド ライン ウィンドウです。

2.げっぷスイート

げっぷスイート Kali Linux に含まれるバージョンは、 コミュニティ版 。これは、有料の完全な Professional バージョンで利用できるすべての重要なコマンドを示していますが、それらは機能しません。ただし、残っているツールは依然として非常に便利です。 Burp Suite は、トラフィックを傍受し、分析し、トラフィックを生成し、挿入することによって動作します。このツールは次のような場合にも適しています 強引な 資格情報の推測。

Burp Suite は、グラフィカル ユーザー インターフェイスとコマンドライン インターフェイスの両方を提供します。 Burp Suite について詳しくは、 Burp Suite チートシート

3.ワイヤーシャーク

ワイヤーシャーク は、ネットワーク管理者のツールキットにすでに組み込まれているパケット スニファーであり、ハッカーによって広く使用されています。このトラフィック インターセプタは、 無線システム 同様に LAN 。結果として、Wireshark は研究を行うための優れたツールであり、その出力は他のユーティリティで分析するためにエクスポートできます。

無料 Kali Linux の Wireshark サービスは、GUI とコマンドライン インターフェイスの両方を提供します。

4.オワスプザップ

Web アプリケーション セキュリティ プロジェクトを開く は、Web アプリケーションの脆弱性に関する非営利の研究機関です。 OWASP トップ 10 は、ハッカー戦略の業界の試金石です。さらに、この組織は、 Zed 攻撃プロキシ 、それは オワスプザップ これは Kali Linux に含まれています。

ZAP サービスは独自の GUI ウィンドウを通じてアクセスされ、トラフィック インターセプター、Web クローラー、URL ファザーを提供します。パッケージには脆弱性スキャナ機能もあります。 自動化する 研究。

5.Nマップ

Nマップ それは ネットワークマッパー、 また、ネットワークに侵入し、接続されているすべてのデバイスを確認する必要があるハッカーや侵入テスターに​​優れた研究施設を提供します。これはコマンドライン ツールであり、その機能には次の方法で簡単にアクセスできます。 ゼンマップ 、その GUI コンパニオンであり、Kali Linux にも含まれています。 Nmap システムは上で動作します パケットヘッダーを調べて、 そのため、パケット キャプチャ サービスも提供します。

6. エッターキャップ

エッターキャップ は、パケット キャプチャを容易にするユーティリティを含む無料のパケット キャプチャ ツールです。 中間者攻撃、 にも使用できます ディープパケットインスペクション 。これはコマンドライン ユーティリティです。 GUI インターフェイスも利用できますが、これはカスタマイズされたコマンドライン アクセス ウィンドウにすぎません。 Ettercap サービスは、ARP ポイズニングを通じて機能し、すべてのエンドポイントを騙して Ettercap ホストがインターネットへのゲートウェイであると信じ込ませます。 Ettercap について詳しくは、こちらの記事をご覧ください。 Ettercap チートシート

7. SQLマップ

Sqlmap を発見して操作する強力なハッカー ツールです。 データベース ウェブサイトにサービスを提供するもの。データベース インスタンスの概要が表示され、データベース インスタンスに侵入するのに役立ちます。攻撃は、痕跡を残さずに実行されたり、ターゲットのデータベースの値が変更されたりする可能性があります。

これはコマンド ライン ユーティリティで、コマンドは 1 つだけですが、スイッチとオプションの広範なリストにより、何千もの用途に使用できます。 sqlmap の詳細については、 sqlmap チートシート

8. マルタ語

Maltego は、さまざまな用途に使用できる柔軟なツールです。研究を結び付けるのは、 地図を作成する データインスタンス間の関係の説明。 Maltego が研究にどのように役立つかを示す優れた例は、多数のユーザー間の接続を 1 つのネットワーク上にマッピングすることです。 ソーシャルメディアプラットフォーム 。このシステムは、ネットワークをマッピングしたり、ソフトウェアの依存関係を特定したりするためにも使用できます。

Kali Linux のシステム要件

Kali Linux は、ベアメタル コンピューター (オペレーティング システムがまだインストールされていないコンピューター) にインストールされます。コンピューターには、最小限次のハードウェアが必要です。

  • 20 GB ハードディスク (50 GB を推奨)
  • 2GBのRAM
  • 起動可能な CD-DVD ドライブまたは USB スティック
  • Intel Core i3 または AMD E1 プロセッサ

Kali Linux のインストール

Kali Linux インストール用のソフトウェアは、次の場所から入手できます。 カリプロジェクトのウェブサイト 。を見つける Kali Linuxのダウンロードページ をクリックしてインストーラーを見つけます。

ベアメタル コンピューターにシステムをインストールする以外に、他に 7 つの構成が利用可能です。これらには、Kali Linux を VM または Android デバイスにインストールする機会が含まれます。コンテナ上で Kali Linux を実行することも可能です。各オプションのインストール手順を説明したインストール ガイドは、Kali プロジェクト サイトで入手できます。

Kali Linux の長所と短所

Kali Linux は高く評価されており、多くの侵入テスト運用で使用されています。絶賛されているにもかかわらず、完璧ではないため、パッケージの評価は次のとおりです。

長所:

  • VM やコンテナを介した操作を含む、多くの導入オプション
  • 便利なツールの膨大なライブラリ
  • 完全に無料で使用できます
  • Windows スタイルのデスクトップ環境
  • サイバーセキュリティ分野の大規模なユーザーコミュニティ

短所:

  • ツールの多くが古い
  • Kali にバンドルされている無料ツールは、多くの場合、有料バージョンへの誘惑にすぎません。
  • Kali Windows があればいいですね

Kali Linuxの代替

Kali Linux は、オペレーティング システムと侵入ツールを組み合わせているという点でユニークです。このような優れたパッケージを無料で入手できるところは他にはありません。 Kali Linux の明らかな代替手段は次のとおりです。 Debian Linux 。 300 個のツールのオーバーヘッドを望まない場合は、決して使用しません。Debian を無料でインストールし、Kali Linux ツールのリストを調べ、必要なツールをいくつか選択してインストールしてください。

以下は、Kali Linux に代わる 5 つの最良の代替手段のリストです。

  1. 無敵 (アクセス無料デモ)これは 脆弱性スキャナー ペネトレーションテスターが研究ツールとして使用することもできます。これは、ブラウザからスキャナを操作して、Web ページ内のエクスプロイトを探す Web アプリケーション スキャナです。ツールに完全なスキャンを実行させたり、その機能を 1 つの脆弱性に限定して、異なる操作値で再実行し続けて特定の弱点をテストしたりすることが可能です。これは SaaS プラットフォーム、 ただし、インストール用のソフトウェアを入手することもできます Windowsサーバー 。評価用のデモ システムにアクセスします。
  2. Acunetix (アクセス無料デモ)このシステムには 3 つのエディションがあり、最も低いエディションでは侵入テストの調査ツール パッケージが提供されます。このシステムは、外部の観点とネットワーク内の両方の観点から弱点をスキャンします。導入オプションには次のものがあります。 クラウドベースの ホストされたサービスまたはソフトウェア パッケージ ウィンドウズマックOS 、 または Linuxのインストール 。評価のためにデモ システムにアクセスします。
  3. Bugcrowd 資産インベントリ この侵入テスト システムは、 サポートサービス 企業が使用するソフトウェアに統合されています。システム管理者は、企業が入手したソフトウェアのセキュリティに目を向けるかもしれませんが、それらのパッケージが依存している基盤となるサービスに注目しようと考える人はほとんどいません。バグクラウド 這う アプリケーションの依存関係を通じて、根本的な弱点を特定します。あなたはできる デモをリクエストする サービスの。
  4. CrowdStrike ペネトレーション テスト サービス このコンサルティング サービスは、ツールではなく侵入テストのチームを提供します。ホワイトハット ハッキングに関する明確なトレーニングを受けていない一部の IT スタッフにツールを提供するよりも、セキュリティ テストを実行するチームを雇った方が効果的です。
  5. Indusface 侵入テスト サービス CrowdStrike チームの代替となる Indusface ホワイトハットハッカー 攻撃に対するシステムの保護をテストするために契約することができます。攻撃の進行を観察し、セキュリティ サービスがハッカーの行動を発見したかどうかを確認してください。 API やモバイル アプリをテストすることもできます。
^