Experiencias con Kali 2016.2 (I)

Kali 2016.2 es una distribución de GNU/Linux especializada en Pentesting e Informática Forense. No es la única de su tipo, otras como BackBox, Parrot Security o BlackArch, por solo citar algunos ejemplos, persiguen el mismo objetivo. Por supuesto, ya imaginaras cual es mi distro preferida. Está basada en Debian y tiene entornos de escritorio como GNOME, e17, Mate, Xfce y LXDE.

Con estos artículos voy a tratar de transmitir algunas modestas experiencias prácticas que he obtenido del trabajo con Kali 2016.2. Hago énfasis en la versión porque algunas cuestiones técnicas que explicaré en estos artículos pueden no ser aplicables a versiones anteriores.

Empezaremos entonces respondiendo algunas preguntas que los iniciantes en el mundo de pentesting tienen casi siempre respecto a Kali y otras distribuciones similares:

¿Por qué usar una distribución especializada en pentesting?

Básicamente porque ya vienen con las aplicaciones, paquetes y servicios preinstalados y configurados para su utilización inmediata. Pudiera parecen una tarea sencilla instalar estas mismas aplicaciones en tu Sistema Operativo(SO) favorito, pero en muchos casos se convierte en una tarea complicada por la dependencia de paquetes diversos. En el caso Cuba se agrega una dificultad importante y es que varias aplicaciones, a la hora de instalarlas de manera independiente, tienen paquetes en servidores que están prohibidos para nuestro país y esto provoca que se afecte el proceso de instalación.

¿Para ser un buen pentester tengo que trabajar todo el tiempo con Kali?

Por supuesto que no. La potencia y utilidad de Kali va a estar dada por la inteligencia, creatividad y conocimiento que apliquemos en el uso de las herramientas requeridas. Seguro que pasas tiempo navegando en Internet, preparando informes, chateando, trabajando con imágenes, viendo videos, estudiando, etc. Si quieres hacer todo esto vas a tener que instalar tú mismo las aplicaciones ofimáticas y multimedia porque Kali no trae muchas preinstaladas. También debes tener en cuenta que quizás compartas tu ordenador con otra persona en algún momento, no sería bueno que alguien estuviera dando clic por equivocación y generando un ataque a un componente de la red. Kali además por defecto inicia en modo root con las complicaciones que esto puede tener. En fin, recuerda siempre que el hábito no hace al monje.

¿Qué variante de despliegue sería recomendable para pentesting en aplicaciones web?

Recomiendo la utilización de una máquina virtual de Kali, pero su funcionamiento va a depender, como es lógico, de la potencia del ordenador que poseas y hasta cierto punto del entorno de escritorio que uses en Kali. Una máquina virtual con 4 GB de RAM, corriendo sobre un  Intel Core i7 4500U y LDXE, tiene un desempeño correcto para la mayoría de las tareas que puedas realizar. La utilización de una máquina virtual además, permite la realización de tareas en el SO base mientras se están ejecutando pruebas de seguridad con Kali. Si tuviéramos una instalación de multi-arranque esto sería imposible.

¿Qué limitante tiene la ejecución en modo Live para pentesting en aplicaciones web?

Aunque Kali viene con un conjunto de herramientas preinstaladas, no traer algunos componentes, como bases de datos de vulnerabilidades, firmas y otros elementos necesarios. Por ejemplo, WPScan, necesita descargar su base de firma antes de funcionar por primera vez. Si trabajamos en modo Live, estas bases de datos y configuraciones que realizaremos podrían no salvarse y por tanto tendríamos que volver a reconfigurar todo nuevamente.

¿Por qué uso LDXE como entorno de escritorio?

Esencialmente porque uso Kali  para utilizar sus aplicaciones, ya que otras tareas las ejecuto con otros SO. Por este motivo, trato de que el entorno de escritorio no consuma más recursos que el imprescindible. No dudo que GNOME puede tunearse hasta casi no consumir recursos, pero la verdad no le veo objetivo a invertir esfuerzo en ello. Mi única inconformidad con LDXE es lo difícil que puede ser al principio cambiar de distribución de teclado, pero con el comando setxkbmap resuelve muy fácil este problema.

Hasta aquí, las experiencias que quería transmitirles, en la próxima entrada sobre Kali, mostraré el proceso de creación de una máquina virtual con VirtualBox.

Espero que te haya sido útil este artículo y contribuya a mejorar la seguridad de tus aplicaciones Web.

S4lud0s y h4st4 el próx1m0 p0st!!!

 

Anuncios

4 comentarios en “Experiencias con Kali 2016.2 (I)

  1. Pingback: Experiencias con Kali 2016.2 (II) – Creación de una VM con VirtualBox y Ubuntu 16.04 | Behique Digital

  2. Pingback: Configurando Burp Suite en modo proxy man-in-the-middle con Firefox, Foxy Proxy y Kali Linux | Behique Digital

  3. es cierto la mayor dificultad para mi viene dada por metasploit que incluso viene restringido a nuestro pais.ademas de que para que funcione completamente hay que pagar y en kali no(segun e probado).

    Le gusta a 1 persona

  4. En efecto Alvaro, algunas de estas herramientas se vuelven muy complicadas de instalar y es precisamente esa ventaja la que provee Kali. Muchas gracias por tu comentario. Saludos!!!

    Me gusta

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s