→
Hvad det er — og hvad det ikke er
Kasm er ikke et forensics-værktøj. Det er en platform der kører desktops og applikationer i Docker-containere og streamer billedet til din browser via en webserver. Tastatur og mus sendes ind, pixels kommer ud — koden kører aldrig på din lokale maskine.
Hvorfor det hører til i et DFIR-katalog: Det giver dig disposable burner-miljøer. Når du skal undersøge et phishing-link fra
phishing@defencia.dk, åbne et mistænkeligt dokument, eller detonere et sample — gør du det i en Kasm-session der smides væk bagefter. Kombineret med netværksisolation bliver det en sikker detoneringskammer.
Vigtigt forbehold: Kasm isolerer via containere, ikke fuld VM/hypervisor. Til ægte malware-detonering (ransomware, sample der prøver container-escape) bør du lægge Kasm i en isoleret VM på et separat netværkssegment — ikke stole på container-grænsen alene.
→
Installation
DockerCommunity Edition har et samlet installations-script der sætter alle services op i Docker (database, agent, proxy, GUI).
Krav
# Anbefalet: dedikeret Ubuntu-VM
# Min. ~4 vCPU / 8 GB RAM / 50 GB disk til flere sessions
# Docker installeres af scriptet hvis det manglerHent & installér Community Edition
# tjek kasmweb.com/downloads for nyeste version
cd /tmp
curl -O https://kasm-static-content.s3.amazonaws.com/kasm_release_VERSION.tar.gz
tar -xf kasm_release_*.tar.gz
sudo bash kasm_release/install.shScriptet udskriver autogenererede passwords for admin og user til sidst — gem dem.
Adgang
# GUI på https://<server-ip> (default port 443)
# log ind som admin@kasm.localBag din Nginx: Som med dine andre tjenester kan Kasm lægges bag
lab.defencia.dk med dit Certbot-cert. Bemærk at Kasm selv terminerer TLS — overvej stream-proxy eller juster Kasms egen cert-config frem for dobbelt TLS-terminering.→
Workspaces & images
Et "workspace" er et Docker-image med en desktop eller app. Kasm vedligeholder et registry af færdige images.
| Workspace-type | Brug |
|---|---|
| Kasm Desktop (Ubuntu) | Fuld Linux-desktop til generel analyse |
| Chrome / Firefox | Isoleret browser — åbn mistænkelige links sikkert |
| Tor Browser | Anonym OSINT / undersøgelse uden at lække egen IP |
| Remnux (custom) | Byg eget image med malware-analyse-toolset |
| Kali (custom) | Offensive/test-værktøjer i engangsmiljø |
Egne images: Kasm-images er almindelige Docker-images bygget på deres base. Du kan lave et custom workspace med fx Remnux- eller dine egne analyse-værktøjer forudinstalleret, pushe det til dit eget registry og tilføje det i admin-panelet.
→
DFIR / phishing-workflow
Konkret brug der passer til din Defencia-opsætning:
| Scenarie | Fremgang |
|---|---|
| Phishing-link | Start en disposable Chrome-session → åbn URL → observér redirect-kæde, landingsside, credential-harvest — uden risiko for egen maskine |
| Mistænkt dokument | Upload til Linux-desktop-session → åbn i isoleret miljø → inspicér makroer/payloads → smid sessionen væk |
| OSINT på trusselsaktør | Tor-browser-session → undersøg uden at afsløre din infrastruktur eller IP |
| Sample-detonering | Custom Remnux-image i netværksisoleret session → observér adfærd (kun i fuldt isoleret VM, se nedenfor) |
Integration: Det indsamlede (URL'er, IOC'er, hashes) føder direkte ind i din n8n phishing-analyzer-workflow og dit Defencia Intel Dashboard.
→
Isolation & netværk
Netværkssegmentering er afgørende: Læg Kasm-VM'en på et dedikeret, isoleret VLAN (som dit Wu_IOT-mønster) uden adgang til dit interne netværk. For detonering: ingen vej til produktion, kun kontrolleret udgående (evt. via en analyse-proxy så du fanger C2-trafik). Antag at alt der køres i en session er fjendtligt.
| Kontrol | Anbefaling |
|---|---|
| Netværk | Isoleret VLAN, ingen rute til interne services |
| Egress | Kontrolleret/logget udgående via analyse-proxy |
| Session-levetid | Sæt kort timeout og tving destroy ved logout |
| GUI-adgang | Bag VPN + Fail2ban på login (se Fail2ban (kommer)) |
| Host | Kasm i egen VM, ikke på en host med andre tjenester |
→
Drift
Status på services
sudo docker ps --filter name=kasmStop / start hele stacken
sudo /opt/kasm/bin/stop
sudo /opt/kasm/bin/startOpdatér images
# i admin-GUI: Workspaces → vælg image → Update
# eller pull nyt image og peg workspace på ny tagLogs
sudo docker logs kasm_api
tail -f /opt/kasm/current/log/*.log