Статья Самые важные инструменты для обеспечения безопасности и проведения пентеста для хакеров и специалистов в сфере безопасности

Network-Security-1.png



Инструменты обеспечения сетевой безопасности и инструменты для проведения тестирования на проникновение чаще всего используются службами безопасности для проведения проверки на наличие уязвимостей в сети и приложениях. В данной статье вы сможете найти всеобъемлющий список инструментов для тестирования на проникновения, который включает в себя проведения пентеста во всех средах.

Инструменты для обеспечения сетевой безопасности и проведения тестирования на проникновение

Сканирование/Пентестинг
  • – OpenVAS представляет собой структуру нескольких сервисов и инструментов, предлагающих комплексное и мощное решение для проверки уязвимостей и управления уязвимостями.
  • Metasploit Framework – Инструмент для разработки и выполнения кода эксплойта против удаленной целевой машиной. Другие важные подпроекты включают в себя базу данных Opcode, архив shellcode и соответствующие исследования.
  • – Kali Linux является дистрибутивом Linux, основанным на Debian, который предназначен для цифровой криминалистики и проведения тестирования на проникновение. В Kali Linux предустановлены многочисленные программы для пентеста, в том числе nmap (сканер портов), Wireshark (анализатор пакетов), John the Ripper (взломщик паролей) и Aircrack-ng (программный пакет для тестирования беспроводных локальных сетей).
  • pig – Инструмент для обработки пакетов Linux.
  • scapy – Scapy: программа и библиотека интерактивных пакетных манипуляций на основе python.
  • Pompem – Pompem является инструментом с открытым исходным кодом, который предназначен для автоматизации поиска эксплойтов в основных базах данных. Разработанный на основе Python, он имеет систему расширенного поиска, что облегчает работу пентестеров, а также этичных хакеров. В своей текущей версии выполняет поиск в базах данных: Exploit-db, 1337day, Packetstorm Security...
  • – Nmap является бесплатной и утилитой с открытым исходным кодом для исследования сети и проверки безопасности.
Мониторинг/Сбор данных
  • – Justniffer - это анализатор сетевых протоколов, который фиксирует сетевой трафик и создает журналы в индивидуальном порядке, может эмулировать лог файлы веб-сервера Apache, отслеживать время ответа и извлекать все «перехваченные» файлы из HTTP-трафика.
  • – httpry – это специализированный пакетный снифер, предназначенный для отображения и протоколирования HTTP-трафика. Он не предназначен для самого анализа, а лишь для сбора, обработки и регистрации трафика для его последующего анализа. Его можно запустить в режиме реального времени, отображая трафик, когда он разбирается, или как процесс демона, который регистрируется в выходном файле. httpry написан как максимально легкий и гибкий, так что его можно легко адаптировать к различным приложениям.
  • – ngrep стремится предоставить большинство общих функций GNU grep, применяя их на сетевом уровне. ngrep - это инструмент, поддерживающий pcap, который позволит вам указывать расширенные регулярные или шестнадцатеричные выражения, чтобы они соответствовали пейлоадам данных пакетов. В настоящее время он распознает IPv4 / 6, TCP, UDP, ICMPv4 / 6, IGMP и Raw через Ethernet, PPP, SLIP, FDDI, Token Ring и нулевые интерфейсы, а также понимает логику фильтра BPF так же, как и более распространенные инструменты вроде tcpdump и snoop.
  • passivedns – Инструмент для пассивного сбора записей DNS для того, чтобы помочь обработке различного рода инцидентов, мониторингу сетевой безопасности (NSM) и общей цифровой криминалистике. PassiveDNS исследует трафик с интерфейса или считывает файл pcap и выводит ответы DNS-сервера в файл журнала. PassiveDNS может кэшировать/объединять дубликаты DNS-ответов в памяти, ограничивая количество данных в лог-файле, без потери сути в ответе DNS.
  • – Sagan использует движок «Snort like» и правила для анализа журналов (syslog/event log/snmptrap/netflow/etc).
  • – Имеет подобный набор функций как Snyk, но является бесплатным в большинстве случаев и очень дешевым для другого рода случаев.
  • – Ntopng это исследователь сетевого траффика, который показывает использование сети, подобно тому, что делает популярная команда в Unix.
  • Fibratus – Fibratus - это инструмент для исследования и отслеживания ядра Windows. Он способен захватывать большую часть активности ядра Windows - процесс создания и завершения процессов/потоков, ввода/вывода файловой системы, реестра, сетевой активности, загрузки/выгрузки DLL и многого другого. Fibratus имеет очень простой CLI, который инкапсулирует механизмы для запуска коллектора событий ядра, устанавливает фильтры событий ядра или запускает легкие модули Python, называемые волокнами (filaments).
IDS / IPS / Host IDS / Host IPS
  • – Snort - это система предотвращения вторжений в сеть с открытым исходным кодом (NIPS) и система обнаружения сетевых вторжений (NIDS), созданная Мартином Рошем (Martin Roesch) в 1998 году. Snort теперь разрабатывается Sourcefire, где Рош является основателем и техническим директором. В 2009 году Snort вошла в Зал славы InfoWorld в качестве одного из «самых больших проектов программного обеспечения с открытым исходным кодом за все время».
  • – Bro - мощный фреймворк сетевого анализа, который сильно отличается от типичных IDS, которые вы можете знать.
  • – расшифровывается как Comprehensive Open Source HIDS. Не для слабонервных. Потребуется немало времени, чтобы понять, как он работает. Он способен выполнять анализ журнала, проверку целостности файлов, обнаружение руткитов, и предоставляет оповещение в реальном времени и активный ответ. Он работает на большинстве операционных систем, включая Linux, MacOS, Solaris, HP-UX, AIX и Windows. Имеется много полезной документации позволяющей вам ознакомиться с его принципами работы.
  • – Suricata - это высокопроизводительный сетевой IDS, IPS и механизм мониторинга сетевой безопасности. Имеет открытый исходный код и принадлежит некоммерческому фонду, основанному на сообществе под названием Open Information Security Foundation (OISF). Suricata разрабатывается OISF и поддерживающими ее поставщиками.
  • – Security Onion - это дистрибутив Linux для обнаружения вторжений, мониторинга сетевой безопасности и управления журналами. Он основан на Ubuntu и содержит Snort, Suricata, Bro, OSSEC, Sguil, Squert, Snorby, ELSA, Xplico, NetworkMiner и многие другие инструменты безопасности. Простой в использовании Мастер установки позволяет вам создать армию датчиков для вашего предприятия за считанные минуты!
  • sshwatch – IPS для SSH, аналогичный DenyHosts, написанный на Python. Он также может собирать информацию о злоумышленнике в журнале во время атаки.
  • – предоставляет вам проверку целостности файла, которая практически не оставляет следов. Контроллер запускается с другого компьютера, что затрудняет понимание злоумышленником того факта, что файловая система проверяется в определенных псевдослучайных интервалах через SSH.Очень рекомендуется для небольших и средних объемов работы.
  • – AIEngine является интерактивным/программируемым движком Python/Ruby/Java/Lua следующего поколения для отслеживания пакетов с возможностями обучения без вмешательства человека, функциональностью NIDS (Network Intrusion Detection System), классификацией доменов DNS, сборщиком сети (network collector), сетевой криминалистикой и многим другим.
  • – Успешно противостоит SSH атакам перебора по словарю, а также брутфорс атакам.
  • – Сканирует лог файлы и принимает соответствующие меры относительно тех IP-адресов, которые подают определенные признаки вредоносного поведения.
  • – Программное обеспечение для защиты служб в дополнение к SSH, написанное на C.
  • – инструмент проверки и контроля за безопасностью с открытым исходным кодом для Linux/Unix.
Honey Pot/Honey Net
  • HoneyPy – HoneyPy представляет собой honeypot с низким и средним взаимодействием. Он предназначен для простого развертывания, расширения функциональности с помощью плагинов, а также для применения пользовательских конфигураций.
  • link removed – Dionaea должен быть преемником nepenthes, внедряя python в качестве языка написания сценариев, используя libemu для обнаружения шеллкодов, поддерживающих ipv6 и tls.
  • – ICS / SCADA Honeypot. Conpot представляет собой небольшую интерактивную серверную систему honeypot, предназначенную для простого развертывания, модификации и расширения. Предоставляя ряд общих протоколов управления производственным процессом, мы создали основы для создания вашей собственной системы, способной эмулировать сложные инфраструктуры, чтобы убедить злоумышленника в том, что он просто нашел огромный промышленный комплекс
  • Amun – Amun представляет собой Honeypot на основе Python с низким взаимодействием.
  • – Glastopf - это Honeypot, который эмулирует тысячи уязвимостей для сбора данных об атаках, нацеленных на веб-приложения. Принцип, лежащий в его основе, очень прост: ответьте правильным ответ злоумышленнику, который использует веб-приложение.
  • Kippo – Kippo - это honeypot с взаимодействием SSH среднего уровня, предназначенный для регистрации брутфорс атак и, самое главное, всего взаимодействия оболочки, выполняемого злоумышленником.
  • – Коджони - это honeypot с низким уровнем взаимодействия, который эмулирует SSH-сервер. Демон написан на Python, используя библиотеки Twisted Conch.
  • HonSSH – HonSSH представляет собой Honey Pot с высоким взаимодействием. HonSSH будет находиться между атакующим и «медовым горшком» (honey pot), создавая между ними два отдельных SSH-соединения.
  • – Bifrozt - это устройство NAT с DHCP-сервером, который обычно развертывается с одним сетевым адаптером, подключенным непосредственно к Интернету, и одним сетевым адаптером, подключенным к внутренней сети. Что отличает Bifrozt от других стандартных устройств NAT, так это его способность работать как прозрачный прокси-сервер SSHv2 между злоумышленником и вашим honeypot.
  • – HoneyDrive - главный дистрибутив Linux для honeypot. Это виртуальное устройство (OVA) с установленной версией Xubuntu Desktop 12.04.4 LTS. Он содержит более 10 предварительно установленных и предварительно сконфигурированных программных пакетов honeypot, таких как honeypot Kippo SSH, приманки для вредоносных программ Dionaea и Amun, honeypot с низким взаимодействием Honeyd, веб-honeypot Glastopf и Wordpot, honeypot SCPAD / ICS Conpot, honeyclients Thug и PhoneyC и другие.
  • – Cuckoo Sandbox - это программное обеспечение с открытым исходным кодом для автоматизации анализа подозрительных файлов. Для этого используются пользовательские компоненты, которые отслеживают поведение вредоносных процессов во время работы в изолированной среде.
Полный захват пакетов / Форензика
  • tcpflow – tcpflow - это программа, которая захватывает данные, передаваемые как часть TCP-соединений (потоков), и сохраняет данные таким образом, который удобен для анализа и отладки протокола.
  • – Целью Xplico является извлечение из интернет-трафика данных приложений. Например, из файла pcap Xplico извлекает каждый адрес электронной почты (протоколы POP, IMAP и SMTP), все содержимое HTTP, каждый VoIP-вызов (SIP), FTP, TFTP и т. д. Xplico не является анализатором сетевых протоколов. Xplico - это инструмент криминалистического анализа с открытым исходным кодом (NFAT).
  • Moloch – Moloch представляет собой перехватчик пакетов IPv4 с открытым исходным кодом (packet capturing (PCAP)), с индексированием и системами баз данных. Простой веб-интерфейс предоставляется для просмотра, поиска и экспорта PCAP. Отображаются API-интерфейсы, которые позволяют напрямую загружать данные PCAP и JSON-данные сеанса. Простая безопасность реализована с помощью поддержки пароля HTTPS и HTTP-дайджеста или посредством использования apache. Moloch не предназначен для замены движка IDS, а вместо этого работает вместе с ними для хранения и индексирования всего сетевого трафика в стандартном формате PCAP, обеспечивая быстрый доступ. Moloch создан для развертывания во многих системах и может увеличивать свою производительность для обработки нескольких гигабит трафика в секунду.
  • – OpenFPC - это набор инструментов, которые объединяются для предоставления легкого полнополосного сетевого регистратора трафика и системы буферизации. Цель проекта – дать возможность пользователям, не являющимся экспертами, развернуть распределенный сетевой трафик-рекордер на оборудовании COTS при интеграции в существующие средства управления логами и предупреждениями .
  • Dshell – Dshell является сетью для криминалистического анализа. Позволяет быстро разрабатывать плагины для поддержки разбиения захватов сетевых пакетов.
  • stenographer – Стенографист предназначен для захвата пакетов, целью которого является быстрое свертывание всех их на диск, а затем обеспечение простого и быстрого доступа к различного рода подмножествам этих пакетов.
Сниффер
  • – Wireshark - бесплатный анализатор пакетов с открытым исходным кодом. Он используется для устранения неполадок, анализа, разработки программного обеспечения и коммуникаций в сети, а также обучения. Wireshark очень похож на tcpdump, но имеет графический интерфейс, а также некоторые интегрированные параметры сортировки и фильтрации.
  • – netsniff-ng представляет собой бесплатный набор инструментов для Linux. Его прирост производительности достигается с помощью механизмов нулевой копии (zero-copy mechanisms), поэтому при приеме и передаче пакетов ядру не нужно копировать пакеты из пространства ядра в пространство пользователя и наоборот.
  • link removed – это бесплатный аддон Firefox,позволяющий просматривать запросы браузера в режиме реального времени. Он отображает все хедеры запросов и может использоваться для поиска лазеек в безопасности.
Информация о безопасности и управление событиями
  • – это универсальная система безопасности и управления событиями (SIEM). Prelude собирает, нормализует, сортирует, объединяет, сопоставляет и сообщает обо всех событиях, связанных с безопасностью, независимо от бренда продукта или лицензии. Prelude поставляется «без агента» (agentless).
  • – OSSIM предоставляет все функции, необходимые профессионалам в сфере безопасности из предложения SIEM - сбор, нормализация и корреляция событий.
  • FIR – Fast Incident Response (Быстрая реакция на происшествия), платформа управления инцидентами в сфере кибербезопасности.
VPN
  • представляет собой приложение с открытым исходным кодом, которое реализует методы виртуальной частной сети (virtual private network (VPN)) для создания безопасных соединений «точка-точка» (point-to-point) или «сайт-сайт» (site-to-site) в маршрутизированных или мостовых конфигурациях и средствах удаленного доступа. Оно использует собственный протокол безопасности, который пользуется SSL/TLS для обмена ключами.
Быстрая обработка пакетов
  • – DPDK - это набор библиотек и драйверов для быстрой обработки пакетов.
  • PFQ – PFQ - это функциональный сетевой фреймворк, разработанный для операционной системы Linux, который позволяет эффективно захватывать/передавать пакеты (10G и более), функциональную обработку в ядре и пакеты, управляющие через сокеты/конечные точки.
  • – PF_RING - это новый тип сетевого сокета, который значительно улучшает скорость захвата пакетов.
  • – PF_RING ZC (Zero Copy) - это гибкий фреймворк пакетной обработки, который позволяет вам достичь пакетную скорость передачи размером от 1 до 10 Гбит (как RX, так и TX) при любом размере пакета. Он реализует операции нулевой копии (zero copy), включая шаблоны для межпроцессных и коммуникций inter-VM (KVM).
  • – Довольно хорошо использовать PACKET_MMAP для повышения производительности процесса захвата и передачи в Linux.
  • – netmap - это платформа для высокоскоростного пакетного ввода-вывода. Вместе со своим программным коммутатором VALE он реализован как единый модуль ядра и доступен для FreeBSD, Linux и теперь также для Windows.
Брандмауэр
  • – дистрибутив брандмауэра и маршрутизатора FreeBSD.
  • – это открытый, простой в использовании и простой в построении брандмауэр на базе FreeBSD, а также и платформа маршрутизации. OPNsense включает большинство функций, доступных в дорогих коммерческих брандмауэрах, и многое другое во различного рода случаях. Это приносит богатый набор функций коммерческих предложений с преимуществами, которыми обладают открытые и проверяемые источники.
  • – Защищает порты через авторизацию при помощи единственного крипто-пакета (Single Packet Authorization) в вашем брандмауэре.
Анти-спам
  • – Мощный и популярный спам-фильтр для электронной почты, использующий различные методы обнаружения.
Docker образы для проведения тестирования на проникновение и обеспечения безопасности
  • docker pull kalilinux/kali-linux-docker
  • docker pull owasp/zap2docker-stable – официальный OWASP ZAP
  • docker pull wpscanteam/wpscan –
  • docker pull remnux/metasploit –
  • docker pull citizenstig/dvwa –
  • docker pull wpscanteam/vulnerablewordpress –
  • docker pull hmlio/vaas-cve-2014-6271 –
  • docker pull hmlio/vaas-cve-2014-0160 –
  • docker pull opendns/security-ninjas –
  • docker pull diogomonica/docker-bench-security –
  • docker pull ismisepaul/securityshepherd –
  • docker pull danmx/docker-owasp-webgoat –
  • docker-compose build && docker-compose up – OWASP NodeGoat
  • docker pull citizenstig/nowasp –
Источник:
 

Ar0x13

One Level
19.02.2017
7
2
BIT
0
Хорошая подборка, сам когда думал похожее сделать. Автор - спасибо:)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!