Главные инструменты специалиста по информационной безопасности

Сегодня мы предлагаем вам подборку инструментов которые пригодятся для очень широкого спектра задач. Данная подборка была проверена временем и используется повсеместно. Если вы начинающих хакер и даже если продвинутый спец, вам будет не лишним просмотреть этот список и возможно взять на вооружение что то новое!

Инструменты обеспечения сетевой безопасности и инструменты для проведения тестирования на проникновение чаще всего используются службами безопасности для проведения проверки на наличие уязвимостей в сети и приложениях. В данной статье вы сможете найти всеобъемлющий список инструментов для тестирования на проникновения, который включает в себя проведения пентеста во всех средах.

1. Сканеры для различных задач, тесты на проникновения, взлом.

OpenVAS – OpenVAS представляет собой структуру нескольких сервисов и инструментов, предлагающих комплексное и мощное решение для проверки уязвимостей и управления уязвимостями.

• Metasploit Framework – Инструмент для разработки и выполнения кода эксплойта против удаленной целевой машиной. Другие важные подпроекты включают в себя базу данных Opcode, архив shellcode и соответствующие исследования.
• Kali – Kali Linux является дистрибутивом Linux, основанным на Debian, который предназначен для цифровой криминалистики и проведения тестирования на проникновение. В Kali Linux предустановлены многочисленные программы для пентеста, в том числе nmap (сканер портов), Wireshark (анализатор пакетов), John the Ripper (взломщик паролей) и Aircrack-ng (программный пакет для тестирования беспроводных локальных сетей).
• pig – Инструмент для обработки пакетов Linux.
• scapy – Scapy: программа и библиотека интерактивных пакетных манипуляций на основе python.
• Pompem – Pompem является инструментом с открытым исходным кодом, который предназначен для автоматизации поиска эксплойтов в основных базах данных. Разработанный на основе Python, он имеет систему расширенного поиска, что облегчает работу пентестеров, а также этичных хакеров. В своей текущей версии выполняет поиск в базах данных: Exploit-db, 1337day, Packetstorm Security…
• Nmap – Nmap является бесплатной и утилитой с открытым исходным кодом для исследования сети и проверки безопасности

2. Сетевой мониторинг, сбор данных из открытых источников

• justniffer – Justniffer — это анализатор сетевых протоколов, который фиксирует сетевой трафик и создает журналы в индивидуальном порядке, может эмулировать лог файлы веб-сервера Apache, отслеживать время ответа и извлекать все «перехваченные» файлы из HTTP-трафика.
• httpry – httpry – это специализированный пакетный снифер, предназначенный для отображения и протоколирования HTTP-трафика. Он не предназначен для самого анализа, а лишь для сбора, обработки и регистрации трафика для его последующего анализа. Его можно запустить в режиме реального времени, отображая трафик, когда он разбирается, или как процесс демона, который регистрируется в выходном файле. httpry написан как максимально легкий и гибкий, так что его можно легко адаптировать к различным приложениям.
• ngrep – ngrep стремится предоставить большинство общих функций GNU grep, применяя их на сетевом уровне. ngrep — это инструмент, поддерживающий pcap, который позволит вам указывать расширенные регулярные или шестнадцатеричные выражения, чтобы они соответствовали пейлоадам данных пакетов. В настоящее время он распознает IPv4 / 6, TCP, UDP, ICMPv4 / 6, IGMP и Raw через Ethernet, PPP, SLIP, FDDI, Token Ring и нулевые интерфейсы, а также понимает логику фильтра BPF так же, как и более распространенные инструменты вроде tcpdump и snoop.
• passivedns – Инструмент для пассивного сбора записей DNS для того, чтобы помочь обработке различного рода инцидентов, мониторингу сетевой безопасности (NSM) и общей цифровой криминалистике. PassiveDNS исследует трафик с интерфейса или считывает файл pcap и выводит ответы DNS-сервера в файл журнала. PassiveDNS может кэшировать/объединять дубликаты DNS-ответов в памяти, ограничивая количество данных в лог-файле, без потери сути в ответе DNS.
• sagan – Sagan использует движок «Snort like» и правила для анализа журналов (syslog/event log/snmptrap/netflow/etc).
• Node Security Platform – Имеет подобный набор функций как Snyk, но является бесплатным в большинстве случаев и очень дешевым для другого рода случаев.
• ntopng – Ntopng это исследователь сетевого траффика, который показывает использование сети, подобно тому, что делает популярная команда в Unix.
• Fibratus – Fibratus — это инструмент для исследования и отслеживания ядра Windows. Он способен захватывать большую часть активности ядра Windows — процесс создания и завершения процессов/потоков, ввода/вывода файловой системы, реестра, сетевой активности, загрузки/выгрузки DLL и многого другого. Fibratus имеет очень простой CLI, который инкапсулирует механизмы для запуска коллектора событий ядра, устанавливает фильтры событий ядра или запускает легкие модули Python, называемые волокнами (filaments).

3. Инструменты сетевой разведки Honey Pot, Honey Net

• HoneyPy – HoneyPy представляет собой honeypot с низким и средним взаимодействием. Он предназначен для простого развертывания, расширения функциональности с помощью плагинов, а также для применения пользовательских конфигураций.
• link removed – Dionaea должен быть преемником nepenthes, внедряя python в качестве языка написания сценариев, используя libemu для обнаружения шеллкодов, поддерживающих ipv6 и tls.
• Conpot – ICS / SCADA Honeypot. Conpot представляет собой небольшую интерактивную серверную систему honeypot, предназначенную для простого развертывания, модификации и расширения. Предоставляя ряд общих протоколов управления производственным процессом, мы создали основы для создания вашей собственной системы, способной эмулировать сложные инфраструктуры, чтобы убедить злоумышленника в том, что он просто нашел огромный промышленный комплекс
• Amun – Amun представляет собой Honeypot на основе Python с низким взаимодействием.
• Glastopf – Glastopf — это Honeypot, который эмулирует тысячи уязвимостей для сбора данных об атаках, нацеленных на веб-приложения. Принцип, лежащий в его основе, очень прост: ответьте правильным ответ злоумышленнику, который использует веб-приложение.
• Kippo – Kippo — это honeypot с взаимодействием SSH среднего уровня, предназначенный для регистрации брутфорс атак и, самое главное, всего взаимодействия оболочки, выполняемого злоумышленником.
• Kojoney – Коджони — это honeypot с низким уровнем взаимодействия, который эмулирует SSH-сервер. Демон написан на Python, используя библиотеки Twisted Conch.
• HonSSH – HonSSH представляет собой Honey Pot с высоким взаимодействием. HonSSH будет находиться между атакующим и «медовым горшком» (honey pot), создавая между ними два отдельных SSH-соединения.
• Bifrozt – Bifrozt — это устройство NAT с DHCP-сервером, который обычно развертывается с одним сетевым адаптером, подключенным непосредственно к Интернету, и одним сетевым адаптером, подключенным к внутренней сети. Что отличает Bifrozt от других стандартных устройств NAT, так это его способность работать как прозрачный прокси-сервер SSHv2 между злоумышленником и вашим honeypot.
• HoneyDrive – HoneyDrive — главный дистрибутив Linux для honeypot. Это виртуальное устройство (OVA) с установленной версией Xubuntu Desktop 12.04.4 LTS. Он содержит более 10 предварительно установленных и предварительно сконфигурированных программных пакетов honeypot, таких как honeypot Kippo SSH, приманки для вредоносных программ Dionaea и Amun, honeypot с низким взаимодействием Honeyd, веб-honeypot Glastopf и Wordpot, honeypot SCPAD / ICS Conpot, honeyclients Thug и PhoneyC и другие.
• Cuckoo Sandbox – Cuckoo Sandbox — это программное обеспечение с открытым исходным кодом для автоматизации анализа подозрительных файлов. Для этого используются пользовательские компоненты, которые отслеживают поведение вредоносных процессов во время работы в изолированной среде.

4. Захват сетевых пакетов. Системы форензики

• tcpflow – tcpflow — это программа, которая захватывает данные, передаваемые как часть TCP-соединений (потоков), и сохраняет данные таким образом, который удобен для анализа и отладки протокола.
• Xplico – Целью Xplico является извлечение из интернет-трафика данных приложений. Например, из файла pcap Xplico извлекает каждый адрес электронной почты (протоколы POP, IMAP и SMTP), все содержимое HTTP, каждый VoIP-вызов (SIP), FTP, TFTP и т. д. Xplico не является анализатором сетевых протоколов. Xplico — это инструмент криминалистического анализа с открытым исходным кодом (NFAT).
• Moloch – Moloch представляет собой перехватчик пакетов IPv4 с открытым исходным кодом (packet capturing (PCAP)), с индексированием и системами баз данных. Простой веб-интерфейс предоставляется для просмотра, поиска и экспорта PCAP. Отображаются API-интерфейсы, которые позволяют напрямую загружать данные PCAP и JSON-данные сеанса. Простая безопасность реализована с помощью поддержки пароля HTTPS и HTTP-дайджеста или посредством использования apache. Moloch не предназначен для замены движка IDS, а вместо этого работает вместе с ними для хранения и индексирования всего сетевого трафика в стандартном формате PCAP, обеспечивая быстрый доступ. Moloch создан для развертывания во многих системах и может увеличивать свою производительность для обработки нескольких гигабит трафика в секунду.
• OpenFPC – OpenFPC — это набор инструментов, которые объединяются для предоставления легкого полнополосного сетевого регистратора трафика и системы буферизации. Цель проекта – дать возможность пользователям, не являющимся экспертами, развернуть распределенный сетевой трафик-рекордер на оборудовании COTS при интеграции в существующие средства управления логами и предупреждениями .
• Dshell – Dshell является сетью для криминалистического анализа. Позволяет быстро разрабатывать плагины для поддержки разбиения захватов сетевых пакетов.
• stenographer – Стенографист предназначен для захвата пакетов, целью которого является быстрое свертывание всех их на диск, а затем обеспечение простого и быстрого доступа к различного рода подмножествам этих пакетов.

5. Сетевые снифферы для работы в локальных и глобальных сетях.

• wireshark – Wireshark — бесплатный анализатор пакетов с открытым исходным кодом. Он используется для устранения неполадок, анализа, разработки программного обеспечения и коммуникаций в сети, а также обучения. Wireshark очень похож на tcpdump, но имеет графический интерфейс, а также некоторые интегрированные параметры сортировки и фильтрации.
• netsniff-ng – netsniff-ng представляет собой бесплатный набор инструментов для Linux. Его прирост производительности достигается с помощью механизмов нулевой копии (zero-copy mechanisms), поэтому при приеме и передаче пакетов ядру не нужно копировать пакеты из пространства ядра в пространство пользователя и наоборот.

6. Шифрование трафика при помощи VPN

• OpenVPN представляет собой приложение с открытым исходным кодом, которое реализует методы виртуальной частной сети (virtual private network (VPN)) для создания безопасных соединений «точка-точка» (point-to-point) или «сайт-сайт» (site-to-site) в маршрутизированных или мостовых конфигурациях и средствах удаленного доступа. Оно использует собственный протокол безопасности, который пользуется SSL/TLS для обмена ключами.