8306 подписчиков

Полезные инструменты для тестирования на проникновение для ИБ-специалистов

2 июня 20212 июн 2021

13 мин

Оглавление

Введение
Инструменты сетевой безопасности

В этой статье пойдет речь о полезных инструментах для пентестинга. Они пригодятся ИБ-специалистам в их практической деятельности.

Введение

Инструменты сетевой безопасности для тестирования на проникновение используются в отрасли ИТ-безопасности для обнаружения уязвимостей в приложениях.

Ниже представлен список полезных инструментов, с помощью которых можно провести пентестинг во всех средах.

Инструменты сетевой безопасности

Сканирование / Пентестинг

OpenVAS – это платформа из нескольких сервисов и инструментов, предлагающая комплексное и мощное решение для обнаружения уязвимостей и их устранения.
Metasploit Framework – один из лучших инструментов сетевой безопасности для разработки и выполнения кода эксплойта на целевой машине удаленно. Другие важные подпроекты включают в себя базу данных кодов операций, архив shell-кодов и связанные с этим исследования.
Kali Linux – это дистрибутив Linux на базе Debian, предназначенный для цифровой криминалистики и тестирования на проникновение. Kali Linux идет в комплекте с многими полезными программами, включая Nmap (сканер портов), Wireshark (анализатор пакетов), John the Ripper (взломщик паролей) и Aircrack-ng (программный комплекс для тестирования на проникновение беспроводных локальных сетей).
pig – это инструмент для создания пакетов Linux.
scapy – интерактивная библиотека для обработки пакетов на основе Python.
Pompem – это инструмент сетевой безопасности с открытым исходным кодом. Он предназначен для автоматизации поиска эксплойтов в основных базах данных. Разработанный на Python, данный инструмент имеет систему расширенного поиска, что облегчает работу пентестеров и этических хакеров. В текущей версии может выполнить поиск в базах данных: Exploit-db, 1337day, Packetstorm Security…
Nmap – это бесплатная утилита с открытым исходным кодом для обнаружения сети и проведения аудита безопасности.

Мониторинг / Логгинг

justniffer – это анализатор сетевых протоколов, который может захватывать сетевой трафик и создавать записи, эмулировать файлы журналов веб-сервера Apache, отслеживать время отклика и извлекать все перехваченные файлы из HTTP-трафика.
httpry – специализированный анализатор пакетов, предназначенный для отображения и регистрации HTTP-трафика. Он был разработан не только для выполнения самого анализа, но и для сбора и регистрации трафика для последующего его рассмотрения. Инструмент может работать в режиме реального времени, отображая трафик по мере его поступления, или как процесс-daemon, когда результаты анализа записываются в конечных файлах. Программа была написана таким образом, чтобы ее можно было легко адаптировать к различным приложениям.
ngrep стремится предоставить пользователям большинство нужных функций GNU grep. Это инструмент с поддержкой pcap, который дает возможность указывать расширенные регулярные или шестнадцатеричные выражения для сопоставления с полезной нагрузкой пакетов данных. В настоящее время он распознает IPv4/6, TCP, UDP, ICMPv4/6, IGMP и Raw через интерфейсы Ethernet; PPP, SLIP, FDDI, Token Ring и интерфейсы null. Программа также понимает логику фильтра BPF, как и другие инструменты для сниффинга пакетов, такие как tcpdump и snoop.
passivedns – один из лучших инструментов сетевой безопасности для пассивного сбора записей DNS, которые будут полезны в обработке инцидентов, мониторинге сетевой безопасности (NSM) и общей цифровой криминалистике. PassiveDNS улавливает трафик из интерфейса или считывает pcap-файл и выводит ответы DNS-сервера в файлах журнала. Он может кэшировать/агрегировать дубликаты ответов DNS в памяти, тем самым ограничивая объем данных в файле журнала без потери сущности в ответе DNS.
sagan предназначен для анализа журналов (syslog/event log/snmptrap/netflow/etc).
Node Security Platform имеет аналогичный функционал, как в Snyk. Обойдется пользователям дешевле, чем упомянутая последней программа.
ntopng – это зонд сетевого трафика, который показывает использование сети. Его функционал аналогичен тому, что делает популярная команда top Unix.
Fibratus – это инструмент для исследования и отслеживания активности ядра Windows. Он способен захватывать и анализировать большую часть его активности: создание и завершение процессов/потоков, ввод-вывод файловой системы, реестр, сетевую активность, загрузку/выгрузку DLL. Fibratus имеет очень простой CLI, который инкапсулирует механизм для запуска сборщика потока событий ядра, устанавливает фильтры и активирует модули Python, называемые нитями.

IDS / IPS / Host IDS / Host IPS

Snort – это бесплатная система для предотвращения сетевых вторжений с открытым исходным кодом (NIPS). Помимо этого, это также система обнаружения сетевых вторжений (NIDS), созданная Martin Roesch в 1998 году. Разработкой Snort теперь занимается компания Sourcefire, основателем и техническим директором которой является сам Roesch. В 2009 году Snort вошел в Зал славы InfoWorld с открытым исходным кодом как «одно из величайших программных обеспечений с открытым исходным кодом всех времен».
Bro – это мощная платформа сетевого анализа, которая сильно отличается от типичных IDS.
OSSEC – это комплексные HIDS с открытым исходным кодом. Не для слабонервных. Требуется немного времени, чтобы понять, как инструмент работает. Он выполняет анализ журналов, проверку целостности файлов, мониторинг политик безопасности, обнаружение руткитов, отправку оповещений в режиме реального времени и активное реагирование. Инструмент совместим с операционными системами, включая Linux, macOS, Solaris, HP-UX, AIX и Windows. Приятный бонус: различные варианты развертывания программ.
Suricata – это высокопроизводительный механизм мониторинга сетевых идентификаторов, IP-адресов и безопасности сети. Инструмент имеет открытый исходный код и принадлежит некоммерческому фонду сообщества Open Information Security Foundation (OISF). Suricata разрабатывается OISF и ее поставщиками.
Security Onion – это дистрибутив Linux для обнаружения вторжений, мониторинга сетевой безопасности и управления журналами. Он основан на Ubuntu и включает в себя Snort, Suricata, Bro, OSSEC, Sguil, Squert, Snorby, ELSA, Xplico, NetworkMiner и многие другие инструменты безопасности. Простой в использовании мастер настройки позволяет создать целую армию распределенных датчиков для своей компании за считанные минуты.
sshwatch занимается мониторингом IP-адреса для SSH, аналогично DenyHosts, написанном на Python. Он также может собирать информацию о злоумышленниках во время их атаки и записывать ее в журнале.
Stealth занимается проверкой целостности файлов. Контроллер работает с другой машины, что затрудняет взлом злоумышленника, поскольку файловая система проверяется с определенными псевдослучайными интервалами по SSH. Настоятельно рекомендуется для проведения небольших и средних развертываний.
AIEngine – это интерактивный (программируемый) движок следующего поколения для проверки пакетов Python/Ruby/Java/Lua с возможностями обучения без какого-либо вмешательства человека. Он оснащен функциональностью NIDS, классификацией доменов DNS, сетевым коллектором, сетевой криминалистикой и многими другими опциями.
Denyhosts дает возможность предотвращать атаки на основе словарей SSH и атаки грубой силы.
Fail2Ban сканирует файлы журналов и принимает меры в отношении IP-адресов, которые отличаются вредоносным поведением.
SSHGuard – программное обеспечение для защиты сервисов в дополнение к SSH. Оно было написано на C.
Lynis – инструмент аудита безопасности с открытым исходным кодом для Linux/Unix.

HoneyPot / HoneyNet

HoneyPy – это «приманка» для мошенников. Инструмент имеет простое развертывание, расширенную функциональность (с помощью плагинов) и допускает применение пользовательских конфигураций.
Dionaea предназначен для преемника nepenthes, встраивания Рython в качестве языка скриптов, использования libemu для обнаружения shell-кодов, поддержки ipv6 и tls.
Conpot – это ICS/SCADA honeypot. Инструмент задействует низкоинтерактивные серверные промышленные системы управления honeypot, предназначенные для простого развертывания, изменения и расширения функционала. Предоставляя ряд общих протоколов управления, разработчики подготовили основу для создания пользователем его собственной системы, способной эмулировать сложные инфраструктуры. Это убедит злоумышленника в том, что он только что обнаружил огромный промышленный комплекс.
Amun был создан на основе Python с низким уровнем взаимодействия.
Gl a stopf – это honeypot, который эмулирует тысячи уязвимостей для сбора данных от атак, нацеленных на веб-приложения. Принцип, лежащий в его основе, очень прост: нужно отправить злоумышленнику, атакующему веб-приложение, подходящий ответ.
Kippo – это среда взаимодействия SSH honeypot, предназначенная для регистрации атак грубой силы и, самое главное, всех действий c Shell со стороны злоумышленника.
Kojoney – это honeypot с низким уровнем взаимодействия, который эмулирует SSH-сервер. Его daemon был написан на Python с использованием библиотек Twisted Conch.
HonSSH – это решение с высоким уровнем взаимодействия. HonSSH будет находиться между злоумышленником и honeypot, создавая между ними два отдельных SSH-соединения.
Bifrozt – это устройство NAT с DHCP-сервером, которое обычно развертывается с помощью одной сетевой карты, подключенной непосредственно к Интернету, и другой сетевой карты, подключенной к внутренней сети. Что отличает Bifrozt от других стандартных устройств NAT, так это его способность работать в качестве прозрачного прокси-сервера SSHv2 между злоумышленником и honeypot.
HoneyDrive является ведущим дистрибутивом honeypot от Linux. Это виртуальное устройство (OVA) с установленной версией Xubuntu Desktop 12.04.4 LTS. Он содержит более 10 предустановленных и предварительно настроенных программных пакетов honeypot, таких как Kippo SSH, Dionaea и Amun malware, Honeyd low-interaction, Glastopf web и Wordpot, Conpot SCADA/ICS, Thug и PhoneyC.
Cuckoo Sandbox – это программное обеспечение с открытым исходным кодом для автоматизации анализа подозрительных файлов. Для этого инструмент использует пользовательские компоненты, которые отслеживают поведение вредоносных процессов во время работы в изолированной среде.

Полный захват пакетов / Криминалистическая экспертиза

tcpflow – это программа, которая захватывает данные, передаваемые в рамках TCP-соединений (потоков), и хранит их удобным для анализа и отладки протоколов способом.
Целью Xplico является извлечение из захваченного интернет-трафика содержащихся в приложениях данных. Например, из файла pcap Xplico извлекает каждое электронное письмо (протоколы POP, IMAP и SMTP), все содержимое HTTP, каждый VoIP-вызов (SIP), FTP, TFTP. Xplico не является анализатором сетевых протоколов — это инструмент сетевого криминалистического анализа с открытым исходным кодом (NFAT).
Moloch – это система с открытым исходным кодом. Она крупномасштабная и подходит для захвата пакетов IPv4 (PCAP), индексирования и просмотра баз данных. Для просмотра, поиска и экспорта PCAP предусмотрен простой веб-интерфейс. Доступны API-интерфейсы, которые позволяют напрямую загружать данные PCAP и данные сеанса в формате JSON. Безопасность реализуется с помощью поддержки паролей HTTPS и HTTP digest или с помощью Apache. Moloch не предназначен для замены движков IDS, а вместо этого работает вместе с ними, чтобы хранить и индексировать весь сетевой трафик в стандартном формате PCAP, обеспечивая к немy быстрый доступ. Инструмент создан для развертывания во многих системах и может масштабироваться для обработки трафика со скоростью несколько ГБ/c.
OpenFPC – это набор инструментов, которые работают воедино, чтобы обеспечить легкую систему записи и буферизации сетевого трафика с полным пакетом. Цель инструмента состоит в том, чтобы позволить пользователям, не являющимся экспертами, развернуть регистратор распределенного сетевого трафика на оборудовании COTS, интегрируясь в существующие инструменты управления и журналами.
Dshell – это фреймворк для сетевого криминалистического анализа. Позволяет быстро разрабатывать плагины для разделения захватов сетевых пакетов.
stenographer – это решение для захвата пакетов. Оно занимается их загрузкой на диск, а затем обеспечивает простой и быстрый доступ к подмножествам этих пакетов.

Инструменты сетевой безопасности на основе сниффинга

wireshark – это бесплатный анализатор пакетов с открытым исходным кодом. Он используется для устранения неполадок в сети, анализа, разработки программного обеспечения и протоколов связи. Wireshark очень похож на tcpdump, но обладает графическим интерфейсом, а также некоторыми встроенными параметрами сортировки и фильтрации.
netsniff-ng – это бесплатный сетевой инструментарий Linux. Его производительность достигается за счет механизмов нулевого копирования, так что при приеме и передаче пакетов ПК не нужно копировать пакеты из пространства ядра в пространство пользователя и наоборот.
Live HTTP headers – это бесплатный аддон Firefox для просмотра запросов браузера в режиме реального времени. Он показывает все заголовки запросов и может быть использован для поиска лазеек в безопасности.

SIEM – Инструменты сетевой безопасности

Prelude – это универсальная система (SIEM). Она собирает, нормализует, сортирует, агрегирует, коррелирует и сообщает обо всех событиях, связанных с безопасностью, независимо от бренда продукта или лицензии.
OSSIM предоставляет все функции, необходимые профессионалу в области безопасности – сбор, нормализация и корреляция событий.
FIR включает в себя быстрое реагирование на инциденты.

VPN

OpenVPN – это программное обеспечение с открытым исходным кодом, которое реализует методы виртуальной частной сети (VPN) для создания безопасных соединений «точка-точка» или «сайт-сайт» в маршрутизируемых или мостовых конфигурациях и средствах удаленного доступа. Инструмент использует пользовательский протокол безопасности, который применяет SSL/TLS для обмена ключами.

Быстрая обработка пакетов

DPDK – это набор библиотек и драйверов для быстрой обработки пакетов.
PFQ – это функциональная сетевая структура, разработанная для операционной системы Linux. Она обеспечивает эффективный захват/передачу пакетов (10G и выше), функциональную обработку в ядре и управление пакетами через сокеты/конечные точки.
PF_RING – это новый тип сетевого сокета, который значительно повышает скорость захвата пакетов.
PF_RING ZC (Zero Copy) – это гибкая структура обработки пакетов, которая позволяет достичь скорости на линии 1/10 Гбит (как RX, так и TX) при любом размере пакета. Она реализует операции нулевого копирования, включая шаблоны для взаимодействия между процессами и виртуальными машинами (KVM).
PACKET_MMAP/TPACKET/AF_PACKET можно использовать для повышения производительности процесса захвата и передачи пакетов в Linux.
netmap – это платформа для высокоскоростного пакетного ввода-вывода. Вместе с сопутствующим программным коммутатором VALE она реализована как единый модуль ядра и доступна для FreeBSD, Linux, а теперь и Windows.

Инструменты сетевой безопасности на основе межсетевого экрана

pfSense – дистрибутив межсетевого экрана и маршрутизатора FreeBSD.
OPNsense – это платформа на основе FreeBSD с открытым исходным кодом, простая в использовании и сборке. OPNsense включает в себя большинство функций, доступных в дорогих коммерческих межсетевых экранах. Он предоставляет пользователю богатый набор коммерческих предложений с преимуществами открытых и проверяемых источников.
fwknop защищает порты с помощью авторизации одного пакета в межсетевом экране.

Анти-СПАМ