Начинающим Инструменты для обеспечения сетевой безопасности и проведения тестирования на проникновение.

Teplov4

Резидент
179
212
23 Ноя 2016
Сканирование/Пентестинг

  • Для просмотра ссылки Войди или Зарегистрируйся – OpenVAS представляет собой структуру нескольких сервисов и инструментов, предлагающих комплексное и мощное решение для проверки уязвимостей и управления уязвимостями.
  • Для просмотра ссылки Войди или Зарегистрируйся – Инструмент для разработки и выполнения кода эксплойта против удаленной целевой машиной. Другие важные подпроекты включают в себя базу данных Opcode, архив shellcode и соответствующие исследования.
  • Для просмотра ссылки Войди или Зарегистрируйся – Kali Linux является дистрибутивом Linux, основанным на Debian, который предназначен для цифровой криминалистики и проведения тестирования на проникновение. В Kali Linux предустановлены многочисленные программы для пентеста, в том числе nmap (сканер портов), Wireshark (анализатор пакетов), John the Ripper (взломщик паролей) и Aircrack-ng (программный пакет для тестирования беспроводных локальных сетей).
  • Для просмотра ссылки Войди или Зарегистрируйся – Инструмент для обработки пакетов Linux.
  • Для просмотра ссылки Войди или Зарегистрируйся – Scapy: программа и библиотека интерактивных пакетных манипуляций на основе python.
  • Для просмотра ссылки Войди или Зарегистрируйся – Pompem является инструментом с открытым исходным кодом, который предназначен для автоматизации поиска эксплойтов в основных базах данных. Разработанный на основе Python, он имеет систему расширенного поиска, что облегчает работу пентестеров, а также этичных хакеров. В своей текущей версии выполняет поиск в базах данных: Exploit-db, 1337day, Packetstorm Security...
  • Для просмотра ссылки Войди или Зарегистрируйся – Nmap является бесплатной и утилитой с открытым исходным кодом для исследования сети и проверки безопасности.
Мониторинг/Сбор данных

  • Для просмотра ссылки Войди или Зарегистрируйся – Justniffer - это анализатор сетевых протоколов, который фиксирует сетевой трафик и создает журналы в индивидуальном порядке, может эмулировать лог файлы веб-сервера Apache, отслеживать время ответа и извлекать все «перехваченные» файлы из HTTP-трафика.
  • Для просмотра ссылки Войди или Зарегистрируйся – httpry – это специализированный пакетный снифер, предназначенный для отображения и протоколирования HTTP-трафика. Он не предназначен для самого анализа, а лишь для сбора, обработки и регистрации трафика для его последующего анализа. Его можно запустить в режиме реального времени, отображая трафик, когда он разбирается, или как процесс демона, который регистрируется в выходном файле. httpry написан как максимально легкий и гибкий, так что его можно легко адаптировать к различным приложениям.
  • Для просмотра ссылки Войди или Зарегистрируйся – ngrep стремится предоставить большинство общих функций GNU grep, применяя их на сетевом уровне. ngrep - это инструмент, поддерживающий pcap, который позволит вам указывать расширенные регулярные или шестнадцатеричные выражения, чтобы они соответствовали пейлоадам данных пакетов. В настоящее время он распознает IPv4 / 6, TCP, UDP, ICMPv4 / 6, IGMP и Raw через Ethernet, PPP, SLIP, FDDI, Token Ring и нулевые интерфейсы, а также понимает логику фильтра BPF так же, как и более распространенные инструменты вроде tcpdump и snoop.
  • Для просмотра ссылки Войди или Зарегистрируйся – Инструмент для пассивного сбора записей DNS для того, чтобы помочь обработке различного рода инцидентов, мониторингу сетевой безопасности (NSM) и общей цифровой криминалистике. PassiveDNS исследует трафик с интерфейса или считывает файл pcap и выводит ответы DNS-сервера в файл журнала. PassiveDNS может кэшировать/объединять дубликаты DNS-ответов в памяти, ограничивая количество данных в лог-файле, без потери сути в ответе DNS.
  • Для просмотра ссылки Войди или Зарегистрируйся – Sagan использует движок «Snort like» и правила для анализа журналов (syslog/event log/snmptrap/netflow/etc).
  • Для просмотра ссылки Войди или Зарегистрируйся – Имеет подобный набор функций как Snyk, но является бесплатным в большинстве случаев и очень дешевым для другого рода случаев.
  • Для просмотра ссылки Войди или Зарегистрируйся – Ntopng это исследователь сетевого траффика, который показывает использование сети, подобно тому, что делает популярная команда в Unix.
  • Для просмотра ссылки Войди или Зарегистрируйся – Fibratus - это инструмент для исследования и отслеживания ядра Windows. Он способен захватывать большую часть активности ядра Windows - процесс создания и завершения процессов/потоков, ввода/вывода файловой системы, реестра, сетевой активности, загрузки/выгрузки DLL и многого другого. Fibratus имеет очень простой CLI, который инкапсулирует механизмы для запуска коллектора событий ядра, устанавливает фильтры событий ядра или запускает легкие модули Python, называемые волокнами (filaments).
IDS / IPS / Host IDS / Host IPS

  • Для просмотра ссылки Войди или Зарегистрируйся – Snort - это система предотвращения вторжений в сеть с открытым исходным кодом (NIPS) и система обнаружения сетевых вторжений (NIDS), созданная Мартином Рошем (Martin Roesch) в 1998 году. Snort теперь разрабатывается Sourcefire, где Рош является основателем и техническим директором. В 2009 году Snort вошла в Зал славы InfoWorld в качестве одного из «самых больших проектов программного обеспечения с открытым исходным кодом за все время».
  • Для просмотра ссылки Войди или Зарегистрируйся – Bro - мощный фреймворк сетевого анализа, который сильно отличается от типичных IDS, которые вы можете знать.
  • Для просмотра ссылки Войди или Зарегистрируйся – расшифровывается как Comprehensive Open Source HIDS. Не для слабонервных. Потребуется немало времени, чтобы понять, как он работает. Он способен выполнять анализ журнала, проверку целостности файлов, обнаружение руткитов, и предоставляет оповещение в реальном времени и активный ответ. Он работает на большинстве операционных систем, включая Linux, MacOS, Solaris, HP-UX, AIX и Windows. Имеется много полезной документации позволяющей вам ознакомиться с его принципами работы.
  • Для просмотра ссылки Войди или Зарегистрируйся – Suricata - это высокопроизводительный сетевой IDS, IPS и механизм мониторинга сетевой безопасности. Имеет открытый исходный код и принадлежит некоммерческому фонду, основанному на сообществе под названием Open Information Security Foundation (OISF). Suricata разрабатывается OISF и поддерживающими ее поставщиками.
  • Для просмотра ссылки Войди или Зарегистрируйся – Security Onion - это дистрибутив Linux для обнаружения вторжений, мониторинга сетевой безопасности и управления журналами. Он основан на Ubuntu и содержит Snort, Suricata, Bro, OSSEC, Sguil, Squert, Snorby, ELSA, Xplico, NetworkMiner и многие другие инструменты безопасности. Простой в использовании Мастер установки позволяет вам создать армию датчиков для вашего предприятия за считанные минуты!
  • Для просмотра ссылки Войди или Зарегистрируйся – IPS для SSH, аналогичный DenyHosts, написанный на Python. Он также может собирать информацию о злоумышленнике в журнале во время атаки.
  • Для просмотра ссылки Войди или Зарегистрируйся – предоставляет вам проверку целостности файла, которая практически не оставляет следов. Контроллер запускается с другого компьютера, что затрудняет понимание злоумышленником того факта, что файловая система проверяется в определенных псевдослучайных интервалах через SSH.Очень рекомендуется для небольших и средних объемов работы.
  • Для просмотра ссылки Войди или Зарегистрируйся – AIEngine является интерактивным/программируемым движком Python/Ruby/Java/Lua следующего поколения для отслеживания пакетов с возможностями обучения без вмешательства человека, функциональностью NIDS (Network Intrusion Detection System), классификацией доменов DNS, сборщиком сети (network collector), сетевой криминалистикой и многим другим.
  • Для просмотра ссылки Войди или Зарегистрируйся – Успешно противостоит SSH атакам перебора по словарю, а также брутфорс атакам.
  • Для просмотра ссылки Войди или Зарегистрируйся – Сканирует лог файлы и принимает соответствующие меры относительно тех IP-адресов, которые подают определенные признаки вредоносного поведения.
  • Для просмотра ссылки Войди или Зарегистрируйся – Программное обеспечение для защиты служб в дополнение к SSH, написанное на C.
  • Для просмотра ссылки Войди или Зарегистрируйся – инструмент проверки и контроля за безопасностью с открытым исходным кодом для Linux/Unix.
Honey Pot/Honey Net

  • Для просмотра ссылки Войди или Зарегистрируйся – HoneyPy представляет собой honeypot с низким и средним взаимодействием. Он предназначен для простого развертывания, расширения функциональности с помощью плагинов, а также для применения пользовательских конфигураций.
  • Для просмотра ссылки Войди или Зарегистрируйся – Dionaea должен быть преемником nepenthes, внедряя python в качестве языка написания сценариев, используя libemu для обнаружения шеллкодов, поддерживающих ipv6 и tls.
  • Для просмотра ссылки Войди или Зарегистрируйся – ICS / SCADA Honeypot. Conpot представляет собой небольшую интерактивную серверную систему honeypot, предназначенную для простого развертывания, модификации и расширения. Предоставляя ряд общих протоколов управления производственным процессом, мы создали основы для создания вашей собственной системы, способной эмулировать сложные инфраструктуры, чтобы убедить злоумышленника в том, что он просто нашел огромный промышленный комплекс
  • Для просмотра ссылки Войди или Зарегистрируйся – Amun представляет собой Honeypot на основе Python с низким взаимодействием.
  • Для просмотра ссылки Войди или Зарегистрируйся – Glastopf - это Honeypot, который эмулирует тысячи уязвимостей для сбора данных об атаках, нацеленных на веб-приложения. Принцип, лежащий в его основе, очень прост: ответьте правильным ответ злоумышленнику, который использует веб-приложение.
  • Для просмотра ссылки Войди или Зарегистрируйся – Kippo - это honeypot с взаимодействием SSH среднего уровня, предназначенный для регистрации брутфорс атак и, самое главное, всего взаимодействия оболочки, выполняемого злоумышленником.
  • Для просмотра ссылки Войди или Зарегистрируйся – Коджони - это honeypot с низким уровнем взаимодействия, который эмулирует SSH-сервер. Демон написан на Python, используя библиотеки Twisted Conch.
  • Для просмотра ссылки Войди или Зарегистрируйся – HonSSH представляет собой Honey Pot с высоким взаимодействием. HonSSH будет находиться между атакующим и «медовым горшком» (honey pot), создавая между ними два отдельных SSH-соединения.
  • Для просмотра ссылки Войди или Зарегистрируйся – Bifrozt - это устройство NAT с DHCP-сервером, который обычно развертывается с одним сетевым адаптером, подключенным непосредственно к Интернету, и одним сетевым адаптером, подключенным к внутренней сети. Что отличает Bifrozt от других стандартных устройств NAT, так это его способность работать как прозрачный прокси-сервер SSHv2 между злоумышленником и вашим honeypot.
  • Для просмотра ссылки Войди или Зарегистрируйся – HoneyDrive - главный дистрибутив Linux для honeypot. Это виртуальное устройство (OVA) с установленной версией Xubuntu Desktop 12.04.4 LTS. Он содержит более 10 предварительно установленных и предварительно сконфигурированных программных пакетов honeypot, таких как honeypot Kippo SSH, приманки для вредоносных программ Dionaea и Amun, honeypot с низким взаимодействием Honeyd, веб-honeypot Glastopf и Wordpot, honeypot SCPAD / ICS Conpot, honeyclients Thug и PhoneyC и другие.
  • Для просмотра ссылки Войди или Зарегистрируйся – Cuckoo Sandbox - это программное обеспечение с открытым исходным кодом для автоматизации анализа подозрительных файлов. Для этого используются пользовательские компоненты, которые отслеживают поведение вредоносных процессов во время работы в изолированной среде.
Полный захват пакетов / Форензика

  • Для просмотра ссылки Войди или Зарегистрируйся – tcpflow - это программа, которая захватывает данные, передаваемые как часть TCP-соединений (потоков), и сохраняет данные таким образом, который удобен для анализа и отладки протокола.
  • Для просмотра ссылки Войди или Зарегистрируйся – Целью Xplico является извлечение из интернет-трафика данных приложений. Например, из файла pcap Xplico извлекает каждый адрес электронной почты (протоколы POP, IMAP и SMTP), все содержимое HTTP, каждый VoIP-вызов (SIP), FTP, TFTP и т. д. Xplico не является анализатором сетевых протоколов. Xplico - это инструмент криминалистического анализа с открытым исходным кодом (NFAT).
  • Для просмотра ссылки Войди или Зарегистрируйся – Moloch представляет собой перехватчик пакетов IPv4 с открытым исходным кодом (packet capturing (PCAP)), с индексированием и системами баз данных. Простой веб-интерфейс предоставляется для просмотра, поиска и экспорта PCAP. Отображаются API-интерфейсы, которые позволяют напрямую загружать данные PCAP и JSON-данные сеанса. Простая безопасность реализована с помощью поддержки пароля HTTPS и HTTP-дайджеста или посредством использования apache. Moloch не предназначен для замены движка IDS, а вместо этого работает вместе с ними для хранения и индексирования всего сетевого трафика в стандартном формате PCAP, обеспечивая быстрый доступ. Moloch создан для развертывания во многих системах и может увеличивать свою производительность для обработки нескольких гигабит трафика в секунду.
  • Для просмотра ссылки Войди или Зарегистрируйся – OpenFPC - это набор инструментов, которые объединяются для предоставления легкого полнополосного сетевого регистратора трафика и системы буферизации. Цель проекта – дать возможность пользователям, не являющимся экспертами, развернуть распределенный сетевой трафик-рекордер на оборудовании COTS при интеграции в существующие средства управления логами и предупреждениями .
  • Для просмотра ссылки Войди или Зарегистрируйся – Dshell является сетью для криминалистического анализа. Позволяет быстро разрабатывать плагины для поддержки разбиения захватов сетевых пакетов.
  • Для просмотра ссылки Войди или Зарегистрируйся – Стенографист предназначен для захвата пакетов, целью которого является быстрое свертывание всех их на диск, а затем обеспечение простого и быстрого доступа к различного рода подмножествам этих пакетов.
Сниффер

  • Для просмотра ссылки Войди или Зарегистрируйся – Wireshark - бесплатный анализатор пакетов с открытым исходным кодом. Он используется для устранения неполадок, анализа, разработки программного обеспечения и коммуникаций в сети, а также обучения. Wireshark очень похож на tcpdump, но имеет графический интерфейс, а также некоторые интегрированные параметры сортировки и фильтрации.
  • Для просмотра ссылки Войди или Зарегистрируйся – netsniff-ng представляет собой бесплатный набор инструментов для Linux. Его прирост производительности достигается с помощью механизмов нулевой копии (zero-copy mechanisms), поэтому при приеме и передаче пакетов ядру не нужно копировать пакеты из пространства ядра в пространство пользователя и наоборот.
  • Для просмотра ссылки Войди или Зарегистрируйся – это бесплатный аддон Firefox,позволяющий просматривать запросы браузера в режиме реального времени. Он отображает все хедеры запросов и может использоваться для поиска лазеек в безопасности.
Информация о безопасности и управление событиями

  • Для просмотра ссылки Войди или Зарегистрируйся – это универсальная система безопасности и управления событиями (SIEM). Prelude собирает, нормализует, сортирует, объединяет, сопоставляет и сообщает обо всех событиях, связанных с безопасностью, независимо от бренда продукта или лицензии. Prelude поставляется «без агента» (agentless).
  • Для просмотра ссылки Войди или Зарегистрируйся – OSSIM предоставляет все функции, необходимые профессионалам в сфере безопасности из предложения SIEM - сбор, нормализация и корреляция событий.
  • Для просмотра ссылки Войди или Зарегистрируйся – Fast Incident Response (Быстрая реакция на происшествия), платформа управления инцидентами в сфере кибербезопасности.
VPN

  • Для просмотра ссылки Войди или Зарегистрируйся представляет собой приложение с открытым исходным кодом, которое реализует методы виртуальной частной сети (virtual private network (VPN)) для создания безопасных соединений «точка-точка» (point-to-point) или «сайт-сайт» (site-to-site) в маршрутизированных или мостовых конфигурациях и средствах удаленного доступа. Оно использует собственный протокол безопасности, который пользуется SSL/TLS для обмена ключами.
Быстрая обработка пакетов

  • Для просмотра ссылки Войди или Зарегистрируйся – DPDK - это набор библиотек и драйверов для быстрой обработки пакетов.
  • Для просмотра ссылки Войди или Зарегистрируйся – PFQ - это функциональный сетевой фреймворк, разработанный для операционной системы Linux, который позволяет эффективно захватывать/передавать пакеты (10G и более), функциональную обработку в ядре и пакеты, управляющие через сокеты/конечные точки.
  • Для просмотра ссылки Войди или Зарегистрируйся – PF_RING - это новый тип сетевого сокета, который значительно улучшает скорость захвата пакетов.
  • Для просмотра ссылки Войди или Зарегистрируйся – PF_RING ZC (Zero Copy) - это гибкий фреймворк пакетной обработки, который позволяет вам достичь пакетную скорость передачи размером от 1 до 10 Гбит (как RX, так и TX) при любом размере пакета. Он реализует операции нулевой копии (zero copy), включая шаблоны для межпроцессных и коммуникций inter-VM (KVM).
  • Для просмотра ссылки Войди или Зарегистрируйся – Довольно хорошо использовать PACKET_MMAP для повышения производительности процесса захвата и передачи в Linux.
  • Для просмотра ссылки Войди или Зарегистрируйся – netmap - это платформа для высокоскоростного пакетного ввода-вывода. Вместе со своим программным коммутатором VALE он реализован как единый модуль ядра и доступен для FreeBSD, Linux и теперь также для Windows.
Брандмауэр

  • Для просмотра ссылки Войди или Зарегистрируйся – дистрибутив брандмауэра и маршрутизатора FreeBSD.
  • Для просмотра ссылки Войди или Зарегистрируйся – это открытый, простой в использовании и простой в построении брандмауэр на базе FreeBSD, а также и платформа маршрутизации. OPNsense включает большинство функций, доступных в дорогих коммерческих брандмауэрах, и многое другое во различного рода случаях. Это приносит богатый набор функций коммерческих предложений с преимуществами, которыми обладают открытые и проверяемые источники.
  • Для просмотра ссылки Войди или Зарегистрируйся – Защищает порты через авторизацию при помощи единственного крипто-пакета (Single Packet Authorization) в вашем брандмауэре.
Анти-спам

  • Для просмотра ссылки Войди или Зарегистрируйся – Мощный и популярный спам-фильтр для электронной почты, использующий различные методы обнаружения.
Docker образы для проведения тестирования на проникновение и обеспечения безопасности