Ferramentas de Pentest mais importantes para profissionais de segurança

As ferramentas de segurança de rede e testes de penetração são mais usadas pelos setores de segurança para testar as vulnerabilidades em redes e aplicativos. Aqui você pode encontrar a lista de ferramentas de teste de Penetração de Rede Abrangente que cobre a Operação de Teste de Penetração em todo o Ambiente.

Segurança de rede e ferramentas de teste de penetração

Digitalização / Pentesting

  • OpenVAS – OpenVAS é uma estrutura de vários serviços e ferramentas que oferece uma solução abrangente e poderosa de varredura de vulnerabilidades e gerenciamento de vulnerabilidades.
  • Metasploit Framework – Uma ferramenta para desenvolver e executar código de exploração contra uma máquina de destino remota. Outros subprojetos importantes incluem o banco de dados Opcode, arquivo de código shell e pesquisas relacionadas.
  • Kali – Kali Linux é uma distribuição Linux derivada do Debian, projetada para análise forense digital e testes de penetração. O Kali Linux é pré-instalado com inúmeros programas de testes de penetração, incluindo nmap (um scanner de porta), Wireshark (um analisador de pacotes), John the Ripper (um cracker de senhas) e Aircrack-ng (um conjunto de software para LANs sem fio) .
  • pig – Uma ferramenta de criação de pacotes Linux.
  • scapy – Scapy: o programa e biblioteca de manipulação de pacotes interativos baseados em python.
  • Pompem – Pompem é uma ferramenta de código aberto, projetada para automatizar a busca de explorações em grandes bancos de dados. Desenvolvido em Python, possui um sistema de busca avançada, facilitando assim o trabalho de pentesters e hackers éticos. Em sua versão atual, executa pesquisas em bancos de dados: Exploit-db, 1337day, Packetstorm Security…
  • Nmap – Nmap é um utilitário gratuito e de código aberto para descoberta de rede e auditoria de segurança.

Monitoramento / Logging

  • justniffer – O Justniffer é um analisador de protocolo de rede que captura o tráfego de rede e produz logs de maneira customizada, pode emular arquivos de log do servidor web Apache, rastrear tempos de resposta e extrair todos os arquivos “interceptados” do tráfego HTTP.
  • httpry – httpry é um sniffer de pacote especializado projetado para exibir e registrar o tráfego HTTP. Não se destina a executar a análise em si, mas a capturar, analisar e registrar o tráfego para análise posterior. Ele pode ser executado em tempo real, exibindo o tráfego à medida que é analisado ou como um processo do daemon que registra em um arquivo de saída. É escrito para ser o mais leve e flexível possível, para que possa ser facilmente adaptável a diferentes aplicações.
  • ngrep -ngrep se esforça para fornecer a maioria dos recursos comuns do GNU grep, aplicando-os à camada de rede. O ngrep é uma ferramenta que reconhece o pcap e permite especificar expressões estendidas regulares ou hexadecimais para corresponder às cargas de dados dos pacotes. Atualmente reconhece IPv4 / 6, TCP, UDP, ICMPv4 / 6, IGMP e Raw em interfaces Ethernet, PPP, SLIP, FDDI, Token Ring e nula, e compreende a lógica do filtro BPF da mesma forma que as ferramentas mais comuns de sniffing de pacotes, como como tcpdump e snoop.
  • passivedns – Uma ferramenta para coletar registros DNS passivamente para ajudar no tratamento de Incidentes, Network Security Monitoring (NSM) e forense digital geral. PassiveDNS detecta o tráfego de uma interface ou lê um arquivo pcap e envia as respostas do servidor DNS para um arquivo de log. O PassiveDNS pode armazenar em cache / agregar respostas DNS duplicadas na memória, limitando a quantidade de dados no arquivo de registro sem perder os essens na resposta do DNS.
  • sagan – Sagan usa um mecanismo ‘Snort like’ e regras para analisar logs (syslog / event log / snmptrap / netflow / etc).
  • Node Security Platform – recurso semelhante definido para Snyk, mas livre na maioria dos casos, e muito barato para os outros.
  • ntopng – Ntopng é uma sonda de tráfego de rede que mostra o uso da rede, similar ao que o popular comando Unix faz.
  • Fibratus – Fibratus é uma ferramenta para exploração e rastreamento do kernel do Windows. Ele é capaz de capturar a maior parte da atividade do kernel do Windows – criação / encerramento de processos / threads, E / S de arquivos, registro, atividade de rede, carregamento / descarregamento de DLLs e muito mais. O Fibratus tem uma CLI muito simples que encapsula o maquinário para iniciar o coletor de fluxo de eventos do kernel, configurar filtros de eventos do kernel ou executar os módulos Python leves chamados de filamentos.

IDS / IPS / Host IDS / Host IPS

  • Snort – O Snort é um sistema de prevenção de intrusões de rede (NIPS) gratuito e de código aberto (NIDS) criado por Martin Roesch em 1998. O Snort é agora desenvolvido pela Sourcefire, do qual Roesch é o fundador e CTO. Em 2009, Snort entrou no Open Source Hall of Fame da InfoWorld como um dos “maiores [softwares de código aberto] de todos os tempos”.
  • O Bro -Bro é um poderoso framework de análise de rede que é muito diferente do típico IDS que você pode conhecer.
  • OSSEC – Abrangente HIDS Open Source. Não para os fracos de coração. Demora um pouco para entender como funciona. Executa análise de logs, verificação de integridade de arquivos, monitoramento de políticas, detecção de rootkits, alertas em tempo real e respostas ativas. Ele é executado na maioria dos sistemas operacionais, incluindo Linux, MacOS, Solaris, HP-UX, AIX e Windows. Muita documentação razoável. O ponto ideal são implementações de médio a grande porte.
  • Suricata – Suricata é um mecanismo de alto desempenho para IDS de Rede, IPS e Monitoramento de Segurança de Rede. Código Aberto e de propriedade de uma fundação sem fins lucrativos administrada pela comunidade, o Open Information Security Foundation (OISF). O Suricata é desenvolvido pelo OISF e seus fornecedores de suporte.
  • Security Onion – Security Onion é uma distribuição Linux para detecção de intrusão, monitoramento de segurança de rede e gerenciamento de log. É baseado no Ubuntu e contém Snort, Suricata, Bro, OSSEC, Sguil, Squert, Snorby, ELSA, Xplico, NetworkMiner e muitas outras ferramentas de segurança. O assistente de configuração fácil de usar permite que você crie um exército de sensores distribuídos para sua empresa em minutos!
  • sshwatch – IPS para SSH semelhante ao DenyHosts escrito em Python. Ele também pode reunir informações sobre o invasor durante o ataque em um log.
  • Stealth – Verificador de integridade de arquivos que praticamente não deixa sedimentos. O controlador é executado a partir de outra máquina, o que dificulta que um invasor saiba que o sistema de arquivos está sendo verificado em intervalos pseudo-aleatórios definidos por SSH. Altamente recomendado para pequenas e médias implantações.
  • AIEngine – AIEngine é um mecanismo de inspeção de pacotes Python / Ruby / Java / Lua interativa / programável de última geração com capacidades de aprendizagem sem intervenção humana, funcionalidade NIDS (Network Intrusion Detection System), classificação de domínio DNS, coletor de rede, forense de rede e muitos outros .
  • Denyhosts – Thwart ataques baseados em dicionário SSH e ataques de força bruta.
  • Fail2Ban – verifica arquivos de log e executa ações em IPs que mostram comportamento mal-intencionado.
  • SSHGuard – Um software para proteger serviços além do SSH, escrito em C
  • Lynis – uma ferramenta de auditoria de segurança de código aberto para Linux / Unix.

Honey potHoney Network

  • HoneyPy – HoneyPy é um honeypot de interação de baixa a média. Destina-se a ser fácil de: implantar, estender a funcionalidade com plug-ins e aplicar configurações personalizadas.
  • Dionaea – Dionaea é um sucessor nepenthes, incorporando python como linguagem de script, usando a libemu para detectar códigos shell, suportando ipv6 e tls.
  • Conpot – ICS / SCADA Honeypot. O Conpot é um honeypot da Industrial Control Systems, com baixo nível de servidor interativo, projetado para ser fácil de implantar, modificar e estender. Ao fornecer uma gama de protocolos comuns de controle industrial, criamos o básico para construir seu próprio sistema, capaz de emular infraestruturas complexas para convencer um adversário de que ele acabou de encontrar um enorme complexo industrial.
  • Honeypot baseado em Python baseado em Python Amun – Amun.
  • Glastopf – Glastopf é um honeypot que emula milhares de vulnerabilidades para coletar dados de ataques direcionados a aplicativos da web. O princípio por trás disso é muito simples: responda a resposta correta ao invasor que está explorando o aplicativo da web.
  • Kippo – Kippo é um honeypot SSH de interação média projetado para registrar ataques de força bruta e, mais importante, toda a interação de shell executada pelo atacante.
  • Kojoney – Kojoney é um honeypot de interação de baixo nível que emula um servidor SSH. O daemon é escrito em Python usando as bibliotecas do Twisted Conch.
  • HonSSH – HonSSH é uma solução Honeypot de alta interação. O HonSSH se sentará entre um atacante e um pote de mel, criando duas conexões SSH separadas entre eles.
  • Bifrozt – Bifrozt é um dispositivo NAT com um servidor DHCP que geralmente é implantado com uma NIC conectada diretamente à Internet e uma NIC conectada à rede interna. O que diferencia o Bifrozt de outros dispositivos NAT padrão é sua capacidade de funcionar como um proxy SSHv2 transparente entre um atacante e seu honeypot.
  • HoneyDrive – HoneyDrive é a principal distribuição do Honeypot para Linux. É um appliance virtual (OVA) com a edição Xubuntu Desktop 12.04.4 LTS instalada. Ele contém mais de 10 pacotes de software de honeypot pré-instalados e pré-configurados, como honeypot de Kippo SSH, Honeybots de malware Dionaea e Amun, honeypot de baixa interação Honeyd, honeypot da Glastopf e Wordpot, Honeypot de SCP42 / ICS da Conpot, Thug e PhoneyC e mais .
  • Cuckoo Sandbox – Cuckoo Sandbox é um software de código aberto para automatizar a análise de arquivos suspeitos. Para isso, faz uso de componentes personalizados que monitoram o comportamento dos processos maliciosos durante a execução em um ambiente isolado.

Captura Completa de Pacotes / Forense

  • tcpflow – tcpflow é um programa que captura dados transmitidos como parte de conexões TCP (fluxos) e armazena os dados de uma maneira que seja conveniente para análise e depuração de protocolos.
  • Xplico – O objetivo do Xplico é extrair de uma captura de tráfego de internet os dados de aplicativos contidos. Por exemplo, de um arquivo pcap, o Xplico extrai cada email (protocolos POP, IMAP e SMTP), todo o conteúdo HTTP, cada chamada VoIP (SIP), FTP, TFTP e assim por diante. O Xplico não é um analisador de protocolo de rede. O Xplico é uma ferramenta de análise forense de rede de código aberto (NFAT).
  • Moloch – Moloch é um open source, grande escala de captura de pacotes IPv4 (PCAP), indexação e sistema de banco de dados. Uma interface web simples é fornecida para navegação, pesquisa e exportação PCAP. As APIs são expostas, permitindo que os dados do PCAP e os dados da sessão no formato JSON sejam baixados diretamente. A segurança simples é implementada usando suporte a senha de resumo HTTPS e HTTP ou usando o apache na frente. Moloch não se destina a substituir os mecanismos de IDS, mas sim trabalhar ao lado deles para armazenar e indexar todo o tráfego de rede no formato PCAP padrão, fornecendo acesso rápido. O Moloch foi desenvolvido para ser implantado em vários sistemas e pode ser dimensionado para lidar com vários gigabits / segundo de tráfego.
  • OpenFPC – OpenFPC é um conjunto de ferramentas que se combinam para fornecer um gravador de tráfego de rede de pacote completo e um sistema de buffer. Seu objetivo de design é permitir que usuários não especialistas implantem um gravador de tráfego de rede distribuído em hardware COTS enquanto integram ferramentas de gerenciamento de alertas e logs existentes.
  • Dshell – Dshell é uma estrutura de análise forense de rede. Permite o rápido desenvolvimento de plugins para suportar a dissecação de capturas de pacotes de rede.
  • stenographer – Stenographer é uma solução de captura de pacotes que tem como objetivo rapidamente colocar todos os pacotes no disco, e então fornecer acesso simples e rápido aos subconjuntos desses pacotes.

Sniffer

  • wireshark – Wireshark é um analisador de pacotes gratuito e de código aberto. Ele é usado para solução de problemas de rede, análise, desenvolvimento de protocolo de software e comunicação e educação. O Wireshark é muito semelhante ao tcpdump, mas possui um front end gráfico, além de algumas opções integradas de classificação e filtragem.
  • netsniff-ng – netsniff-ng é um kit de ferramentas de rede Linux gratuito, um canivete suíço para o seu encanamento diário de rede Linux, se preferir. Seu ganho de desempenho é alcançado por mecanismos de cópia zero, de modo que na recepção e transmissão de pacotes o kernel não precisa copiar pacotes do espaço do kernel para o espaço do usuário e vice-versa.
  • Cabeçalhos HTTP ao vivo – Cabeçalhos HTTP ao vivo é um addon gratuito do Firefox para ver as solicitações do seu navegador em tempo real. Ele mostra os cabeçalhos inteiros dos pedidos e pode ser usado para encontrar as brechas de segurança nas implementações.

Informações de segurança e gerenciamento de eventos

  • Prelude – Prelude é um sistema universal de “Informações de Segurança e Gerenciamento de Eventos” (SIEM). O Prelude coleta, normaliza, classifica, agrega, correlaciona e relata todos os eventos relacionados à segurança, independentemente da marca do produto ou da licença que deu origem a tais eventos; O prelúdio é “sem agente”.
  • OSSIM – OSSIM fornece todos os recursos que um profissional de segurança precisa de uma oferta SIEM – coleta, normalização e correlação de eventos.
  • FIR – Fast Incident Response, uma plataforma de gerenciamento de incidentes de segurança cibernética.

VPN

  • OpenVPN – OpenVPN é uma aplicação de software de código aberto que implementa técnicas de rede privada virtual (VPN) para criar conexões seguras ponto-a-ponto ou site-a-site em configurações roteadas ou em ponte e instalações de acesso remoto. Ele usa um protocolo de segurança personalizado que utiliza SSL / TLS para troca de chaves.

Processamento Rápido de Pacotes

  • DPDK – DPDK é um conjunto de bibliotecas e drivers para processamento rápido de pacotes.
  • PFQ – PFQ é uma estrutura de rede funcional projetada para o sistema operacional Linux que permite a captura / transmissão de pacotes eficientes (10G e além), processamento funcional no kernel e pacotes de direção através de sockets / end-points.
  • PF_RING – PF_RING é um novo tipo de soquete de rede que melhora drasticamente a velocidade de captura de pacotes.
  • PF_RING ZC (cópia zero) – PF_RING ZC (cópia zero) é uma estrutura de processamento de pacotes flexível que permite obter processamento de pacotes de taxa de linha de 1/10 Gbit (RX e TX) em qualquer tamanho de pacote. Ele implementa operações de cópia zero, incluindo padrões para comunicações entre processos e entre VMs (KVM).
  • PACKET_MMAP / TPACKET / AF_PACKET – É bom usar o PACKET_MMAP para melhorar o desempenho do processo de captura e transmissão no Linux.
  • netmap – netmap é uma estrutura para E / S de pacotes de alta velocidade. Juntamente com o seu switch de software VALE, ele é implementado como um único módulo do kernel e disponível para o FreeBSD, Linux e agora também para o Windows.

Firewall

  • pfSense – Distribuição de Firewall e Router FreeBSD.
  • OPNsense – é uma plataforma de firewall e roteamento baseada em FreeBSD de código aberto, fácil de usar e fácil de construir. O OPNsense inclui a maioria dos recursos disponíveis em firewalls comerciais caros e, em muitos casos, mais. Ele traz o rico conjunto de recursos de ofertas comerciais com os benefícios de fontes abertas e verificáveis.
  • fwknop – Protege as portas através da autorização de pacote único no seu firewall.

Anti-Spam

  • SpamAssassin – Um filtro de spam de e-mail poderoso e popular que emprega uma variedade de técnicas de detecção.

Imagens do Docker para teste e segurança de invasão

Artigo GbHackers