Тестируем сеть на проникновение: необходимые инструменты

Тестируем сеть на проникновение: необходимые инструменты

Сегодня сфере кибербезопасности уделяется повышенное внимание со стороны системных администраторов и других специалистов, работающих в данной области. И без специализированных инструментов при выполнении данных работ не обойтись. Так, для выявления уязвимостей в сети и программных продуктах современный рынок IT-технологий предлагает множество индивидуальных решений. Наверняка многие из вас уже слышали о таком термине, как пентест. Это метод оценки безопасности компьютерных сетей и систем при помощи средств моделирования хакерских атак. Он позволяет провести тестирование на проникновение, тем самым выявив уязвимости вашей системы.

Сейчас мы остановимся более подробно на том, какие инструменты и средства могут использоваться в сфере сетевой безопасности для проведения комплексного тестирование. Рассмотрим основные категории: сканирование, мониторинг, идентификаторы сетевых вторжений, ловушки для хакеров, полный захват пакетов, средство сетевой безопасности на основе снифферов, также SIEM-инструменты для сетевой безопасности. Подскажем, как обеспечить себе максимально высокую безопасность работы и защиту от любого несанкционированного доступа с использованием мобильных прокси.

Инструменты для системного сканирования

В этой категории выделим 7 основных инструментов, которые станут надежным помощником в организации вашей системы кибербезопасности:

  1. OpenVAS. Представляет собой платформу, состоящую из нескольких инструментов и сервисов. Предлагает комплексные решения в сфере управление уязвимостями и их выявления.
  2. Kali Linux. Один из дистрибутивов операционной системы Linux, построенный на ОС с открытым кодом Debian. Разработан специально для пентеста и цифровой криминалистики. Здесь встроено огромное количество приложений, в том числе сканер портов, анализатор пакетов, программный пакет для тестирования на проникновение беспроводных локальных сетей, взломщик паролей.
  3. Pig. Используя данный инструмент, вы сможете формировать пакеты Linux.
  4. Pompem. Еще один инструмент сетевой безопасности, имеющий открытый исходный код. Он предназначается для автоматизации процесса поиска эксплойтов в ключевых базах данных.
  5. Metasploit. На сегодня это один из самых передовых инструментов сетевой безопасности, предназначенный для разработки и реализации кода эксплойта на целевой удаленной машине. Также здесь предусмотрена база данных кодов операций, набор соответствующих исследований, а также архив шелл-кодов.
  6. Scapy. Представляет собой интерактивную программу со встроенной библиотекой, предназначенную для быстрой и удобной разработки всех пакетов данных, построенных на python.
  7. Nmap. Представляет собой бесплатную утилиту открытым исходным кодом, при помощи которой вы сможете эффективно выполнять аудит безопасности и сетевое обнаружение.

Инструменты для обнаружения сетевых вторжений

В качестве идентификаторов сетевых вторжений могут использоваться следующие инструменты:

  1. Snort. Представляет собой бесплатную систему, способную предотвращать сетевые вторжения, имеющие открытый исходный код (NIPS). Также здесь предусмотрена система обнаружения сетевых вторжений (NIDS).
  2. OSSEC. Мультиплатформенная система, которую при необходимости можно легко масштабировать. Предназначена для обнаружения вторжений на базе хоста с открытым исходным кодом. Во ее обязанности входит анализ журналов, мониторинг политик, проверка целостности файлов, обнаружения руткитов, активно реагирование, в том числе и оповещение в режиме реального времени. Отличается высокой стабильностью работы в большей части современных операционных систем: macOS, HIDS Linux, Windows, Solaris, AIX, HP-UX. В арсенале системы достаточно большой набор документации, значительно упрощающей работу. Способна к средним и крупным развертываниям. Освоение данного инструмента потребует от вас достаточно много времени, но результат от ее использования будет более, чем впечатляющим.
  3. Zeek. Достаточно мощная платформа обеспечивающие комплексный сетевой анализ с открытым исходным кодом.
  4. Suricata. Программное обеспечение с открытым исходным кодом, предназначена для обнаружения проблем информационной безопасности IDS. Способна диагностировать сетевые атаки и любой иной несанкционированный трафик.
  5. Sshwatch. Представляет собой набор IP-адресов, предназначенных для SSH. Они достаточно схожи с DenyHosts, только написанные на языке программирования Python. Также позволяют собирать в журнале информацию о взломщике во время атаки для последующего анализа.
  6. Security Onion. Представляет собой дистрибутив операционной системе Linux, ориентированный на обнаружение вторжений, управление журналами, а также мониторинг сетевой безопасности Ubuntu. Также предусмотрено наличие таких инструментов безопасности, как Suricata, Snort, OSSEC, Bro, Squert, Sguil, ELSA, Snorby, NetworkMiner, Xplico и пр.
  7. Stealth. При помощи данного инструмента может выполняться практически бесследная проверка целостности файлов. Непосредственно контроллер будет запускаться с отдельного устройства, благодаря чему хакер не будет обладать информацией о том, что выполняется проверка файловой системы при помощи псевдослучайных временных интервалов по SSH. Данный вариант будет оптимальным при развертывание небольшого и среднего типа.
  8. Denyhosts. Данный инструмент позволяет предотвратить атаки, выполняемые методом перебора, а также основанные на словаре SSH.
  9. AIEngine. Представляет собой программируемый интерактивный движок для проверки пакетов следующего поколения, базирующихся на таких языках программирования как Python, Ruby, Java, Lua. Отличительной особенность — возможность обучения без вмешательства человека. Также здесь присутствуют функции Network Intrusion Detection System (NIDS), есть классификация DNS-доменов, сетевая экспертиза, сборщик сетевых данных и пр.
  10. Lynis. При помощи данного инструмента может выполняться аудит системы безопасности с открытым исходным кодом для Linux /Unix.
  11. SSHGuard. Данное приложение ориентировано на защиту служб. Написано на языке С и выступает в качестве дополнения к SSH.
  12. Fail2Ban. Данный инструмент предназначен для сканирования файловых журналов, также выполнение определенных действий с подозрительными IP-адресами (наглядно демонстрируют вредоносное поведение).

Инструменты для мониторинга сетей

Для выполнения постоянного мониторинга сетей и сервисов ведение журнала, вы можете воспользоваться одним из следующих инструментов:

  1. Justniffer. Представляет собой анализатор сетевых протоколов, способный фиксировать трафик и формировать журналы на основании настроек, выполненных специалистам. Одна из функций – эмуляция файловых журналов интернет-сервиса Апачи. Также может отслеживать время отклика изымать из HTTP-трафика все те трафики, которые удалось перехватить.
  2. Ngrep. Речь идет об инструменте, в функции которого входит поддержка pcap. Он позволяет пользователям указывать шестнадцатеричные либо же расширенные регулярные выражения с целью сопоставления с полезной нагрузкой пакетов данных. Данный инструмент работает через интерфейсы Ethernet, SLIP, PPP, Token Ring, FDDI, null, способен распознавать IPv4/6, ICMPv4/6, TCP, UDP, IGMP, Raw. Также он понимает логику фильтрации BPF и более распространенные инструменты для отслеживания пакетов snoop и tcpdump.
  3. HTTPRY. Это специальный анализатор пакетов, при помощи которого вы сможете регистрировать HTTP-трафик и отображать его. То есть, в функционал данного инструмента не входит выполнения анализа. Он только собирает данные из трафика и передает его на последующую разработку. При необходимости, вы сможете запускать данный анализатор в режиме реального времени. В этом случае трафик будет отображаться по мере его анализа. Еще один вариант настройки — регистрация в выходном файле. Благодаря повышенной гибкости настроек, данный инструмент можно легко адаптировать к совместной работе с разными приложениями.
  4. Sagan. Инструмент, предназначенный для анализа журналов, будь то журнал событий, системный журнал, netflow, snmptrap. В работе использует движок, идентичный Snort.
  5. Passivedns. В сфере сетевой безопасности этот инструмент один из лучших. Предназначен для пассивного сбора записей DNS-серверов. Также способен выполнять мониторинг сетевой безопасности, упрощать обработку инцидентов, выполнять общую цифровую экспертизу. С его помощью вы сможете мониторить трафик с интерфейса либо же считывать pcap-файлы, перенаправлять в файлы журналов ответы от DNS-серверов. При помощи пассивных DNS можно агрегатировать либо же кэшировать повторяющиеся ответы в памяти, тем самым минимизируя объем данных, которые передаются для хранения в файл журнала. При этом значения в ответе DNS сохраняются.
  6. Платформа безопасности узлов. Представляет собой бесплатный в использовании инструмент, предназначенный для идентификации и устранение уязвимостей в тех или иных проектах Node.js. С их помощью разработчики программного обеспечения смогут легко и быстро выявлять проблемы безопасности в собственном коде и устранять их, тем самым минимизируя вероятность хакерских атак на то или иное приложение.
  7. Fibratus. Инструмент, предназначенный для отслеживания и исследования ядра операционной системы Windows. В его возможности входит фиксация большей части активности ядра ОС, а также формирование и завершение потоков и процессов, реестр, ввод и вывод файловой системы, сетевая активность, загрузка и выгрузка DLL и пр. Благодаря очень простому интерфейсу командной строки появилась возможность инкапсуляции механизма, запускающего потоковый сборщик событий ядра, а также установку здесь фильтров либо же запуск облегченных модулей Python.
  8. Ntopng. Это инструмент, разработанный специально для проверки сетевого трафика. С его помощью вы сможете анализировать потоковый сетевой трафик, в том числе идентифицировать проблемы, связанные с производительностью и выполнять их диагностику. Еще одна функциональная возможность — отслеживание разнообразных сетевых ресурсов, в том числе и использование каналов.

Ловушки для хакеров

Речь идет о таких системах как HoneyPot/HoneyNet. Их задача состоит в заманивания хакеров в западню. Киберпреступник ведется на подобную приманку атакует ее, а специалисты в это время собирают информацию об используемых методах, либо же отвлекают злоумышленников от других более важных целей. Из этой категории выделим следующие инструменты:

  1. HoneyPy. Представляет собой программное обеспечение с открытым исходным кодом, предназначенное для обнаружения и сбора данных об атаках и непосредственно самих злоумышленниках. Позволяет формировать виртуальных слушателей для таких протоколов как HTTP, FTP, Telnet и пр. На их основании и осуществляется отслеживание взаимодействия со злоумышленниками. В результате удается получить достоверные данные об идентификаторах сессии, IP-адресах, с которых идет атака, применяемом программном обеспечении. На основании полученных данных значительно проще будет выстроить правильную систему защиты.
  2. Conpot. Данная низкоинтерактивная приманка разработана специально для работы в промышленных системах управления. Используется на стороне сервера, отличается простотой в развертывании, расширении и модификациях.
  3. Dionaea. Еще один открытый инструмент, позволяющий отслеживать инциденты в сетевой безопасности, в том числе любых видов атак, вирусов, шпионских приложений и пр. С его помощью можно обнаружить уязвимости в собственном сетевом оборудовании либо же программном обеспечении. Отлично подходит для сбора информации о методах, которые хакеры используют во время атаки.
  4. Amun. Приманка на основе языка программирования Python с низким уровнем взаимодействия.
  5. Kippo. Представляет собой SSH HoneyPot среднего взаимодействия. Основное назначение— регистрация атак путем их перебора.
  6. Glastopf. Используя данный инструмент, вы сможете отслеживать инциденты сетевой безопасности. С его помощью можно эмулировать неограниченное количество уязвимостей, что поможет собрать максимальный объем данных относительно атак, направленных на интернет-приложение.
  7. Kojoney. Низкоуровневая приманка, способна эмулировать действия SSH-сервера. При написании этого демона используется библиотека Twisted Conch и язык программирования Python.
  8. HoneyDrive. Один из самых распространенных дистрибутивов HoneyPot Linux. В него включено свыше десятка предварительно установленных и настроенных пакетов программного обеспечения, включая Kippo, Amun, Dionaea, Wordpot, Glastopf, Conpot, PhoneyC, Thug.
  9. HonSSH. Инструмент с высоким уровнем взаимодействия. Он будет находиться между непосредственно самой ловушкой и злоумышленником, формируя два параллельных соединения.
  10. Cuckoo Sandbox. Представляет собой приложение с открытым исходным кодом, действие которого направлено на автоматизацию анализа файлов, вызывающих подозрения. Здесь применяются специальные пользовательские компоненты, способные отслеживать поведенческие факторы вредоносного ПО при его нахождении в изолированной среде.
  11. Bifrozt. Данный инструмент представляет собой NAT устройство с DHCP-сервером. Для его развертывания используют одну сетевую карту напрямую подключенный к интернету, и еще одну для подключения к локальной сети. Способен работать как прозрачный прокси сервер в цепочке между приманкой и злоумышленником.

Инструменты сетевой безопасности на базе снифферов

В этой категории мы собрали программы, которая предназначены для перехвата и последующего анализа сетевого трафика:

  1. Netsniff-ng. Бесплатный сетевой инструмент, созданный специально для операционной системы Linux. Благодаря наличию механизма нулевого копирования он будет отличаться более высокой производительностью в сравнении с аналогами. Вам не придется самостоятельно копировать пакеты из пространства ядра в пространство пользователя либо же наоборот при их передаче.
  2. Live HTTP headers. Данный бесплатный программный продукт представляет собой дополнение к Firefox. С его помощью можно просматривать в режиме реального времени все браузерные запросы. Программа будет отображать полные заголовки. Также вы сможете использовать ее для того, чтобы найти в реализациях лазейки в безопасности.
  3. Wireshark. Представляет собой бесплатный анализатор пакетов на основе открытого исходного кода. С его помощью вы сможете устранять неполадки в сети, выполнять разработку ПО, анализ его работы, создавать коммуникационные протоколы и обучение. Имеет графический интерфейс, а также встроенные инструменты для фильтрации и сортировки.

Набор инструментов для полного захвата пакетов

Для полного захвата пакетов, которые еще часто на практике называют судебной (криминалистической) экспертизой, могут использоваться в следующие инструменты:

  1. Tcpflow. Приложение, способное фиксировать параметры, которые передаются в виде части TCP-соединений. Ее отличительная особенность — способность сохранять данные в таком формате, который был бы максимально удобным при последующем анализе и отладке протокола.
  2. Moloch. Еще одна система в нашей подборке с открытым исходным кодом. Ориентирована для крупномасштабного захвата пакетов IPv4 (PCAP), а также индексирования. Отличается простым и удобным интерфейсом. С его помощью вы не сможете менять движок IDS, ведь он будет работать вместе с ними. Так можно обеспечить удобное хранение и индексацию всего сетевого трафика в формате PCAP, что станет залогом быстрого доступа. При помощи данного инструмента вы сможете масштабировать параметры для обработки при развертывании в различных системах.
  3. Dshell. Используя данную платформу, вы сможете выполнить криминалистический анализ сети. Она наделена широким функционалом для быстрой разработки плагинов, предназначенных для обеспечения возможности анализа перехваченных сетевых пакетов.
  4. OpenFPC. Включает в себя целый набор инструментов, действие которых направлено на простую и удобную систему у записи и буферизации сетевого трафика. С его помощью развернуть распределенный регистратор сетевого потока на оборудовании COTS смогут даже те люди, которые не относят себя к экспертам. Обеспечивается это возможностью интеграции с уже существующими средствами управления журналами и оповещениями.
  5. Xplico. При помощи данного инструмента вы сможете извлекать из интернет-трафика параметры, находящиеся внутри приложений. Так, вы сможете извлекать все содержимое HTTP, все электронные письма, разные виды вызовов и пр. Вы должны понимать, что данный инструмент— это не анализатор сетевых протоколов, а непосредственно решение в сфере сетевого криминалистического анализа. Программа имеет открытый исходный код.
  6. Stenographer. При помощи данного приложения вы сможете захватывать пакеты, загружать их на диск. В последующей обработке данный инструмент предоставит вам максимально быстрый доступ к каждому из подмножеств этих пакетов.

Набор инструментов для сетевой безопасности

Последний набор инструментов, на которых мы остановимся в сегодняшнем обзоре — это программы для сетевой безопасности SIEM. Обратим ваше внимание на три основных инструмента:

  1. Prelude. Представляет собой универсальную SIEM-систему для сбора, сортировки, нормализации, объединения и сопоставления всех событий в сфере безопасности. Будет работать вне зависимости от наличия лицензии, бренда продукта, ставшего причиной данного события. Способна информировать пользователя о выявленных проблемах.
  2. FIR. Продукт, созданный специально для управления инцидентами в сфере кибербезопасности.
  3. OSSIM. В этот инструмент включены все те функции, которые потребуются специалисту по безопасности из программ SIEM: сбор событий, их нормализация и последующая корреляция.

Подводим итоги

Теперь вы хорошо знакомы с тем, какие инструменты можно использовать для выявление потенциальных угроз при работе в сети. Но, большую часть всех этих опасностей можно легко предотвратить путем дополнительного подключения к работе мобильных прокси. Такой сервер-посредник будет обеспечивать подмену ваших реальных пользовательских данных на собственные, обеспечивает им самым надежное сокрытие вашего IP-адреса и геолокации. Это самый простой способ избежать любых опасностей при работе в интернете, в том числе хакерских атак и любого другого несанкционированного доступа, а также обеспечить себе полную конфиденциальность работы в интернете.

Лучшие мобильные прокси по цене и функциональности предлагает сервис MobileProxy.Space. Пройдите по ссылке https://mobileproxy.space/user.html?buyproxy, чтобы более подробно познакомиться с его возможностями, а также приобрести подходящий для себя пакет на любой период времени, начиная от 1 дня и вплоть до 1 года с быстрым продлением.


Поделитесь статьёй: