As 75 Melhores Ferramentas de Segurança para Sistemas em Rede
Em Maio de 2003 lancei uma consulta aos utilizadores do Nmap, através da lista e-mail nmap-hackers para conhecer as suas
ferramentas de segurança preferidas. Cada participante poderia indicar no
máximo 8 ferramentas. Esta consulta veio no seguimento de outra, a Lista das Melhores 50, realizada em Junho de 2000.
Um número incrível de 1854 pessoas responderam em 2003 e as suas
recomendações foram tão relevantes que expandi a lista para 75
ferramentas! Todos os que trabalham no domínio da segurança
informática deveriam consultar a lista e estudar mais
aprofundadamente as ferramentas desconhecidas. Eu descobri diversas
ferramentas novas muito poderosas desta forma. Penso mesmo indicar
esta página a principiantes quando eles me escreverem dizendo "Não
sei por onde hei-de começar".
Os participantes foram livres de indicar ferramentas comerciais
ou com código público para qualquer plataforma computacional. As
ferramentas comerciais são assinaladas como tal na lista abaixo. A
maior parte das descrições foram obtidas das páginas raiz das
ferramentas ou de descrições de pacotes distribuídos pelo Debian ou pelo Freshmeat. Dessas descrições
removi afirmações propagandísticas como "revolucionário" ou "próxima
geração". Não foram contados votos relativos ao inventariador de segurança
Nmap porque a consulta foi feita numa lista de e-mail afecta ao
Nmap. É natural que os participantes, por pertencerem a esta lista,
tenham demonstrado uma maior inclinação para "ferramentas de ataque"
do que para ferramentas defensivas.
Estes são os ícones usados:
 Não aparecia na lista de 2000
 | Normalmente é paga. Estas raramente incluem código fonte. Uma versão limitada/de demonstração/de avaliação pode ser disponibilizada. |
 | Para Linux |
 | Para FreeBSD/NetBSD/OpenBSD e/ou sistemas UNIX proprietários (Solaris, HP-UX, IRIX, etc.) |
 | Para Microsoft Windows |
Esta é a lista (começando pelos mais populares):
|
Nessus: A melhor ferramenta de inventariação de vulnerabilidades com código fonte disponível
O Nessus é uma ferramenta de inventariação remota de vulnerabilidades
para sistemas Linux, BSD, Solaris e outros Unixes. O seu
funcionamento é baseado em plugins, possui uma interface GTK
e efectua mais de 1200 verificações remotas de segurança. Produz
relatórios em HTML, XML, LaTeX e texto simples que indicam as
vulnerabilidades detectadas e os passos que devem ser seguidos para
as eliminar.
|
|
Ethereal: Cheirando a cola que aguenta a Internet
O Ethereal é uma ferramenta pública de análise de protocolos para
sistemas Unix e Windows. Permite a observação de dados capturados da
rede em tempo real ou previamente capturados e guardados num
ficheiro ou disco. Pode-se navegar interactivamente nos dados
capturados, observando resumos ou informação pormenorizada de cada
datagrama. O Ethereal possui diversas facilidades poderosas,
nomeadamente uma linguagem rica para filtragem dos dados
apresentados e a possibilidade de observar o fluxo de dados de uma
sessão TCP reconstruída. Possui uma versão textual, não-gráfica,
chamada tethereal.
|
|
Snort: Um sistema de detecção de intrusões (IDS) público para as massas
O Snort é uma ferramenta eficiente de detecção de intrusões, capaz de efectuar
análises em tempo real de tráfego capturado e registo de datagramas em redes
IP. Permite analisar protocolos, procura de conteúdos e pode ser usado para
detectar diversos ataques e sondas, nomeadamente transbordamentos de memória
(buffer overflows), levantamentos furtivos (stealth) de portos
de transporte, ataques usando CGI, sondas para SMB, tentativas de identificação
de sistemas operativos, etc. O Snort usa uma linguagem flexível baseada em
regras para descrever o tráfego que deverá ser considerado ou não para posterior
análise e um motor de detecção modular. Várias pessoas sugeriram que a Consola
de Análise de Bases de Dados de Intrusões (Analysis Console for Intrusion Databases, ACID) fosse
usada com o Snort.
|
|
Netcat: O canivete Suíço da rede
Um utilitário simples para Unix que lê e escreve dados de e para uma rede
usando os protocolos TCP e UDP. Foi concebido para ser uma ferramenta terminal
fiável para ser usada directamente ou indirectamente por outros programas ou
scripts. É ainda uma ferramenta poderosa para analisar
problemas ou explorar uma rede, uma vez que permite criar praticamente qualquer
tipo de ligação que seja necessária e possui diversas capacidades intrínsecas
interessantes.
|
|
TCPDump / WinDump: A ferramenta clássica de captura de dados em redes para monitorização e aquisição de tráfego
O Tcpdump é uma ferramenta não gráfica bem conhecida e muito apreciada para
análise de tráfego em redes. Pode ser usada para apresentar os cabeçalhos dos
datagramas que passam por uma interface de rede e que validam uma regra imposta.
Esta ferramenta pode ser usada para detectar problemas de rede ou
para monitorizar a actividade na rede. Existe uma versão própria para
Windows chamado WinDump. TCPDump é ainda o código fonte da
biblioteca Libpcap/biblioteca WinPcap de captura de datagramas, que é usada pelo
Nmap entre outros utilitários.
Note-se que muito utentes preferem o
Ethereal, uma ferramenta de captura mais actual.
|
|
Hping2: Um utilitário para sondar a rede, um ping dopado
O hping2 cria e envia datagramas ICMP/UDP/TCP específicos e apresenta respostas
aos mesmos. Foi inspirado no comando ping mas permite um maior controlo sobre
as sondas enviadas. Também possui um modo traceroute muito conveniente e
suporta fragmentação de IP. Esta ferramenta é particularmente útil para
detectar (descobrir caminhos, se estão a funcionar, etc.) máquinas por
detrás de uma firewall que bloqueie sondas enviadas por utilitários padrão.
|
|
DSniff: Uma série de ferramentas poderosas para auditoria de redes e testes de penetração
Esta colecção, bem concebida por Dug Song e muito popular, possui muitas
ferramentas. As ferramentas dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf e
webspy permitem monitorizar uma rede de forma passiva em busca de conteúdos
interessantes (senhas, e-mail, ficheiros, etc.). As ferramentas arpspoof,
dnsspoof, e macof facilitam a intercepção de tráfego de rede normalmente
inacessível a um atacante (v.g., por causa da comutação de nível 2). As
ferramentas sshmitm and webmitm realizam ataques activos de brincalhão-no-meio,
contra sessões SSH ou HTTPS redireccionadas, explorando validações fracas
inerentes ao uso de PKI ad-hoc. Um transporte parcial para Windows,
suportado separadamente, está disponível
aqui.
|
|
GFI LANguard: Um inventariador de problemas de segurança comercial para Windows
O LANguard analisa redes e produz relatórios com informação que
inclui quais os nível de actualização (Service Packs level)
do sistema de cada máquina, as correcções de segurança em falta, os
recursos partilhados disponíveis, os portos de transporte
disponíveis, serviços/aplicações disponíveis no computador, entradas-chave do registo (registry), senhas fracas, utilizadores e
grupos e mais ainda. Os resultados da análise são apresentados num
relatório em HTML, que pode ser adaptado/pesquisado. Aparentemente
uma versão gratuita limitada está disponível para fins não
comerciais ou para avaliação.
|
|
Ettercap: Caso ainda acredite que LAN comutadas fornecem muita segurança extra
O Ettercap é uma ferramenta não gráfica para inspecção/intercepção/registo de
tráfego em LAN Ethernet. Ë capaz de dissecar de forma passiva ou activa
inúmeros protocolos (inclusive os que são cifrados, como o SSH ou HTTPS). É
ainda capaz de injectar dados em ligações estabelecidas e filtrar dados das
mesmas em tempo real sem as des-sincronizar. Possui diversos modos de captura
de tráfego que permitem fornecer um conjunto completo e eficaz de formas de
inspecção. Suporta plugins. Consegue verificar se está ou não
numa máquina ligada a uma LAN comutada e consegue ainda efectuar o
levantamento da geometria da rede através do reconhecimento, activo
ou passivo, de sistemas operativos.
|
|
Whisker/Libwhisker: A biblioteca e o inventariador de vulnerabilidades em CGI do Rain.Forest.Puppy
O Whisker é ferramenta de inspecção de servidores HTTP que permite detectar muitos problemas de segurança, nomeadamente a presença de CGI perigosos.
Libwhisker é uma biblioteca de perl (usada pelo Whisker) que permite
a criação de inspectores de HTTP específicos. Se pretende auditar mais do que
servidores HTTP veja o Nessus.
|
|
John the Ripper: Um prospector de senhas sumariadas extraordinariamente eficaz, flexível e eficiente para múltiplas plataformas
John the Ripper é um prospector de senhas eficiente, actualmente disponível
para muitas versões de Unix (11 são suportadas oficialmente, sem distinguir
arquitecturas), DOS, Win32, BeOS e OpenVMS. A sua finalidade primeira é
descobrir senhas Unix fracas. Suporta diversos tipos de sumários de senhas
crypt(3) que são usuais nas várias versões de Unix, bem como sumários usados no
Kerberos do AFS e sumários LM do Windows NT/2000/XP. Várias outras formas de
sumariar senhas podem ser acrescentadas com a contribuição de melhoramentos.
|
|
OpenSSH / SSH: Um modo seguro de aceder remotamente a computadores
O Ssh (Secure Shell) é um programa para iniciar sessões em
computadores remotos e neles executar comandos. Fornece um canal de
comunicação seguro (cifrado) sobre uma rede insegura entre duas
máquinas sem confiança mútua. Ligações X11 e demais tráfego para
portos arbitrários TCP/IP podem ser redireccionados para o canal
seguro. Foi também concebido para substituir o rlogin, rsh e rcp e
pode ser usado para fornecer rdist e rsync com um canal de
comunicação seguro. OpenSSH é parte do projecto OpenBSD, muito
embora uma versão transportável execute na maioria dos sistemas
UNIX. Note que o link SSH.Com acima não é gratuito para
alguns fins, enquanto o OpenSSH é sempre gratuito. Os utentes com
Windows podem experimentar a versão pública
PuTTY SSH
Client ou a versão agradável para consolas do OpenSSH que vem com o
Cygwin. Há dezenas de outros clientes (gratuitos ou pagos) disponíveis para a maioria dos sistemas - aqui está uma
lista enorme.
|
|
Sam Spade: Ferramenta pública de interrogação de redes para Windows
O SamSpade fornece uma realização e uma interface gráfica coerente
para diversas tarefas de interrogação de redes. For desenhada com o
propósito de detectar spammers mas pode ser útil para outras
tarefas relacionadas com a exploração, administração e segurança de
redes. Inclui ferramentas tal como o ping, nslookup, whois, dig,
traceroute, finger, navegador HTTP elementar, transferência de zonas
DNS, detector de retransmissores SMTP, localizador de servidores
Web, entre outras. Utentes que não usem o Windows podem recorrer
a versões interactivas de
muitas das suas ferramentas.
|
|
ISS
Internet Scanner: Inventariador de vulnerabilidades ao nível das aplicações
O Internet Scanner foi iniciado por Christopher Klaus em '92 como
um detector mínimo com código público. Actualmente é responsável por a ISS ser
uma empresa milionária que comercializa uma miríade de produtos
relacionados com segurança. O ISS Internet Scanner é bastante bom, mas não é
barato. Portanto, empresas com orçamentos apertados podem querer experimentar
alternativamente o Nessus. A revista
Information Security de Março de 2003 avaliou 5 ferramentas de
inventariação de vulnerabilidades (incluindo estas) e as conclusões
estão disponíveis aqui.
Note que as ferramentas de inventariação de vulnerabilidades apenas
reportam a sua existência. Ferramentas comerciais para efectivamente
explorar essas vulnerabilidades incluem a CORE Impact e a Canvas de Dave Aitel.
Exploradores gratuitos de algumas vulnerabilidades podem ser encontrados em
locais tal como Packet Storm e
SecurityFocus.
|
|
Tripwire: O decano dos verificadores de
integridade de ficheiros
É um verificador de integridade de directorias e ficheiros. O
Tripwire é uma ferramenta que ajuda administradores de sistemas e
utentes a monitorizar quaisquer modificações em conjuntos
arbitrários de ficheiros. É usado regularmente (v.g. diariamente) em
ficheiros nucleares dos sistemas. O Tripwire pode notificar
administradores acerca de ficheiros corrompidos para que os
mesmos possam iniciar atempadamente acções de controlo de estragos.
Uma versão pública em código fonte é disponibilizada em
Tripwire.Org.
Os utilizadores de UNIX podem também optar pela ferramenta
AIDE, que foi
concebida como uma substituta gratuita do Tripwire. Ou podem querer
conhecer melhor o Radmind.
|
|
Nikto: um inspector de servidores Web mais abrangente
O Nikto é um inspector de servidores Web que procura mais de
2000 ficheiros /GCI potencialmente perigosos e problemas em mais de
200 servidores. Usa a biblioteca LibWhisker
mas normalmente é actualizado mais frequentemente que o próprio Whisker.
|
|
Kismet: Um poderoso inspector de comunicações sem fios
O Kismet é um poderoso inspector e dissecador de tráfego em redes
802.11b. É capaz de capturar tráfego com a maioria das interfaces de
redes sem fios, de detectar automaticamente infra-estruturas de rede
IP através de datagramas UDP, ARP e DHCP e de listas de equipamentos
Cisco através do Cisco Discovery Protocol, de registar datagramas
cifrados com técnicas vulneráveis e de produzir registos de capturas
com um formato compatível com o Ethereal e com o tcpdump. Permite
ainda desenhar redes detectadas e estimar áreas de cobertura em
mapas importados ou imagens em ficheiro fornecidas pelos utentes. O
suporte para Windows é actualmente rudimentar, pelo que os utentes
podem experimentar o
Netstumbler se tiverem problemas.
Os utentes de Linux (e PDA Linux como o Zaurus) podem querer
experimentar o inspector de redes sem fios Wellenreiter.
|
|
SuperScan: inventariador de portos TCP para Windows da Foundstone
Um inventariador de portos TCP abertos baseado em ligações,
detector de máquinas com ping e tradutor de nomes de máquinas. Não é
fornecido código fonte. Permite inventariar portos e máquinas usando
gamas de endereços IP. Permite ainda iniciar uma ligação a um porto
descoberto usando aplicações de apoio indicadas pelos utentes (v.g. Telnet, navegadores Web, FTP).
|
|
L0phtCrack 4 (actualmente
"LC4"): Auditor e recuperador de senhas para Windows
O L0phtCrack tenta descobrir senhas em sistemas Windows a partir de sínteses
que consegue obter de máquinas Windows NT/2000 isoladas, servidores em rede,
controladores primários de domínios ou máquinas com Active Directory
(desde que às mesmas se tenha acesso). Em alguns casos consegue capturar as
sínteses do tráfego de rede. Possui também várias formas de adivinhar senhas
(com dicionários, por força bruta, etc.). O L0phtCrack custa actualmente 350
USD/máquina e não é fornecido código fonte. Empresas com um orçamento apertado
podem optar por experimentar as ferramentas John the
Ripper, Cain & Abel e pwdump3.
|
|
Retina: Inventariador de vulnerabilidades comercial da eEye
Tal como o Nessus e o ISS Internet Scanner previamente mencionados, a função do Retina é a de procurar
vulnerabilidades em todas as máquinas de uma rede e de produzir um
relatório de avaliação sobre as mesmas.
|
|
|
Netfilter: O filtro de datagramas/firewall actual do núcleo Linux
O Netfilter é um filtro de datagramas poderoso que faz parte do núcleo Linux padrão. A sua configuração é feita através da aplicação iptables. Actualmente suporta filtragem de datagramas (mantendo ou não estado), todos os diferentes tipos de NAT (Network Address Translation) e alteração de datagramas. Para outras plataformas que não Linux ver
pf (OpenBSD), ipfilter (várias outras variantes de UNIX), ou mesmo a firewall pessoal Zone Alarm (Windows).
|
|
traceroute/ping/telnet/whois: as ferramentas básicas
No meio de toda a propaganda acerca de ferramentas altamente sofisticadas que são disponibilizadas para apoiar a gestão dos mais variados aspectos de segurança, há que não esquecer as ferramentas básicas! Todos deveriam estar à vontade com estas ferramentas, uma vez que elas estão disponíveis na maioria dos sistemas operativos (excepto o Windows, que não possui whois e usa o nome tracert). Elas podem ser muito úteis para resolver enrascadas, muito embora para usos mais complexos sejam preferíveis os Hping2 e Netcat.
|
|
Fport: o netstat aperfeiçoado da Foundstone
A ferramenta fport indica todos os portos TCP/IP e UDP abertos na máquina onde
é executada e mostra quais são as aplicações que os estão a usar. Desta forma serve
para identificar rapidamente portos abertos desconhecidos e as aplicações que
lhes estão associadas. Só executa em Windows mas muitos sistemas UNIX
actualmente fornecem esta informação através do netstat (experimentar 'netstat
-pan' em Linux). Aqui está um artigo da SANS acerca do
uso do Fport e da análise dos seus resultados.
|
|
SAINT: Security Administrator's Integrated Network Tool
SAINT é uma outra ferramenta comercial de inventariação de vulnerabilidades (tal como o ISS Internet Scanner ou o eEye Retina). Ao contrário dessas ferramentas apenas para Windows, o SAINT executa exclusivamente em UNIX. O código fonte do SAINT chegou a ser disponibilizado publicamente sem custos, mas actualmente é um produto comercial.
|
|
Network Stumbler: Inspector de rede 802.11 gratuito para Windows
O Netstumbler é a melhor ferramenta para Windows para encontrar
pontos de acesso sem fios disponíveis ("wardriving"). Existe
também uma versão WinCE para PDA e similares chamada Ministumbler. A ferramenta é
actualmente gratuita apenas para Windows e não é fornecido o código
fonte. Os autores assinalam que "o autor reserva-se o direito de
alterar este acordo de licenciamento como melhor lhe convier sem
disso dar nota." ("the author reserves the right to change this
license agreement as he sees fit, without notice."). Os utentes
de UNIX (e utilizadores avançados do Windows) podem experimentar
alternativamente o Kismet.
|
|
SARA: Security Auditor's Research Assistant
O SARA é uma ferramenta de inventariação de vulnerabilidades que derivou
do mal-afamado inventariador SATAN. Os seus autores tentam disponibilizar
actualizações de versões duas vezes por mês para acompanhar os
avanços de software desenvolvido pela comunidade adepta do código
aberto (como o Nmap e o Samba).
|
|
N-Stealth: um avaliador de servidores Web
O N-Stealth é uma ferramenta comercial de avaliação de segurança de
servidores Web. É normalmente actualizado mais frequentemente que os
similares gratuitos, como o whisker e o nikto, mas mantenha algum cepticismo em relação ao
seu sítio Web. As afirmações "30,000 vulnerabilidades e
explorações" e "Dezenas de verificações de vulnerabilidade são
adicionadas todos os dias" são muitíssimo questionáveis. Note ainda
que a maioria das ferramentas genéricas de inventariação de
vulnerabilidades, como o Nessus, o ISS, o Retina, o SAINT e o SARA incluem
componentes para avaliar servidores Web. Nem todas poderão, no
entanto, estar tão actualizadas ou ser tão flexíveis. O N-stealth é
apenas para Windows e não é fornecido código fonte.
|
|
AirSnort: uma ferramenta de criptanálise do 802.11 WEP
O Airsnort é uma ferramenta para redes locais sem fios (WLAN) que descobre chaves de cifra usadas na comunicação. Foi desenvolvida pelo
Shmoo Group e actua monitorizando as comunicações sem fios de forma passiva, conseguindo calcular as chaves de cifra após a captura de um número suficiente de datagramas cifrados. O suporte para Windows está ainda muito rudimentar.
|
|
NBTScan: Recolhe informação NetBIOS em redes Windows
O NBTscan é um programa que pesquisa redes IP à procura de informação afecta a nomes NetBIOS. Envia pedidos de estado NetBIOS para cada endereço indicado numa gama e lista a informação recebida de forma legível por humanos. Para cada máquina que responde indica o endereço MAC, o endereço IP, o nome NetBIOS do computador e o nome do utente com sessão aberta no mesmo.
|
|
GnuPG / PGP: Proteja os seus ficheiros e comunicação usando criptografia avançada
O PGP é o programa de cifra famoso, criado por Phil Zimmerman, que ajuda a proteger os seus dados de terceiros não autorizados e a evitar outros riscos.
O GnuPG é uma realização muito cuidada, e com código fonte disponível, do padrão PGP (o nome do programa é gpg). O GnuPG é totalmente gratuito, enquanto o PGP tem que ser pago para certos usos.
|
|
Firewalk: Um traceroute avançado
O Firewalk emprega técnicas semelhantes ao traceroute, na análise de respostas a datagramas IP, para determinar filtros de controlo de acesso em gateways e para levantar mapas de redes. Esta ferramenta clássica foi totalmente reescrita de raiz em Outubro de 2002. Note que a maior parte ou a totalidade da sua funcionalidade pode ser obtida com o
Hping2 (quando usado com a opção --traceroute).
|
|
Cain & Abel: O L0phtcrack dos pobres
Cain & Abel é uma ferramenta gratuita de prospecção de senhas para sistemas Microsoft Windows. Permite uma prospecção fácil de vários tipos de senhas através da escuta da rede, da pesquisa de senhas cifradas usando ataques com dicionários ou exaustivos, da descodificação de senhas baralhadas, da descoberta de chaveiros e de senhas em cache e da análise de protocolos de encaminhamento. O código fonte não é fornecido.
|
|
XProbe2: Uma ferramenta activa de identificação de sistemas operativos
O XProbe é uma ferramenta que permite identificar o sistema operativo de uma máquina remota. Para o conseguir usa
uma parcela das técnicas do Nmap bem como outras abordagens diferentes. O XProbe sempre privilegiou o protocolo ICMP na sua aproximação à identificação.
|
|
SolarWinds Toolsets: Uma imensidão de ferramentas de pesquisa/monitorização/ataque de redes
A SolarWinds criou e vende dúzias de ferramentas especializadas destinadas a administradores de sistemas. As ferramentas relacionadas com a segurança incluem vários pesquisadores de rede e um prospector SNMP exaustivo. Estas ferramentas são só para Windows, custam dinheiro e não incluem código fonte.
|
|
NGrep: um capturador & apresentador de datagramas muito útil
O ngrep procura fornecer todas as funcionalidades do grep da GNU mas aplicando-as ao nível rede. O ngrep é uma ferramenta baseada na biblioteca pcap que lhe permitirá especificar expressões regulares estendidas ou hexadecimais para encontrar conteúdos de transporte ou datagramas. Actualmente reconhece TCP, UDP e ICMP sobre Ethernet, PPP, SLIP, FDDI, Token Ring e interfaces nulas, e entende lógica de filtragem bpf de forma semelhante à de ferramentas comuns de captura de datagramas, tais como o tcpdump e o snoop.
|
|
Perl / Python: Linguagens interpretadas portáveis de aplicação generalizada
Muito embora esta página apresente muitas ferramentas desenhadas para lidar com as tarefas mais comuns, é importante ter a possibilidade de escrever as suas próprias (ou modificar outras existentes). O Perl e Python facilitam a criação rápida de scripts portáveis para teste, exploração de vulnerabilidades ou mesmo para corrigir sistemas! Arquivos como o
CPAN
estão recheados de módulos tais como o
Net::RawIP e concretizações de protocolos para facilitar ainda mais a sua tarefa.
|
|
THC-Amap: Um inventariador de aplicações
O Amap (da THC) é um recente mas poderoso inventariador que analisa cada porto para identificar aplicações ou serviços sem tomar em considerar os mapeamentos estáticos.
|
|
OpenSSL: A melhor biblioteca criptográfica SSL/TLS
O Projecto OpenSSL é um esforço conjunto com o intuito de desenvolver um arsenal robusto, de nível comercial, com inúmeras funcionalidades e com código fonte público para exploração dos protocolos Secure Sockets Layer (SSL v2/v3) e Transport Layer Security (TLS v1), bem como para uso genérico de criptografia topo-de-gama. O projecto é gerido por uma comunidade mundial de voluntários que usam a Internet para comunicar, planear e desenvolver o arsenal OpenSSL e a sua documentação.
|
|
NTop: Um monitor de tráfego de rede
O Ntop mostra o uso da rede de uma forma muito similar à usada pelo top para processos. No modo interactivo mostra o estado da rede no terminal do utente. No modo Web actua como um servidor Web, criando imagens HTML com o estado da rede. Suporta um emissor/colector NetFlow/sFlow, uma interface HTTP para os clientes criarem aplicações sobre o Ntop e RRD para armazenar estatísticas de tráfego.
|
|
Nemesis: Um injector de datagramas simplificado
O Projecto Nemesis tem como intuito a gestão da pilha IP por humanos em UNIX/Linux (e actualmente também Windows) usando comandos de consola. O arsenal subdivide-se por protocolo e deverá permitir a injecção útil de fluxos de datagramas a partir de scripts. Se aprecia o Nemesis poderá também conhecer o
hping2. Eles complementam-se muito bem.
|
|
LSOF: LiSt Open Files
Esta ferramenta de diagnóstico forense para Unix lista informação acerca dos ficheiros abertos pelos processos actuais do sistema. Pode também listar sockets de comunicação abertos por cada processo.
|
|
|
Hunt: Um capturador de datagramas avançado e intromissor em ligações para Linux
O Hunt observa ligações TCP e intromete-se nas mesmas ou termina-as.
O Hunt foi concebido para ser usado na Ethernet e possui mecanismos activos para escutar ligações em redes comutadas. As funcionalidades avançadas incluem a retransmissão selectiva de ARP e a sincronização de ligações após os ataques. Se aprecia o Hunt veja também o
Ettercap e o
Dsniff.
|
|
Honeyd: A sua rede isco pessoal
O Honeyd é um pequeno servidor que simula uma rede de máquinas virtuais. As máquinas podem ser configuradas para executar serviços arbitrários e a sua personalidade TCP pode ser adaptada de modo a aparentarem determinadas versões de sistemas operativos. O Honeyd permite que uma única máquina use diversos endereços de uma LAN para simular a rede fictícia. É possível detectar as máquinas com ping ou com traceroute. Qualquer tipo de serviço numa máquina virtual pode ser simulado de acordo com um simples ficheiro de configuração. É ainda possível redirigir acessos a serviços para outras máquinas em vez de os simular. A página Web está actualmente indisponível por razões legais, mas o pacote tar V. 0.5 está ainda disponível aqui.
|
|
Achilles: Um mediador de ataque a servidores Web para Windows
Achilles é uma ferramenta concebida para testar a segurança de aplicações Web. Achilles é um servidor mediador (proxy) que actua interceptando sessões HTTP. O mediador HTTP típico retransmite dados de e para um navegador cliente e um servidor Web. O Achilles irá interceptar os dados de uma sessão HTTP em qualquer direcção e permite que o seu utente os altere antes de os retransmitir. Por exemplo, durante uma ligação HTTP SSL normal um mediador típico irá retransmitir a sessão entre o servidor e o cliente e permitir que as duas máquinas nos extremos negoceiem a sessão SSL. Pelo contrário, o Achilles, quando em modo intercepção, irá simular ser o servidor e irá negociar duas sessões SSL, uma com o navegador cliente e outra com o servidor Web. Durante a transmissão de dados entre os dois extremos o Achilles decifra os dados e permite que o seu utente altere e/ou registe os dados em claro antes da sua retransmissão.
|
|
Brutus: Um atacante por força bruta de autenticações em rede
Este prospector de senhas para Windows actua sobre serviços em rede de máquinas remotas, tentando adivinhar senhas usando um dicionário e permutações de termos do mesmo. Suporta HTTP, POP3, FTP, SMB, TELNET, IMAP, NTP e outros. O código fonte não é disponibilizado. Os utentes de UNIX devem consultar o
THC-Hydra.
|
|
Stunnel: um interceptor criptográfico genérico de SSL
O programa stunnel foi concebido para actuar como um interceptor criptográfico de SSL entre um cliente remoto e um servidor local (lançável via inetd) ou remoto. Pode ser usado para adicionar a funcionalidade do SSL para servidores normalmente iniciados através do inetd, como servidores POP2, POP3 e IMAP, sem requerer quaisquer alterações dos seus programas. Ele negociará uma sessão SSL usando as bibliotecas
OpenSSL ou SSLeay.
|
|
Paketto Keiretsu: TCP/IP radical
Paketto Keiretsu é uma colecção de ferramentas que usam estratégias novas e invulgares de exploração de redes TCP/IP. Elas encaixam funcionalidades no âmbito da infra-estrutura existente e puxam pelos protocolos para além dos seus fins originais. A colecção inclui Scanrand, um sistema invulgarmente rápido de descoberta de serviços em rede e de topologias de rede; Minewt, um encaminhador NAT/MAT que executa em modo utilizador; linkcat, que fornece uma ponte entre Ethernet e stdio; Paratrace, que faz o levantamento de caminhos em redes sem criar novas ligações; e Phentropy, que usa OpenQVIS para desenhar num espaço de fases tridimensional quantidades arbitrárias de entropia extraídas de fontes de dados. Apanharam tudo? :).
|
|
Fragroute: o pior pesadelo dos sistemas IDS
O Fragroute intercepta, modifica e reescreve tráfego de saída, concretizando a maioria dos ataques descritos no documento
Secure Networks: IDS Evasion (Redes Seguras: Fuga aos IDS). Dispõe de uma linguagem de regras simples para atrasar, duplicar, descartar, fragmentar, sobrepor, imprimir, reordenar, segmentar, forçar o caminho de retorno (source route), ou de outra forma brincar com todos os datagramas de saída destinados a uma máquina alvo com um suporte mínimo para actuar de forma aleatória ou probabilística. Esta ferramenta foi concebida com o propósito honesto de ajudar a testar sistemas de detecção de intrusões, firewalls e comportamentos básicos da pilha TCP/IP. Tal como Dsniff e Libdnet, esta ferramenta excelente foi programada por Dug Song.
|
|
SPIKE Proxy: brincar com o HTTP
Spike Proxy é um mediador HTTP com código público que serve para descobrir falhas de segurança em serviços Web. Faz parte do
Spike Application Testing
Suite (Arsenal de Teste de Aplicações Spike) e suporta a detecção de injecções automáticas de SQL, varrimento de sítios Web, tentativas exaustivas de passagem através de formulários de controlo de entradas, detecção de tentativas de provocar transbordamentos de memória (memory overflows) e detecção de varrimentos de directorias.
|
|
THC-Hydra: Um desobstruidor paralelizado de autenticações em rede
Esta ferramenta permite ataques rápidos com dicionários contra sistemas de autenticação em rede, incluindo FTP, POP3, IMAP, Netbios, Telnet, autenticação HTTP, LDAP, NNTP, VNC, ICQ, Socks5, PCNFS e outros. Inclui suporte para SSL e aparentemente agora faz parte do
Nessus. Tal como o Amap, esta distribuição vem da malta fixe da THC.
|
Para poupar espaço & tempo, as próximas 25 melhores ferramentas estão listadas numa tabela mais compacta:
- OpenBSD: O sistema operativo proactivamente seguro
- TCP Wrappers: Um mecanismo clássico de controlo de acesso e registo baseado em endereços IP
- pwdump3: Permite obter sínteses de senhas do Windows local ou remotamente independentemente do syskey estar ou não activado
- LibNet: Um arsenal com uma interface de alto nível que permite aos programadores de aplicações a construção e injecção de datagramas em redes
- IpTraf: Software para monitorização de redes IP
- Fping: Um descobridor ping paralelizado
- Bastille: Scripts para fortalecer a segurança de sistemas Linux, Mac OS X e HP-UX
- Winfingerprint: Um enumerador por varrimento de máquinas/redes para Win32
- TCPTraceroute: Uma realização do traceroute com segmentos TCP
- Shadow Security Scanner: Uma ferramenta comercial de inventariação de vulnerabilidades
- pf: O filtro de datagramas inovador do OpenBSD
- LIDS: Um sistema de detecção e defesa contra intrusões para o núcleo do Linux
- hfnetchk: Ferramenta Microsoft para verificar, a partir de um ponto central, o estado de actualização de todos as máquinas Windows numa rede
- etherape: Um monitor de rede gráfico para Unix inspirado no etherman
- dig: Uma ferramenta jeitosa para inquirir servidores DNS que vem incluída no Bind
- Crack / Cracklib: O prospector de senhas locais clássico de Alec Muffett
- cheops / cheops-ng: Fornece uma interface simples para vários utilitários de rede, levanta redes locais e remotas e identifica sistemas operativos de máquinas
- zone alarm: Software de firewall pessoal para Windows. Oferecem uma versão gratuita limitada, mas muita da sua funcionalidade está desactivada
- Visual Route: Obtém dados com traceroute/whois e desenha-os num mapa-mundo
- The Coroner's Toolkit (TCT): Uma colecção de ferramentas vocacionadas tanto para a obtenção como para a análise forense de dados num sistema Unix
- tcpreplay: Uma ferramenta para repetir tráfego, registado em ficheiros com tcpdump ou snoop, com ritmos arbitrários
- snoop: Um interceptor bem conhecido (trocadilho de palavras intraduzível de gangsta rapper Snoop Dogg). É também um inspector de rede que faz parte do Solaris
- putty: Um excelente cliente SSH para Windows
- pstools: Uma série de ferramentas de consola gratuitas para gerir sistemas Windows (listagem de processos, execução de comandos, etc.)
- arpwatch: Mantém-se ao corrente de associações entre endereços Ethernet e IP e pode detectar certas brincadeiras
|
Intro
