Algunas herramientas de seguridad para redes

Vía Seguridad Informática, un blog que acostumbramos a seguir por la calidad de sus articulos, nos encontramos esta mañana un interesante enlace a una web que ha publicado un Ranking con las 50 mejores herramientas de Seguridad, es más que interesante, los invito a echarle un vistazo.

Nessus
Auditor de Seguridad Remoto. El cliente “The Nessus Security Scanner” es una herramienta de auditoría de seguridad. Hace posible evaluar módulos de seguridad intentando encontrar puntos vulnerables que deberían ser reparados. Está compuesto por dos partes: un servidor, y un cliente. El servidor/daemon, “nessusd” se encarga de los ataques, mientras que el cliente, “nessus”, se ocupa del usuario por medio de una linda interfaz para X11/GTK+. Este paquete contiene el cliente para GTK+1.2, que además existe en otras formas y para otras platarformas.

Netcat
Una navaja multiuso para TCP/IP. Una utilidad simple para Unix que lee y escribe datos a través de conexiones de red usando los protocolos TCP o UDP. Está diseñada para ser una utilidad del tipo “back-end” confiable que pueda ser usada directamente o fácilmente manejada por otros programas y scripts. Al mismo tiempo, es una herramienta rica en características útil para depurar (debug) y explorar, ya que puede crear casi cualquier tipo de conexión que puedas necesitar y tiene muchas características incluídas.

Tcpdump
Una poderosa herramienta para el monitoreo y la adquisición de datos en redes. Este programa te permite volcar (a un archivo, la pantalla,etc.) el tráfico que presenta una red. Puede ser usado para imprimir los encabezados de los paquetes en una interfaz de red (“network interface”) que concuerden con una cierta expresión. Se puede usar esta herramienta para seguir problemas en la red, para detectar “ping attacks” o para monitorear las actividades de una red.

Snort
un Sniffer/logger de paquetes flexible que detecta ataques. Snort está basado en la biblioteca `libpcap’ y puede ser usado como un “sistema de detección de intrusiones” (IDS) de poco peso. Posee un registro basado en reglas y puede buscar/identificar contenido además de poder ser usado para detectar una gran variedad de otros ataques e investigaciones (probes), como buffer overflows, barridos de puertos indetectables (stealth port scans), ataques CGI, pruebas de SMB (SMB probes), y mucho más. Otra característica importante de Snort es la capacidad de alertar en tiempo real, siendo estas alertas enviadas a syslog, un archivo de alerta separado o incluso a una computadora con Windows a través de Samba.

Saint
SAINT (Security Administrator’s Integrated Network Tool, o sea, Herramienta De Red Integrada Del Adminstrador de Seguridad) es una herramienta de evaluación de seguridad basada en SATAN. Incluye escaneos _a_través_ de un firewall, chequeos de seguridad actualizados de los boletines de CERT Y CIAC, 4 niveles de severidad (rojo, amarillo, marrón y verde) y una interfaz HTML rica en características.

Ethereal
Ethereal es un analizador de tráfico de redes, o “sniffer” para Unix y Sistemas operativos del tipo Unix. usa GTK+, una biblioteca de interfaz gráfica para el usuario (GUI), y libcap, una bliblioteca que facilita la captura y el filtrado de paquetes.

Whisker
El excelente escáner de vulnerabilidades en CGI de Rain.Forest.Puppy.

Internet Security Scanner
Un escáner de seguridad comercial muy popular

Abacus Portsentry
Este demonio de detección de barrido de puertos tiene la habilidad de detectar estos barridos (incluyendo “stealth scans”) en las interfaces de red de tu máquina. Como medida de alarma, puede bloquear al atacante por medio de “hosts.deny”, bloqueando el ruteo hacia la máquina hostil o por medio de reglas de firewall. Es parte del set de programas “Abacus”. Nota: Si no tenés idea de qué es una port/stealth scan, te recomiendo darte una vuelta por Psionic antes de instalar este paquete. De otra forma, podrías fácilmente bloquear cualquier host que no deberías. (por ej. tu servidor de NFS, tu servidor de DNS, etc.).

DSniff
Un comprobador de integridad de archivos y directorios. Tripwire es una herramienta que ayuda a administradores y usuarios de sistemas monitoreando alguna posible modificación en algún set de archivos. Si se usa regularmente en los archivos de sistema (por ej. diariamente), Tripwire puede notificar a los administradores del sistema, si algún archivo fue modificado o reemplazado, para que se puedan tomar medidas de control de daños a tiempo.

Cybercop
Otro popular escáner comercial! Esta herramienta cuesta sus buenos $$$ y no viene con el código fuente. Una poderosa versión de demostración está disponible para prueba.

Hping2  
hping2 es una herramienta de red capaz de enviar paquetes ICMP/UDP/TCP hechos a medida y de mostrar las respuestas del host destino de la misma manera en la que lo hace la herramienta `ping’ los las respuestas de ICMP. Puede manejar fragmentación y tamaños y cuerpo arbitrarios de paquetes; además puede ser utilizado para transferir archivo usando protocolos soportados. Al usar hping2, se puede: evaluar el desempeño de la red utilizando diferentes protocolos, tamaños de paquetes, TOS (type of service, o sea, tipo de servicio), y fragmentación; realizar descubrimiento de camino utilizando el campo MTU (onda traceroute); transferir archivos (incluso ante reglas de firewall muy fascistas); realizar funciones al estilo `traceroute’ pero bajo diferentes protocolos; detección remota de OS (`remote OS fingerprinting’); auditar una implementación de TCP/IP (`TCP/IP stack’) en particular; etc. hping2 es una buena herramienta para aprender acerca de TCP/IP.
SARA  
El Asistente de Investigación para el Auditor de Seguridad (Security Auditor’s Research Assistant) es una herramienta de análisis de seguridad de tercera generación que está basada en el modelo de SATAN y distribuída bajo una licencia del estilo de la GNU GPL. Promueve un ambiente colaborativo y es actualizada periódicamente para tener en cuenta las últimas amenazas.
Sniffit  
Una herramienta de monitoreo y “packet sniffer” para paquetes de TCP/UDP/ICMP. sniffit es capaz de dar información técnica muy detallada acerca de estos paquetes (SEC, ACK, TTL, Window, …) pero también los contenidos de los paquetes en diferentes formatos (hex o puro texto, etc.).
SATAN  
Herramienta de Auditoría de Seguridad para Analizar Redes (Security Auditing Tool for Analysing Networks). Ésta es una poderosa herramienta para analizar redes en búsqueda de vulnerabilidades creada para administradores de sistema que no pueden estar constantemente chequeando bugtraq, rootshell y ese tipo de fuentes de info.
IPFilter  
IP Filter es un filtro de paquetes de TCP/IP, adaptable para uso en un ambiente de firewall. Puede ser utilizado como una módulo de kernel o incorporado en tu kernel de UNIX; es áltamente recomendable utilizarlo como un módulo de kernel. Viene junto con scripts para instalarlo y parchar archivos de sistema, si se require.
iptables/netfilter/ipchains/ipfwadm  
Administradores de los filtros de paquetes de IP para kernels 2.4.X. iptables se usa para configurar, mantener e inspeccionar las tablas de reglas de filtrado de paquetes de IP en Linux. La herramienta iptables también soporta configuración de NAT (Network Address Translation) dinámica y estática.
Firewalk  
Firewalking es una técnica desarrollada por MDS y DHG que emplea técnicas del estilo de `traceroute’ para determinar las reglas de filtrado que se están usando en un dispositivo de transporte de paquetes (NdelT: quise traducir “packet forwarding device”). La última versión de esta herramienta, fierwalk/GTK incluye la opción de usar una interfaz gráfica y nuevos arreglos a errores.
Strobe  
Un “clásico” escáner de puertos de TCP de alta velocidad.
L0pht Crack  
L0phtCrack es una herramienta de auditoría de passwords para NT. Computa los password de usuarios de NT a partir de las hashes (sori, no traduzco esa palabra) criptográficas que son guardadas por el sistema operativo NT. L0phtcrack puede obtener las hashes por medio de muchas fuentes (archivo, sniffing, el registro, etc.) y tiene numerosos métodos de generar averiguaciones de passwords (por diccionario, fuerza bruta, etc.).
John The Ripper  
Una herramienta activa para crackear passwords. Útil para encontrar passwords débiles de tus usuarios.
Hunt  
Un sniffer de paquetes (“packet sniffer”) y un intruso en conexiones (“connection intrusion”) avanzado. Hunt es una programa para entrometerse en una conexión, observarla y resetearla. Tené en cuenta que Hunt opera con Ethernet y funciona mejor en conexiones que puedan ser vistas a través de este sistema (me refiero al media-sharing). Sin embargo, es posible hacer algo incluso en hosts que se encuentran en otros segmentos de la red o en hosts que están en otros puertos de un switch.
OpenSSH / SSH  
Nota: la versión de ssh.com cuesta algo de $$$ para algunos usuarios, pero el código fuente está disponible.
Descripción: Un reemplazo seguro para rlogin/rsh/rcp. OpenSSH deriva de la versión de ssh de OpenBSD, que a su vez deriva del código de ssh pero de tiempos anteriores a que la licencia de ssh se cambiara por una no libre. ssh (secure shell) es un programa para loggearse en una máquina remota y para ejecutar comandos en una máquina remota. Provee de comunicaciones cifradas y seguras entre dos hosts no confiables (“untrusted hosts”) sobre una red insegura. También se pueden redirigir conexiones de X11 y puertos arbitrarios de TCP/IP sobre este canal seguro. La intención de esta herramienta es la de reemplazar a `rlogin’, `rsh’ y `rcp’, y puede ser usada para proveer de `rdist’, y `rsync’ sobre una canal de comunicación seguro.
tcp wrappers  
La biblioteca TCP Wrappers y paquetes de daemons de registro de Wietse Venema. También conocida como TCPD o LOG_TCP. Estos programas registran el nombre del host cliente en pedidos de conexión entrantes de telnet, ftp, rsh, rlogin, finger, etc. Las opciones de seguridad son: control de accesos por host, dominio y/o servicio; detección de `engaño’ (`spoofing’) en direcciones de hosts; eventos detonantes (`booby traps’) para implementar sistemas de alertas tempranas.
Ntop  
Muestra la utilización de la red al estilo de la herramienta `top’. Muestra un sumario del uso de la red de las máquinas en ella en un formato que recuerda a la utilidad de unix `top’. También puede ser utilizada en un `web mode’, que permite ver los resultados a través de un explorador de web.
traceroute/ping/telnet  
Estas son utilidades que básicamente _todas_ las máquinas con UNIX ya tienen. De hecho, incluso Windows NT las tiene (pero el comando `traceroute’ se llama `tracert’).
NAT (NetBIOS Auditing Tool)  
La herramienta de auditoría de NetBIOS está diseñada para explorar los servicios de NetBIOS que ofrece un sistema que permiten compartir archivos. Implementa una enfoque paso a paso para recolectar información e intenta obtener acceso a archivos con permisos de sistema (`system-access’) como si se fuera un cliente local legítimo.
Scanlogd  
Scanlogd es un `daemon’ escrito por `Solar Designer’ para detectar barridos de puertos a tu máquina.
Sam Spade  
Herramientas online para investigar direcciones de IP y para seguir el rastro de spammers.
NFR  

Una aplicación de sniffing comercial para crear sistemas de detección de intrusión (IDS).
Nota: El código fuente solía estar disponible libremente pero no sé si todavía es así. Algunos usos pueden costar algo de $$$..
Logcheck  
Envía al administrador mensajes por e-mail informando de las anomalías en los archivos de registro del sistema. Logcheck es parte del Proyecto Abacus de herramientas de seguridad. Es un programa creado para ayudar en el procesamiento de los archivos de registro de UNIX generados por varias herramientas del Proyecto Abacus, daemons de sistema, `TCP Wrapper y paquetes de daemons de registro de Wietse Venema’ y el `Firewall Toolkit©’ de Trusted Information Systems Inc.(TIS). Logcheck ayuda a localizar problemas y violaciones de seguridad en tus archivos de registro automáticamente y te envía los resultados por e-mail. Este programa es de uso gratuito en cualquier sitio. Leé el disclaimer antes de usar este software.
Perl  
Un muy poderoso lenguaje de scripting que es usado frecuentemente para crear `exploits’ con el propósito de verificar vulnerabilidades de seguridad. Por supuesto, también es utilizado para todo tipo de otras cosas.
Ngrep  
`grep’ para el tráfico de red. ngrep se esfuerza por proveer de la mayoría de características comunes del `grep’ de GNU, aplicándolas a la capa de network (`network layer’ *** googleá “modelo de referencia OSI”, si no tenés idea…). ngrep es consciente de la presencia de `pcap’ y te permite usar expresiones reulares que concuerden con el `payload’ ( *** o sea la carga, y no los encabezados) de los paquetes. Actualmente reconoce TCP, UDP, e ICMP sobre Ethernet, PPP, SLIP e interface nulas (`null interfaces’), y comprende la lógica de un flitro `bpf’ *** de la misma manera que herramientas más comunes de sniffing como `tcpdump’ y `snoop’.
Cheops  
Una navaja multiuso para redes basadas en GTK. Cheops ofrece una interfaz simple a la mayoría de las utilidades de red, mapea redes locales o remotas y puede mostrar tipos de sistemas operativos de la máquinas en la red.
Vetescan  
Vetescan es un escáner de vulnerabilidades en masa que contiene programas para comprobar y/o abusar (`exploit’) de varias vulnerabilidades de red remotas conocidas para Windows o UNIX. Incluye Varios Programas para realizar diferentes tipos de escaneo. Correxiones para las vulnerabilidades se incluyen con los exploits.
Retina  
Descripción: Un escáner de seguridad comercial de los pibes de eeye
Nota: Un producto comercial sin código fuente disponible. Una versión de demostración – binaria – está disponible para prueba
.
Libnet  
Rutinas para la construcción y el manejo de paquetes de red. libnet provee de un entorno de trabajo portable para la escritura y el manejo a bajo nivel de paquetes de red. libnet incluye creación de interfaces portátiles de creación de paquetes en la capa de IP y en la capa de link ( o sea, en la `network layer’ usando IP y en la `link layer’. *** googleá “modelo de referencia OSI”, si no tenés idea…), así como también una fuente de funcionalidad suplementaria. Aunque todavía está en su infancia, esta biblioteca evoluciona bastante. Funcionalidad adicional y estabilidad son agregadas en cada edición. Al usar `libnet’, se pueden armar aplicaciones de construcción de paquetes rápidas y simples con poco esfuerzo. Con un poco más de tiempo, se pueden escribir programas más complejos (`traceroute’ y `ping’ pueden volverse a escribir fácilmente usando libnet y libpcap).
Crack / Cracklib h
Crack5 es una versión de actualización del cracker local de passwords de Alec Muffett. Tradicionalmente, éste permitía a cualquier usuario de un sistema crackear el archivo `/etc/passwd’ y determinar las passwords de otros usuarios (incluso la de root) en el sistema. Los sistemas modernos requieren que tengas acceso a `/etc/shadow’ para poder lograr esto. Igual, es buena idea para los administradores que corran el cracker de vez en cuando para verificar que todos los usuarios tienen passwords fuertes.
Cerberus Internet Scanner  
CIS es un escáner gratis escrito y mantenido Por `Cerberus Information Security, Ltd’ y está diseñado para ayduar a los adminstradores a localizar y reparar agujeros de seguridad. Corre Sobre Windows NT o 2000. Viene sin el código fuente.
Swatch  
Swatch fue originalmente escrito para monitorear activamente mensajes a medida que eran escritos a un archivo de registro via la utilidad `syslog’ de UNIX. Tiene múltiples métodos de alarmas, visualmente y desencadenando eventos. Las herramientas perfectas para un host cuya función principal es la de registro (`master loghost’). Esta es una edición beta de la versión 3.0, así que usala con cuidado. El código está todavía un poco adelantado a la documentación, pero hay ejemplos. NOTA: Funciona sin problemas sobre GNU/Linux (RH5), BSDI y Solaris 2.6 (parcheado).
OpenBSD  
El proyecto OpenBSD produce un sistema operativo LIBRE, multi-plataforma del estilo del UNIX basado en 4.4BSD. “Nuestros esfuerzos se enfatizan en portabilidad, estandarización, exactitud, seguridad, y criptografía”. OpenBSD soporta emulación binaria de la mayoría de los programas de SVR4 (Solaris), FreeBSD, Linux, BSDI, SunOs, y HPUX.
Nemesis  
El Proyecto Nemesis está diseñado para ser una pila de IP (`IP stack’) humana, portable y basada en línea de comandos para UNIX/Linux. El set está separado por protocolos, y debería permitir crear scripts útiles desde un(a) shell.
LSOF  
`List Open FileS’. `Listar archivos arbiertos’. lsof es una herramienta de diagnóstica específica de Unix. Lista información acerca de cualquiera archivo abierto por procesos que están actualmente corriendo en el sistema. El binario es específico a la versión de Linux 2.2.
Lids  
LIDS es un sistema de detección/defensa de intrusión en Linux. (es decir interno al kernel, aunque no debería hacer falta, esta aclaración). El objetivo es proteger a sistemas con Linux para prevenir intrusiones a nivel de root, deshabilitando algunas llamadas a sistema en el kener mismo. Ya que a veces vas a necesitar administrar el sistema, podés deshabilitar la protección de LIDS.
IPTraf  
`Interactive Colorful IP LAN Monitor IPTraf’ (o sea el monitor de IP en LAN IPTraf Colorido e Interactivo) es un monitor de IP en LAN basado en `ncurses’ que genera varias estadísticas de red incluyendo información sobre TCP, conteos de UDP, información de ICMP y OSPF; información sobre Ethernet, estadísticas por nodo, errores de `checksum’ de IP, y demás. Tené en cuenta que desde su versión 2.0.0, IPtraf necesita un Linux >= 2.2.
IPLog  
iplog es una herramienta de registro de tráfico TCP/IP. Actualmente, es capaz de registrar tráfico TCP, UDP, e ICMP. iplog 2.0 es el 1.x pero escrito desde cero, teniendo esta versión mayor portabilidad y mejor desempeño. iplog 2.0 tiene todas las características de iplog 1.x así como también muchas nuevas. Entre las más importantes nuevas características están: un filtro de paquetes y la detección de más escaneos y ataques. Hoy por hoy, corre sobre GNU/Linux, FreeBSD, OpenBSD, BSDI y Solaris. Versiones para otros sistemas, así como cualquier contribución son bienvenidas.
Fragrouter  
Fragrouter apunta a probar la exactitud de un NIDS (sistema de detección de intrusión por red), de acuerdo a ataques específicos a TCP/IP listados en el escrito `NIDS evasion paper’ de Secure Networks. Otros kits de evasión de NIDS que implementan estos ataques están circulando en el underground o están públicamente disponibles, y se asume que son actualmente utilizados para evitar NIDSs.
Queso  
Descripción: Averigua el sistema operativo de una máquina remota observando las respuestas de TCP
Nota: Algunas de las pruebas de detección de sistemas operativos de Queso fueron incorporadas en
Nmap. Un paper que escribimos de detección de SO está dispoible acá.
GPG/PGP  
La “Guardia De Privacidad de GNU”. GnuPg es un reemplazo libre y completo de PGP, desarrollado en Europa. Al no requerir de IDEA, o RSA, puede ser usado sin restricciones. GnuPg es una aplicación compatible con el RFC 2440 (OpenPGP). PGP es el programa de cifrado famoso que ayuda a asegurar tus datos de curiosos y otros riesgos.
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s