Los marcos de seguridad de código abierto ayudan a las empresas a mantenerse un paso por delante de los atacantes al facilitar las pruebas de penetración y las evaluaciones de vulnerabilidad en redes cableadas e inalámbricas.
Elegir solo 10 herramientas de seguridad de código abierto de Linux no es fácil, especialmente cuando los profesionales de la red y los expertos en seguridad tienen docenas, si no varios cientos, de herramientas disponibles.
Hay diferentes conjuntos de herramientas para casi todas las tareas: túneles de red, rastreo, escaneo, mapeo. Y para todos los entornos : redes Wi-Fi , aplicaciones web, servidores de bases de datos.
Consultamos a un grupo de expertos (Vincent Danen, vicepresidente de seguridad de productos, RedHat; Casey Bisson, jefe de crecimiento de productos, BluBracket; Andrew Schmitt, miembro del panel asesor de seguridad de BluBracket; y John Hammond, investigador sénior de seguridad, Huntress) para desarrollar esta lista de herramientas de seguridad de Linux imprescindibles.
1. Aircrack-ng para la seguridad de la red Wi-Fi
Aircrack-ng es un conjunto de herramientas para pruebas de seguridad de redes inalámbricas y protocolos Wi-Fi. Los profesionales de la seguridad utilizan este escáner inalámbrico para la administración de redes, la piratería y las pruebas de penetración. Se enfoca en:
Supervisión: captura de paquetes y exportación de datos a archivos de texto para su posterior procesamiento por parte de herramientas de terceros.
Ataque: ataques de repetición, desautenticación, puntos de acceso falsos mediante inyección de paquetes.
Pruebas: Comprobación de las tarjetas Wi-Fi y las capacidades del controlador.
Cracking: WEP y WPA PSK (WPA 1 y 2).
Según el sitio web de Aircrack-ng , todas las herramientas son de línea de comandos, lo que permite secuencias de comandos pesadas. La herramienta funciona principalmente en Linux, pero también en Windows, macOS, FreeBSD, OpenBSD, NetBSD, así como en Solaris e incluso eComStation 2.
Costo: software gratuito de código abierto.
2. Burp Suite Pro tiene como objetivo la seguridad de las aplicaciones web
Burp Suite Professional es un conjunto de pruebas de aplicaciones web que se utiliza para evaluar la seguridad de sitios web en línea. Burp Suite funciona como una solución de proxy local que permite a los profesionales de seguridad descifrar, observar, manipular y repetir solicitudes web (HTTP/websockets) y respuestas entre un servidor web y un navegador.
La herramienta viene con un escáner pasivo que permite a los profesionales de la seguridad mapear el sitio y verificar posibles vulnerabilidades mientras rastrean manualmente el sitio. La versión Pro también ofrece un escáner activo de vulnerabilidades web muy útil que permite una mayor detección de vulnerabilidades. Burp Suite es extensible a través de complementos, por lo que los profesionales de la seguridad pueden desarrollar sus propias mejoras. La versión Pro tiene los complementos más robustos, lo que convierte a Burp en un conjunto de herramientas múltiples de herramientas de ataque web muy útiles.
Costo: La versión profesional cuesta $399. También hay una versión empresarial que permite múltiples escaneos simultáneos que pueden usar los equipos de desarrollo de aplicaciones.
3. Impacket para protocolos de red de pruebas de penetración
Esta colección de herramientas es esencial para los servicios y protocolos de red de pruebas de penetración. Desarrollado por SecureAuth, Impacket funciona como una colección de clases de Python para trabajar con protocolos de red. Impacket se centra en proporcionar acceso de bajo nivel a los paquetes y, para algunos protocolos, como SMB1-3 y MSRPC, la implementación del protocolo en sí. Los profesionales de la seguridad pueden construir paquetes desde cero, así como analizarlos a partir de datos sin procesar. La API orientada a objetos facilita bastante el trabajo con jerarquías profundas de protocolos. Impacket admite los siguientes protocolos:
ethernet, linux;
IP, TCP, UDP, ICMP, IGMP, ARP;
IPv4 e IPv6;
NMB y SMB1, SMB2 y SMB3;
MSRPC Versión 5, sobre diferentes transportes: TCP, SMB/TCP, SMB/NetBIOS y HTTP;
Autenticaciones simples, NTLM y Kerberos, usando contraseña/hashes/tickets/claves;
Partes de la implementación del protocolo TDS (MSSQL) y LDAP
Costo: Gratis siempre que el usuario dé crédito a SecureAuth. Impacket se proporciona bajo una versión ligeramente modificada de la licencia de software Apache. Los profesionales de la seguridad pueden revisarlo aquí y compararlo con la licencia oficial de Apache Software.
4. Metasploit: una superherramienta para detectar exploits
Un marco de explotación de Rapid7 que se utiliza para pruebas de penetración generales y evaluaciones de vulnerabilidad, los profesionales de seguridad lo consideran una "súper herramienta" que contiene versiones funcionales de casi todos los exploits conocidos que existen.
Metasploit permite a los profesionales de seguridad escanear redes y puntos finales (o importar resultados de escaneo NMAP) en busca de vulnerabilidades y luego realizar cualquier posible explotación automáticamente para tomar el control de los sistemas.
Según una publicación reciente del blog Rapid7, la captura de credenciales ha sido una fase crítica y temprana en el libro de jugadas de muchos probadores de seguridad. Metasploit ha facilitado esto durante años con módulos específicos de protocolo, todo bajo la función auxiliar/servidor/captura. Los profesionales de la seguridad pueden iniciar y configurar cada uno de estos módulos individualmente, pero ahora hay un complemento de captura que agiliza el proceso.
Costo: Metasploit Pro, que viene con soporte comercial de Rapid7, comienza en $12,000 por año, pero también hay una versión gratuita.
5. Conectividad de red de sondas NCAT
De los creadores de NMAP , NCAT es el sucesor del popular NETCAT. Facilita la lectura y escritura de datos a través de una red desde la línea de comandos, pero agrega funciones como el cifrado SSL. Los expertos en seguridad dicen que NCAT se ha vuelto crucial para alojar clientes y servidores TCP/UDP para enviar/recibir datos arbitrarios de la víctima y los sistemas atacantes. También es una herramienta popular para establecer un caparazón inverso o extraer datos. NCAT fue escrito para el Proyecto NMAP y representa la culminación de la familia actualmente fragmentada de encarnaciones de NETCAT. Está diseñado como una herramienta de back-end confiable para ejecutar conectividad de red a otras aplicaciones y usuarios. NCAT funciona con IPv4 e IPv6 y ofrece la capacidad de encadenar NCAT, redirigir puertos TCP, UDP y SCTP a otros sitios, así como compatibilidad con SSL.
Costo: Herramienta gratuita de código abierto.
6. Escaneo NMAP y mapas de redes.
NMAP es una herramienta de escaneo de red de línea de comandos que descubre puertos accesibles en dispositivos remotos. Muchos profesionales de la seguridad consideran que NMAP es la herramienta más importante y eficaz de nuestra lista: la herramienta es tan poderosa que se ha vuelto obligatoria para los evaluadores de penetración. La característica insignia de NMAPestá escaneando rangos de red en busca de servidores activos, y luego todos sus puertos para el sistema operativo, el servicio y el descubrimiento de versiones. A través del motor de secuencias de comandos de NMAP, luego realiza una detección y explotación de vulnerabilidades más automatizadas contra cualquier servicio que encuentre. NMAP admite docenas de técnicas avanzadas para mapear redes llenas de filtros IP, firewalls, enrutadores y otros obstáculos. Esto incluye muchos mecanismos de escaneo de puertos TCP y UDP, detección de sistema operativo, detección de versión y barridos de ping. Los profesionales de la seguridad han utilizado NMAP para escanear grandes redes de cientos de miles de máquinas.
Costo: Herramienta gratuita de código abierto.
7. ProxyChains para túneles de red
ProxyChains, el estándar de facto para la tunelización de redes, permite a los profesionales de la seguridad emitir comandos de proxy desde su máquina Linux atacante a través de varias máquinas comprometidas para atravesar los límites de la red y los cortafuegos, mientras evaden la detección. Lo usan cuando quieren usar el sistema operativo Linux para ocultar su identidad en una red. ProxyChains enruta el tráfico TCP de los pen testers a través de los siguientes proxies: TOR, SOCKS y HTTP. Las herramientas de reconocimiento de TCP, como NMAP, son compatibles, y la red TOR se utiliza de forma predeterminada. Los profesionales de la seguridad también usan ProxyChains para evadir firewalls y en la detección de IDS/IPS.
Costo: Herramienta gratuita de código abierto.
8. Responder simula ataques a sistemas DNS
Responder es un envenenador NBT-NS (NetBIOS Name Service), LLMNR (Link-Local Multicast Name Resolution) y mDNS (multicast DNS) que utilizan los evaluadores de penetración para simular un ataque destinado a robar credenciales y otros datos durante el proceso de resolución de nombres. cuando el servidor DNS no encuentra ningún registro.
La última versión de Responder (v. 3.1.1.0) viene con compatibilidad total con IPv6 de manera predeterminada, lo que permite a los profesionales de la seguridad realizar más ataques en redes IPv4 e IPv6. Esto es importante porque Responder carecía de compatibilidad con IPv6 y, por lo tanto, pasó por alto varias rutas de ataque. Esto fue especialmente cierto en las redes de solo IPv6 o incluso en las redes mixtas de IPv4/IPv6, especialmente si se tiene en cuenta que IPv6 se ha convertido en la pila de red preferida en Windows.
Costo : software gratuito de código abierto.
9. sqlmap busca fallas de inyección de SQL en servidores de bases de datos
sqlmap es una herramienta de prueba de penetración de código abierto que automatiza el proceso de detección y explotación de fallas de inyección de SQL que podrían usarse para hacerse cargo de los servidores de bases de datos. La herramienta viene con un potente motor de detección y cuenta con muchas características para las pruebas de penetración, incluida la toma de huellas dactilares de la base de datos, el acceso al sistema de archivos subyacente y la ejecución de comandos en el sistema operativo a través de conexiones fuera de banda.
Los profesionales de la seguridad dicen que les ayuda a automatizar el descubrimiento de SQL y los ataques de inyección contra los principales back-end de SQL. Admite una amplia gama de servidores de bases de datos, incluidos MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB y HSQLDB. También es compatible con varios tipos de ataques de inyección de SQL, incluidos ciegos basados en booleanos, ciegos basados en tiempo, basados en errores, consultas apiladas y fuera de banda.
Costo : software gratuito de código abierto.
10. Wireshark: popular analizador de protocolos de red
Wireshark, que existe desde 1998, es un analizador de protocolos de red, comúnmente llamado rastreador de interfaz de red. La última actualización es la versión 3.6.3.
Wireshark permite a los profesionales de la seguridad observar el comportamiento de red de un dispositivo para ver con qué otros dispositivos se está comunicando (direcciones IP) y por qué. En algunas topologías de red más antiguas, las solicitudes de red de otros dispositivos pasan a través de la interfaz de red del dispositivo de un profesional de seguridad, lo que les permite observar todo el tráfico de la red, no solo el suyo propio. Los expertos en seguridad dicen que es una gran herramienta para averiguar dónde están los servidores DNS y otros servicios para una mayor explotación de la red. Wireshark se ejecuta en la mayoría de las plataformas informáticas, incluidas Windows, MacOs, Linux y Unix.
Costo : software gratuito de código abierto.
Fuente: networkworld.com