Insecure Org. - Россия. Лучшие утилиты сетевой безопасности 2003.

75 лучших программ сетевой безопасности '2003

В мае-июне 2000 года мы проводили опрос 1200 пользователей Nmap и RuNmap и подписчиков nmap-hackers-list для того, чтобы выяснить, какими утилитами они предпочитают пользоваться. Каждый респондент мог указать до 5 различных наименований. Мы были приятно удивлены вашим вниманием к этой анкете. Результат прошлого опроса приведен здесь.

И вот сейчас мы публикуем новый, теперь уже ТОП-75 лучших утилит сетевой безопасности. На этот раз список респондентов увеличился до 1854 пользователей. Каждый мог указать до 8 программ. Результаты этого опроса мы приводим ниже.

Иконки, размещенные напротив описания каждой программы, означают следующее:

	Новая программа, в топ-листе 2000 года отсутствовала
	Стоит денег. Исходный код обычно отсутствует. Бесплатная демо/испытательная/ознакомительная версия бывает доступна.
	Работает под управлением ОС Linux
	Работает под управлением FreeBSD/NetBSD/OpenBSD и/или клонами UNIX (Solaris, HP-UX, IRIX, и т.д.)
	Есть версия с поддержкой Microsoft Windows

Как и любой рейтинг, наш начинается с самой популярной программы.

1.	Nessus. Одна из лучших утилит для оценки уязвимости сети, распространяется с открытым исходным кодом. Использует плагины, имеет графический интерфейс и выполняет свыше 1200 удаленных проверок безопасности. Имеется возможность создания отчетов в формате HTML, XML, LaTeX, и ASCII. Предлагает возможные решения обнаруженных проблем.
2.	Ethereal. Программа анализа сетевых протоколов. Позволяет исследовать данные, передаваемые "вживую" по сети либо записанные в файл на диске. Имеет возможность интерактивного просмотра данных, а также просмотра общей и детализированной информации каждого пакета. Есть несколько отличительных особенностей, например мощный языковой фильтр данных и возможность просмотра восстановленного потока TCP-сессии. В дистрибутив включена также текстовая версия программы - tethereal.
3.	Snort. Система обнаружения атак для широкого круга пользователей. Способна выполнять анализ трафика в реальном времени и логировать пакеты в IP-сетях. Может анализировать протоколы, осуществлять поиск по содержанию и может быть использована для обнаружения различных тестов и атак, таких, как переполнение буфера, сканирование портов, CGI-атаки, тесты SMB, попытки снятия отпечатков ОС и многое другое. Использует гибкий набор правил для описания трафика, который он должен принимать и блокировать, и модульный механизм обнаружения. Много людей рекомендуют использовать совместно с ним Консоль анализа для систем обнаружения (ACID).
4.	Netcat. Простая утилита, позволяющая отправлять и принимать данные произвольного формата по сети с использованием протоколов TCP или UDP. Может использоваться непосредственно либо управляться другой программой или скриптом. В то же время, это отличная утилита для отладки и исследования сетей, поскольку с ее помощью вы можете создать любой тип соединения. Имеет ряд интересных возможностей.
5.	TCPDump / WinDump. Широко известная и всеми любимая утилита для анализа сетевого трафика ("сниффер"). Используется для распечатки заголовков передаваемых по сети пакетов, удовлетворяющих заданному выражению. Вы можете использовать ее для определения проблем в сети либо для отслеживания сетевой активности. Windows-версия этой программы называется WinDump. Исходный код TCPDump также используется в Libpcap/WinPcap, которая используется в Nmap. Заметьте, что большинство пользователей все-таки предпочитают более новую программу Ethereal.
6.	Hping2. Эта программа "собирает" произвольные ICMP/UDP/TCP-пакеты, отправляет их в сеть и показывает ответы на них. Написана явно под действием команды PING, однако предоставляет гораздо больше возможностей. Поддерживает режим traceroute и IP-фрагментацию. Утилита может использоваться там, где стандартные средства определения активности блокируются файрволлом.
7.	DSniff. Популярный и хорошо продуманный пакет программ (автор - Dug Song) включает в себя массу утилит. dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, и webspy предназначены для пассивного мониторинга интересующих данных (пароли, e-mail, файлы и т.д.). arpspoof, dnsspoof, и macof осуществляют перехват сетевого трафика, обычно недоступного для атакующего (например из-за коммутации 2 уровня). sshmitm и webmitm выполняют атаки типа monkey-in-the-middle aпротив перенаправленных сессий SSH и HTTPS. Частично урезанная версия для Windows доступна здесь.
8.	GFI LANguard. Сканирует сеть и выдает отчет об информации такого рода, как, например, установленная версия ServicePack на каждой машине, отсутствующие патчи, открытые ресурсы, порты, активные службы и приложения, записи реестра, слабые пароли, пользователи и группы и т.д. Результаты сканирования представлены в формате HTM. Ограниченная версия доступна для некоммерческого и пробного использования.
9.	Ettercap. Терминальная программа сниффер/перехватчик/логгер для локальных сетей. Поддерживает активное и пассивное обнаружение множества протоколов (даже SSH и HTTPS). Возможна «инъекция» данных в установленное соединение и фильтрация «на лету», оставляя при этом текущее соединение синхронизированным. Имеет массу полезных возможностей «перехвата» пакетов. Поддерживаются плагины. Может определить тип сети – коммутируемая или нет, и использовать отпечатки ОС для определения геометрии LAN.
10.	Whisker/Libwhisker. Сканер, позволяющий протестировать HTTP сервер на предмет наличия большинства известных дыр, в частности, присутствующих в CGI. Libwhisker – это perl-библиотека (используемая Whisker) позволяющая создать свой собственный HTTP сканер. Если вы желаете проверить не только web-сервер, попробуйте Nessus.
11.	John the Ripper. Быстрая утилита для взлома паролей, доступная для большинства версий UNIX (11 поддерживаются официально, а сколько еще – не сосчитать), DOS, Win32, BeOS, и OpenVMS. Прежде всего предназначена для определения «слабых» паролей в UNIX-системах. Поддерживает несколько crypt(3)-типов хэша, наиболее часто использующихся в Unix, равно как и в Kerberos AFS и Windows NT/2000/XP LM-хэшах. Некоторые другие типы добавлены в распространяемых патчах.
12.	OpenSSH / SSH. Безопасная альтернатива rlogin/rsh/rcp OpenSSH взята из версии ssh для OpenBSD. Ssh (Secure Shell) – это программа для безопасного подключения к удаленной машине и выполнения на ней различных команд. Обеспечивает безопасный зашифрованный обмен данными между двумя недоверенными хостами в небезопасной сети. Соединения с X11 и другими TCP/IP-портами также могут быть перенаправлены через безопасное соединение. Пользователи Windows также могут использовать бесплатную программу PuTTY SSH Client.
13.	Sam Spade. Программа, выполняющая массу полезных и необходимых функций, имеющая неплохой интерфейс. Предназначена для отслеживания спаммеров, однако может быть использована для наблюдения и администрирования сети, а также выполнения ряда других задач. Включает в себя такие утилиты, как ping, nslookup, whois, dig, traceroute, finger, «сырой» HTTP web-браузер и т.д. Пользователи не Windows могут поразвлекаться с онлайновыми версиями большинства из этих утилит.
14.	ISS Internet Scanner. Разработка этой программы начата в '92 как OpenSource-сканер «by Christopher Klaus». Сейчас он включил ISS в компанию-миллионер с огромным числом подобных программ. ISS Internet Scanner весьма хорошая программа, но и не дешевая! Фирме с небольшим бюджетом можно порекомендовать Nessus. В марте 2003 журнал «Information Security magazine» напечатал статью с обзором программ (включая эту), которая доступна здесь.
15.	Tripwire. Программа проверки целостности файлов и каталогов. Позволяет системным администраторам и пользователям наблюдать за изменениями в заданном списке файлов и каталогов. Используя системные файлы и периодический (например, ежедневный) контроль, Tripwire может уведомлять администраторов об изменении или повреждении подконтрольного содержимого. Бесплатная версия OpenSource для Linux доступна на Tripwire.Org. Пользователи UNIX могут использовать AIDE, которая по сути является бесплатной альтернативой.
16.	Nikto. Сканер веб-серверов, обнаруживающий свыше 2000 потенциально опасных файлов/CGI и проблем более чем в 200 различных серверах. Использует LibWhisker, однако обновляется гораздо чаще, чем сам Whisker.
17.	Kismet. Перехватчик трафика в сетях 802.11b. Способен работать с большинством беспроводных сетевых карт, есть возможность автоматического определения IP-блокировки через UDP, ARP, и DHCP пакеты, работает с оборудованием Cisco через Cisco Discovery Protocol, записывает пакеты со слабой шифровкой, возможность дампа пакетов в формате Ethereal и tcpdump. Определяет топологию сети. Поддержка Windows экспериментальна, поэтому пользователи могут посмотреть на программку Netstumbler. Пользователи Linux (и LinuxPDAs типа Zaurus) могут также посмотреть программу Wellenreiter.
18.	SuperScan. Сканер портов на базе TCP-connect, ping-ер и определитель имен хостов Исходный код не поставляется. Ну что сказать? Простая программулина.
19.	L0phtCrack 4. Программа для вскрытия паролей Windows из хеша на отдельной рабочей станции с Windows NT/2000, сетевых серверах, контроллерах доменов, или в Active Directory. Имеет несколько методов угадывания паролей (по словарю, «грубая сила», и т.д.). L0phtcrack стоит $350/копия и поставляется без исходного кода. Фирмы с небольшим бюджетом могут использовать аналоги - John the Ripper, Cain & Abel, и pwdump3.
20.	Retina. Аналогично программам Nessus и ISS Internet Scanner описанным выше, функции Retina – просканировать сеть и выдать отчет об обнаруженных уязвимостях. Также описана в этой статье.
21.	Netfilter. Мощный фильтр сетевых пакетов, встроенный в ядро Linux. Утилита iptables используется для его конфигурации. Поддерживает фильтрацию пакетов, все типы NAT (Network Address Translation) и искажение пакетов. Пользователи других платформ могут использовать pf (OpenBSD), ipfilter (UNIX и версии), или даже Zone Alarm personal firewall (Windows).
22.	traceroute/ping/telnet/whois. Сейчас все норовят использовать высокотехнологичные утилиты, которые все сделают сами. Не забывайте об истоках! Во всех операционных системах есть эти славные утилиты (только в Windows whois называется tracert).
23.	Fport. Сообщает обо всех открытых TCP/IP и UDP портах на машине, которой запущен, и дает полную информацию о каждом приложении, которое использует эти порты. Запускается только под Windows, однако пользователи UNIX могут получить ту же информацию при помощи утилиты netstat. А здесь лежит статья SANS об использовании fport и интерпретации результатов.
24.	SAINT: Security Administrator's Integrated Network Tool. Еще один сканер уязвимости сети (типа ISS Internet Scanner или eEye Retina). Работает только под UNIX. Когда-то был общедоступным, теперь коммерческий.
25.	Network Stumbler. Самая известная утилита для Windows, определяющая беспроводные точки доступа (т.н. техника "wardriving"). Есть версия для WinCE, которая называется Ministumbler. Исходный код не поставляется. Пользователи UNIX (и продвинутые пользователи Windows) могут также воспользоваться программой Kismet.
26.	SARA: Security Auditor's Research Assistant. Сканер уязвимости сети, произошедший от сканера SATAN. Эти ребята пытаются выпускать обновления дважды в месяц и оказывать давление на разработчиков другого ПО с открытым исходным кодом (такого, как RuNmap или Samba).
27.	N-Stealth. Коммерческий сканер безопасности веб-серверов. Обычно обновляется чаще, чем whisker и nikto, однако на их сервере выложена масса информации весьма сомнительного характера. Их заявления об "оннаружении 20,000 уязвимостей и эксплойтов" and "Десятки тестов, добавляемых ежедневно" находятся под большим вопросом. Заметим также, что все программы типа nessus, ISS, Retina, SAINT, и SARA включают в себя компоненты веб-сканирования. Исходный код не поставляется.
28.	AirSnort. Программа для вскрытия ключей шифрования в беспроводных LAN (WLAN). Разработана Shmoo Group и работает с использованием технологии пассивного мониторинка канала, вычисляет ключ шифрования когда приняты все необходимые данные. Поддержка Windows экспериментальна.
29.	NBTScan. Программа сканирования IP-сетей для получения информации NetBIOS в сетях Windows. Отправляет запрос статуса NetBIOS на каждый адрес указанного диапазонаи получает информацию в удобном для пользователя виде. Для каждого активного хоста из списка IP-адресов показывает имя NetBIOS машины, активного пользователя и MAC-адрес.
30.	GnuPG / PGP. PGP - известный алгоритм шифрования (автор - Phil Zimmerman), помогающий обезопасить ваши данные. GnuPG - хорошая разработка с открытым кодом на основе стандарта PGP (называется иначе gpg). GnuPG всегда бесплатна, PGP для некоторой категории пользователя стоит денег.
31.	Firewalk. Улучшенная программа типа traceroute. Анализирует ответы на посланные IP-пакеты для определения шлюзов, маршрутизаторов, и построения карты сети. В октябре 2002 года была полностью переписана. Большинство ее опций встроены в программу Hping2 (опция --traceroute).
32.	Cain & Abel. Бесплатная утилита вскрытия паролей для ОС Microsoft. Вскрывает различные типы паролей, перехваченных по сети, ломает шифрованные пароли с использованием словаря и "грубой силы", декодирует скремблированные пароли, открывает запароленные хосты, кэшированные пароли и анализирует протоколы маршрутизации. Исходный код не поставляется.
33.	XProbe2. Утилита для определения типа операционной системы на удаленной машине. Использует технику, аналогичную Nmap, и массу других идей. Придает особое значение протоколу ICMP при формировании окончательного результата.
34.	SolarWinds Toolsets. SolarWinds сделал и теперь продает набор программ, предназначенных для системных администраторов. Набор включает в себя массу сетевых сканеров различного направления и взломщик SNMP. Предназначен только для Windows, стоит денег и без исходного кода.
35.	NGrep. Попытка переложить возможности программы GNU grep, применительно к сети. Не использует PCap и позволяет вам указать расширенные регулярные или шестнадцатиричные выражения для описания пакетов принимаемых пакетов. На данный момент распознает протоколы TCP, UDP и ICMP через Ethernet, PPP, SLIP, FDDI, Token Ring и null-интерфейсы, понимает логику фильтра bpf и таких программ, как tcpdump и snoop.
36.	Perl / Python. Большинство утилит, описанных на этой странице, предназначены для выполнения конкретных задач. Если вы хотите написать свою или модифицировать существующую программу языки программирования Perl и Python позволят это сделать. С их помощью вы быстро напишете скрипты для работы, тестирования, и даже восстановления системы! В архивах, таких, как CPAN, вы найдете массу готовых модулей типа Net::RawIP и протоколов для облегчения вашей задачи.
37.	THC-Amap. Новый, но весьма мощный сканер, тестирующий каждый порт удаленной машины и определяющий службу или приложение, использующее этот порт.
38.	OpenSSL. Группа проектов OpenSSL - это объединение, занимающееся разработкой гибкого, пригодного для использования в коммерции, с большими возможностями и открытым исходным кодом набора утилит, обеспечивающего протоколы Secure Sockets Layer (SSL v2/v3) и Transport Layer Security (TLS v1), выступающего как библиотека шифрования общего назначения.
39.	NTop. Монитор загрузки сетевого трафика. В интерактивном режиме показывает статус сети на терминале пользователя. В веб-режиме работает как веб-сервер, создающий HTML-дамп статуса сети. Использует NetFlow/sFlow генератор/коллектор, основанный на HTTP клиентский интерфейс, и RRD для сохранения информации.
40.	Nemesis. Проект Nemesis разрабатывает основанный на командной строке, переносимый стек IP для систем UNIX/Linux. Обеспечивает простое взаимодействие с IP через скрипты и утилиты. Тем, кто заинтересуется этим проектом, рекомендуем глянуть на hping2.
41.	LSOF: LiSt Open Files. Юниксовая утилита, позволяющая получить информацию обо всех файлах, открытых процессами, запущенными в системе. Также получает список сокетов, открытых процессами.
42.	Hunt. Программа, наблюдающая за TCP-соединением, внедряющаяся в него или разрывающая его. Используется в сетях ethernet, имеет активные механизмы перехвата трафика. Дополнительные возможности - расширенная ретрансляция ARP и синхронизация соединения после внедрения. Если вам понравился Hunt, обратите внимание на Ettercap и Dsniff.
43.	Honeyd. Ваша персональная сеть honeynet. Маленький демон, создающий виртуальные хосты в сети. Хосты могут запускать разные службы, и иметь различные операционные системы (настройка стека TCP). Honeyd разрешает одному хосту иметь несколько IP-адресов и имитировать целую сеть. Виртуальные хосты можно пинговать или отслеживать маршрут до них. На виртуальной машине может быть сымитирована любая служба путем настройки его конфигурационного файла. Возможно использовать имитацию прокси-сервисов. Сайт разработчика закрыт, однако дистрибутив версии 0.5 доступен здесь.
44.	Achilles (Unofficial site). Утилита тестирования безопасности веб-приложений. Это прокси-сервер, работающий "посередине" сессии HTTP. Обычный HTTP-прокси доставляет пакеты от и для клиента и веб-сервера. Achilles перехватывает данные HTTP-сессии в обоих направлениях и предоставляет пользователю возможность просмотреть их перед передачей.
45.	Brutus. Кракер паролей у различных сетевых служб. Поддерживает HTTP, POP3, FTP, SMB, TELNET, IMAP, NTP, и т.д. Исходный код отсутствует. Пользователи UNIX могут воспользоваться аналогом - THC-Hydra.
46.	Stunnel. Эта программа работает как "расшифровщик" SSL между удаленным клиентом и локальным (способным запустить inetd) или удаленным сервером. Дополняет функциональность SSL для использования с демонами inetd, такими, как POP2, POP3, и IMAP серверами без внесения каких-либо изменений в исходный код. Взаимодействует с соединениями SSL, использующими библиотеки OpenSSL или SSLeay.
47.	Paketto Keiretsu. Набор утилит, использующий новую и необычную стратегию управления сетями TCP/IP. Включает: Scanrand - необычайно быстрая система вскрытия топологии и сетевых служб, Minewt - маршрутизатор NAT/MAT, linkcat - переводит соединение Ethernet на stdio, Paratrace - отслеживает сетевые маршруты без генерации новых соединений, и Phentropy - использует OpenQVIS для перевода небольшого количества энтропии от источников данных в трехмерное фазовое пространство.
48.	Fragroute. Перехватывает, модифицирует и отправляет модифицированный трафик, с его помощью можно осуществить большинство атак, описанных в статье Secure Networks "Обход систем IDS". Использует простой языковой набор правил для задержки, дублирования, уничтожения, фрагментации, пересечения, печати, переупорядочивания, сегментирования, со всеми пакетами, предназначенными целевому хосту, с минимальным риском. Хорошая утилита для проверки систем IDS, файрволлов, и окружения стека TCP/IP. Как Dsniff и Libdnet, эта замечательная программа написана Dug Song.
49.	SPIKE Proxy. HTTP-прокси для обнаружения дыр в безопасности веб-серверов. Часть программы Spike Application Testing Suite и поддерживает автоматическое обнаружение SQL-внедрения, ползанья по веб-сайтам, логин по "грубой силе", обнаружение переполнений, и обнаружение попытки проверки каталогов.
50.	THC-Hydra. Утилита, выполняющая атаку по словарю на различные системы аутентификации, включая FTP, POP3, IMAP, Netbios, Telnet, HTTP Auth, LDAP NNTP, VNC, ICQ, Socks5, PCNFS, и т.д. Есть поддержка SSL, частично встроена в Nessus. Как и Amap, программа выпущена ребятами из THC.

Следующие 25 утилит

В целях экономии времени и места, утилиты с 51 по 75 представлены в более компактном варианте:

		Последнее обновление:05.11.2013