Välj en sida

Att välja ut bara tio öppna säkerhetsverktyg för Linux är inte helt enkelt då nätverksproffs och säkerhetsexperter har dussintals om inte hundratals verktyg till sitt förfogande. Det finns olika uppsättningar verktyg för i stort sett varje uppgift och miljö – nätverkstunnlar, avlyssning, avläsning och kartläggning, för trådlösa nätverk, webbapplikationer och databasservrar.

För att få fram en bra lista med tio obligatoriska Linuxverktyg har vi frågat ett antal experter på olika företag vilka verktyg de inte skulle vilja vara utan. De flesta verktyg i listan är licensierade under en öppen källkodslicens är gratis att använda. De två som ändå kostar pengar är Burp Suite Pro och Metasploit Pro, men bägge anses oumbärliga och bör användas för sårbarhetsanalys och penetrationstester på alla större företag.

1. Aircrack-ng för nätverkssäkerhet i trådlösa nätverk

Aircrack-ng är ett paket med säkerhetsverktyg för trådlösa nätverk och -protokoll. Säkerhetsexperter använder verktyget för att administrera, hacka och penetrationstesta trådlösa nätverk. Verktyget fokuserar framförallt på:

Övervakning: Fånga paket och exportera data som textfiler för vidare analys med tredjepartsverktyg. Attackera: Spela upp attacker, göra avautentisering och fejka accesspunkter genom paketinjicering. Tester: Kontrollera förmågor för nätverkskort och drivrutiner. Cracking: Knäcka lösenord i WEP- och WPA PSK-protokollen (WPA 1 och 2). Enligtwebbsajtenför Aircrack-ng körs alla verktyg i terminalen vilket ger bra möjligheter att skapa egna script. Verktygen fungerar först och främst med Linux, men fungerar även på Windows, MacOS, olika BSD-varianter, Solaris och till och med på eComStation 2.

Kostnad: Fri öppen källkod (FOSS).

2. Burp Suite Pro för säkerhet kring webbapplikationer

Burp Suite Pro är en svit av verktyg för att testa säkerheten för webbapplikationer och för att utvärdera säkerheten för webbsajter.Burp Suitefungerar som en lokal proxy-lösning som låter användaren dekryptera, observera, manipulera och repetera anrop och svar mellan en webbserver och en webbläsare över http/websockets.

Verktygen inkluderar en passiv scanner som gör att man kan kartlägga en sajt och söka efter potentiella sårbarheter genom att manuellt gå igenom sajten. Pro-versionen erbjuder en mycket användbar, aktiv sårbarhetsskanner som ger ytterligare möjligheter till upptäckt av sårbarheter.

Burp Suite går att utveckla med egna förbättringar med hjälp av insticksmoduler. I Pro-versionen finns redan de bästa insticksmodulerna inkluderade, vilket gör Pro-versionen till ett mycket användbart multiverktyg för att säkerhetstesta webbsajter.

Kostnad: Pro-versionen kostar 399 dollar. Det finns också en enterprise-version som möjliggör multipla, samtida skanningar och som är lämplig för utvecklingsavdelningar.

3. Impacket penetrationstestar nätverksprotokoll

Denna samling av verktyg är väsentlig för att penetrationstesta nätverksprotokoll och dito tjänster.Impacketär utvecklat av SecureAuth och är en samling pythonklasser för att arbeta med nätverksprotokoll.

Impackets fokus ligger på att förse användaren med lågnivå-tillgång till nätverkspaket, och som i fallen SMB1-3 och MSRPC, även tillgång till själva protokollimplementationerna. Användaren kan konstruera paket från grunden eller utifrån rådata. Det objektorienterade API:t gör att det är ganska lätt att arbeta med djupa hierarkier i protokollen. Impacket har stöd för: 

ethernet, Linux; IP, TCP, UDP, ICMP, IGMP, ARP; IPv4 och IPv6; NMB och SMB1, SMB2 och SMB3; MSRPC version 5 över olika transportprotokoll: TCP, SMB/TCP, SMB/NetBIOS och HTTP; Enkel, NTLM och Kerberos-autentisering med lösenord/hashar/biljetter/nycklar; Delar av TDS (MSSQL) och LDAP.

Kostnad: Gratis så länge man ger cred till SecureAuth. Impacket är licensierad med en lätt modifierad variant av Apache Software License (ASL). Man kan kolla licensen här, och jämföra den med den officiella ASL-licensen.

4. Metasploit – Superverktyget för att upptäcka utnyttjanden

Metasploit är ett ramverk utvecklat av Rapid7 som används som ett generellt verktyg för penetrationstester och för utvärdering av sårbarheter. Metasploit är enligt de flesta säkerhetsexperter ett superverktyg som innehåller arbetsversioner av i stort sett varje känt utnyttjande av sårbarheter som överhuvudtaget finns.

Med Metasploit kan säkerhetsexperter läsa av nätverk och enheter efter sårbarheter (eller importera resultat från NMAP) och sedan utnyttja sårbarheterna och automatiskt ta över systemen.

Att kunna fånga in inloggningsuppgifter är en viktig och tidig fas i det arbete som säkerhetstestare utför, detta enligt en nyligen publicerad bloggpost från Rapid7. Tillsammans med en uppsättning protokollspecifika moduler har denna funktion funnits i Metasploit i åratal. Användaren kan också individuellt starta och konfigurera dessa moduler, och nu finns det även en insticksmodul för infångning av data som gör denna process smidigare.

Kostnad: Metasploit Pro, tillsammans med företagssupport från Rapid7, börjar på 12 000 dollar per år, men det finns även en gratisversion.

5. NCAT sonderar konnektivitet i nätverket.

NCAT, från leverantören av NMAP, är efterträdaren till det populära Netcat och är ett verktyg som läser och skriver data över ett nätverk från en terminal, men med tillägg av funktioner som SSL-kryptering. Enligt säkerhetsexperterna har NCAT blivit viktigt för att TCP/UDP-servrar och -klienter ska kunna skicka eller ta emot godtyckliga data från både attackerande och attackerade system.

NCAT är också ett populärt verktyg för att sätta upp ett motsatt skal eller för att exfiltrera data. NCAT byggdes som en del av NMAP-projektet och är kulmen på den för närvarande splittrade familjen av olika inkarnationer av NETCAT.

Verktyget är designat som ett pålitligt back-end-verktyg för att förse andra applikationer och användare med nätverkskonnektivitet. NCAT fungerar över IPv4 och IPv6 och ger möjlighet att koppla ihop flera NCAT-instanser, att dirigera om TCP-, UDP- och SCTP-portar till andra ställen, såväl som stöd för SSL.

Kostnad: Fri öppen källkod (FOSS).

6. NMAP skannar och kartlägger nätverk

NMAP är ett verktyg som körs i terminalen och som hittar tillgängliga portar på andra enheter i nätverket. Många säkerhetsproffs anser att NMAP är det viktigaste och mest effektiva verktyget i vår lista över verktyg. Det är så kraftfullt att det blivit obligatoriskt för penetrationstestare.

Den mest framträdande funktionen i NMAP är dess förmåga att skanna av nätverket efter aktiva servrar och deras öppna portar till operativsystem och tjänster, och vilka versioner de kör.

Via NMAPs skriptmotor kan användaren automatiskt upptäcka sårbarheter och utnyttja dessa mot alla de tjänster verktyget hittar. NMAP har stöd för dussintals avancerade tekniker för kartläggning av nätverk fulla med ip-filter, brandväggar, routrar och andra hinder.

Detta inkluderar många mekanismer för portscanning över TCP och UDP, detektion av operativsystem och serverversioner, och så kallade ping sweeps – allt i nätverk med hundratals eller tusentals enheter.

Kostnad: Fri öppen källkod (FOSS).

7. ProxyChains för tunnling av nätverk

De facto-standarden för nätverkstunnling Proxy Chains låter användaren köra proxy-kommandon från den attackerande linuxmaskinen, genom andra, komprometterade maskiner, för att överbrygga nätverk och brandväggar utan att upptäckas.

Säkerhetsexperter använder ProxyChains när de vill använda Linux för att gömma sin identitet på ett nätverk. Verktyget dirigerar TCP-trafiken från penetrationstester över proxyprotokollen TOR, SOCKS och HTTP. ProxyChains är kompatibelt med spaningsverktyg för TCP, som NMAP ovan, och TOR-nätverket används i grundläget. Säkerhetsexperter använder ProxyChains även för att undvika upptäckt i brandväggar och andra skyddssystem som IDP/IPS.

Kostnad: Fri öppen källkod (FOSS).

8. Responder simulerar attacker mot DNS-system

Responer är en positionerare för protokollen NBT-NS (NetBIOS Name Service), LLMNR (Link-Local Multicast Name Resolution) och mDNS (multicast DNS). Det används av penetrationstestare för att simulera attacker som syftar till att stjäla inloggningsuppgifter och andra typer av data under processen för namnupplösning när ingen dns-post hittas av dns-servern.

Den senaste versionen av Responder (v. 3.1.1.0) har stöd för IPv6 i grundläget vilket gör att användaren kan attackera både IPv4- och IPv6-nätverk. Detta är viktigt eftersom tidigare versioner missade de attackvägar som använder IPv6 i rena IPv6-nätverk, mixade nätverk, och speciellt som operativsystem som Windows föredrar IPv6 i första hand.

Kostnad: Fri öppen källkod (FOSS).

9. Sqlmap kollar SQL-injektioner i databasservrar

Verktyget för penetrationstester sqlmap automatiserar processen att upptäcka och utnyttja SQL-injektioner som skulle kunna användas för att ta över databasservrar. Verktyget levereras med en kraftfull detektionsmotor och många funktioner för penetrationstester som ”database fingerprinting”, utvärdering av det underliggande filsystemet, och möjligheten att exekvera kommandon i operativsystemet över utomliggande uppkopplingar.

Säkerhetsexperter säger att verktyget hjälper dem att automatisera upptäckt av SQL-attacker mot alla stora SQL-back-ends. Verktyget har ett brett stöd för databasservrar som MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB och HSQLDB. Sqlmap har också stöd för flera olika typer av SQL-injection-attacker.

Kostnad: Fri öppen källkod (FOSS).

10. Wireshark – ett populärt analysverktyg för nätverksprotokoll

Wireshark, som hängt med sedan 1998, är ett analysverktyg för nätverksprotokoll, även känt som en ”sniffer” för nätverkskort. Den senaste versionen är 3.6.3.

Med Wireshark kan användaren observera beteendet för en nätverksenhet för att se vilka andra enheter den kommunicerar med och varför. I vissa äldre nätverkstopologier skickas anrop genom den enhet som Wireshark är installerad på, vilket medför att man kan kartlägga hela nätverkets trafik, inte endast för den lokala enheten.

Säkerhetsexperter säger att Wireshark är ett ypperligt verktyg för att klura ur var dns-servrar och andra tjänster finns på nätverket. Wireshark kan köras på de flesta plattformar som Windows, MacOS, Linux och Unix.

Kostnad: Fri öppen källkod (FOSS).

 

Läs mer