2019年,你會選哪些安全測試工具?
雖然說都已經2019年了,安全從業者的日常依舊離不開各種工具的輔助。在 2018 年安全工具盤點的基礎上,我們今年再增加一些免費或開源工具,供讀者參考。其中有很多都經過專業人士的試用與推薦。
網絡安全監控
Argus其實是 Audit Record Generation and Utilization System(審計記錄生成與使用系統)的縮寫,能對網絡流量與數據進行高效、深入的分析。Argus可以篩選大量流量并快速全面的生成報告。不論是單一使用還是與其他工具共同使用,這個工具都可以提供堅實的協助。
P0f的更新頻率很低,十幾年來變化不大,但仍然比較歡迎。這款工具使用時簡單、高效,不會產生額外的流量。主要用于標識與其交互的任何主機的操作系統。很多網絡安全監控工具都可以創建探測、名稱查找以及各種查詢功能。P0f則以其輕量級、高速以及簡潔運行的的特征而著稱,對于高級用戶來說必不可少。但對于一些新手而言,可能學習起來沒那么簡單。
Nagios可以監控主機、系統和網絡,實時發送警報。用戶可以準確指定他們想要通知的內容。 這個程序可以監控HTTP、NNTP、ICMP、POP3和SMTP等網絡服務。很多人將Nagios用于流量監控,其實它也可以用作全面、基礎的網絡管理方案,適用于網絡安全專業人士和小型企業。
Splunk是一款高速、通用的網絡監控工具,專為實時分析和歷史數據搜索而設計。具有統一界面,對用戶比較友好。其強大的搜索功能為應用程序監控提供了協助。Splunk可以處理非結構化數據,并輕松擴展。可以配合SIEM,達到更好的效果。
Splunk其實是付費應用,提供免費版本,但免費版本的功能有限。如果預算足夠的話,付費購買也是性價比比較高的選擇。
網絡偵察與取證
TheHarvester基于Kali,有助于收集域名、電子郵件地址、員工姓名、以及來自SHODAN的信息等。
Maltego是Paterva開發的用于開源智能和取證的專有軟件,可以提供一個變換庫,用于從開源中發現數據,并以圖形格式顯示該信息,適用于鏈接分析和數據挖掘。Maltego有助于發現關于偵察目標的大量數據,包括IP地址、域名、DNS條目以及員工電子郵件地址等。
加密類
2018 的盤點中,主推的是Gnupg PGP和Keepass以及OpenVPN這三款加密工具。今年新增Tor和Openswan。
現在提到Tor大家似乎都會想起暗網。但事實上,Tor 本身只是個加密性能比較好的工具,可以保護互聯網隱私。一般來說,系統將請求發送到代理web服務器以保護隱私、讓用戶難以被追蹤。盡管會有一些惡意出口節點嗅探流量,但在使用過程中仔細留意,就不會有大的影響。在實際應用中,Tor對于網絡安全的作用比在暗網中發揮的作用更大。
Openswan可以說是Linux下IPsec的最佳實現方式,可以設置支持IKWv2、X.509證書、NAT遍歷等的安全VPN。Openswan支持net-to-net和RoadWarrior兩種模式,前者可實現遠程子網 通訊后類似局域網的訪問,后者可以實現客戶端用IPSec 連接到內網后的安全通訊。
密碼管理與恢復
僅適用于Windows的密碼恢復工具。可以記錄VoIP對話,解碼加密密碼并分析路由協議。 可以獲取到緩存密碼、顯示密碼框、暴力破解密碼并進行密碼分析等。可作為數據包嗅探的入門程序。
Secret Server是一種高級密碼管理器工具,適合IT團隊使用。其設置秘密服務器,有助于IT團隊管理者了解團隊成員訪問密碼的情況并在必要時更改密碼。當然,Secret Server與其他密碼管理器一樣也可以生成強密碼且不需要用戶強行記憶。
此外,1 password、LastPass等也都是大家常用且好用的密碼管理工具。
漏洞掃描與入侵檢測
Burp Suite、Nikto等工具可查看2018年盤點文章。新增工具請看下文。
Snort是一個企業級的開源IDS,可以與任何操作系統和硬件兼容。系統執行協議分析、內容搜索/匹配以及各種網絡攻擊的檢測(如緩沖區溢出、隱形端口掃描程序、CGI攻擊、OS指紋識別等)。其優點是易于配置,規則靈活,可以分析原始數據包。
OWASP Zed Attack Proxy Project (ZAP)
開發人員需要測試Web應用程序的安全性時,常常使用ZAP。ZAP是完全開源的跨平臺工具,可以實現Web應用程序的主動和被動掃描、發現抓取程序內容的爬蟲,并生成相關報告。此外,ZAP還能添加組件。
ModSecurity堪稱We應用程序防火墻的“瑞士軍刀”,相當于Web應用程序開發者的必備工具。ModSecurity的主要功能包括實時監控和訪問控制、HTTP流量日志記錄、持續被動安全防御和Web應用程序加固等。
漏洞管理
Nessus 堪稱漏洞評估領域的行業標準,能幫助安全人員快速識別和修復問題(包括軟件漏洞、缺失補丁、惡意軟件和錯誤配置等問題)。借助預先構建的策略和模板、群組暫停功能和實時更新等功能,可以輕松、直觀地進行漏洞評估。這款工具很活躍,最近剛發布了最新版本。
Balbix能夠分析網絡中每種易受攻擊的資產情況,包括相關數據、交互的用戶、是否面向公眾等,并確定資產對組織的重要性。Balbix 還可以將每個漏洞與活動的威脅源進行比較,并預測、評估未來發生漏洞的可能性以及漏洞可能對企業造成的損失。
無線安全
主要適用于Windows用戶,可以在無線網絡中找到開放的接入點。NetStumbler既可以尋找WAP,又檢測其他安全掃描工遺漏的漏洞。但需要注意的是這個工具僅僅適用于Windows,且不提供源代碼。
Kismet是基于控制臺(ncurses)的802.11第2層無線網絡檢測器、嗅探器和入侵檢測系統。 Kismet主要通過被動嗅探識別網絡,還可以發現正在使用中的隱藏(非信標)網絡。它可以通過嗅探TCP、UDP、ARP和DHCP數據包自動檢測網絡IP塊,以Wireshark / tcpdump兼容格式記錄流量,甚至可以在下載的地圖上繪制檢測到的網絡和預估范圍。
KisMAC適用Mac,簡單易用,經驗不足的用戶也容易上手。KisMAC相當于Kismet的Mac OS X版本,但二者代碼庫不同。利用KisMAC工具,可以通過結束鑒權(deauthentication)攻擊,實現映射和滲透測試。
嗅探與抓包
支持Mac、Windows和Linux,比Wireshark出現得更早。設置了數據包嗅探領域的標準,相當于這個領域的早期風向標。Tcpdump持續開發改進,力求簡潔,所使用的系統資源較少,并且幾乎沒有安全風險。
Wireshark是繼Tcpdump之后的免費開源的網絡數據包分析軟件,截取網絡數據包,并盡可能顯示出最為詳細的網絡數據包數據。同時,可提供實時網絡分析,讓用戶看到重建的TCP會話流。Wireshark的使用頻率較高,很多安全從業者對此都不陌生。
郵件安全
垃圾郵件、釣魚郵件泛濫,讓很多人不堪其擾。很多安全研究員也專門針對這一現象研發了一些工具。
- MailWasher(掃描郵件、確定安全之后再下載)、
- SPAMfighter(可識別并過濾垃圾郵件,對家庭用戶100%免費)
- Spamihilator(通過過濾器、學習算法和概率計算來確定垃圾郵件,并設置用戶培訓區域,以便用戶能培訓系統更好地學習應當屏蔽的電子郵件)
以上為網絡安全領域常用的一些工具摘錄與盤點作為上一篇工具盤點文章的后續與補充,在專業網絡安全工具網站Sectools中,有更多工具和點評可以參考,感興趣的讀者可以去官網查看。
