Ferramentas De Pesquisa

As 75 Melhores Ferramentas de Segurança para Sistemas em Rede

Em Maio de 2003 lancei uma consulta aos utilizadores do Nmap, através da lista e-mail nmap-hackers para conhecer as suas ferramentas de segurança preferidas. Cada participante poderia indicar no máximo 8 ferramentas. Esta consulta veio no seguimento de outra, a Lista das Melhores 50, realizada em Junho de 2000. Um número incrível de 1854 pessoas responderam em 2003 e as suas recomendações foram tão relevantes que expandi a lista para 75 ferramentas! Todos os que trabalham no domínio da segurança informática deveriam consultar a lista e estudar mais aprofundadamente as ferramentas desconhecidas. Eu descobri diversas ferramentas novas muito poderosas desta forma. Penso mesmo indicar esta página a principiantes quando eles me escreverem dizendo "Não sei por onde hei-de começar".

Os participantes foram livres de indicar ferramentas comerciais ou com código público para qualquer plataforma computacional. As ferramentas comerciais são assinaladas como tal na lista abaixo. A maior parte das descrições foram obtidas das páginas raiz das ferramentas ou de descrições de pacotes distribuídos pelo Debian ou pelo Freshmeat. Dessas descrições removi afirmações propagandísticas como "revolucionário" ou "próxima geração". Não foram contados votos relativos ao inventariador de segurança Nmap porque a consulta foi feita numa lista de e-mail afecta ao Nmap. É natural que os participantes, por pertencerem a esta lista, tenham demonstrado uma maior inclinação para "ferramentas de ataque" do que para ferramentas defensivas.

Estes são os ícones usados:

Não aparecia na lista de 2000

Normalmente é paga. Estas raramente incluem código fonte. Uma versão limitada/de demonstração/de avaliação pode ser disponibilizada.

Para Linux

Para FreeBSD/NetBSD/OpenBSD e/ou sistemas UNIX proprietários (Solaris, HP-UX, IRIX, etc.)

Para Microsoft Windows

Esta é a lista (começando pelos mais populares):

Nessus: A melhor ferramenta de inventariação de vulnerabilidades com código fonte disponível

O Nessus é uma ferramenta de inventariação remota de vulnerabilidades para sistemas Linux, BSD, Solaris e outros Unixes. O seu funcionamento é baseado em plugins, possui uma interface GTK e efectua mais de 1200 verificações remotas de segurança. Produz relatórios em HTML, XML, LaTeX e texto simples que indicam as vulnerabilidades detectadas e os passos que devem ser seguidos para as eliminar.

Ethereal: Cheirando a cola que aguenta a Internet

O Ethereal é uma ferramenta pública de análise de protocolos para sistemas Unix e Windows. Permite a observação de dados capturados da rede em tempo real ou previamente capturados e guardados num ficheiro ou disco. Pode-se navegar interactivamente nos dados capturados, observando resumos ou informação pormenorizada de cada datagrama. O Ethereal possui diversas facilidades poderosas, nomeadamente uma linguagem rica para filtragem dos dados apresentados e a possibilidade de observar o fluxo de dados de uma sessão TCP reconstruída. Possui uma versão textual, não-gráfica, chamada tethereal.

Snort: Um sistema de detecção de intrusões (IDS) público para as massas

O Snort é uma ferramenta eficiente de detecção de intrusões, capaz de efectuar análises em tempo real de tráfego capturado e registo de datagramas em redes IP. Permite analisar protocolos, procura de conteúdos e pode ser usado para detectar diversos ataques e sondas, nomeadamente transbordamentos de memória (buffer overflows), levantamentos furtivos (stealth) de portos de transporte, ataques usando CGI, sondas para SMB, tentativas de identificação de sistemas operativos, etc. O Snort usa uma linguagem flexível baseada em regras para descrever o tráfego que deverá ser considerado ou não para posterior análise e um motor de detecção modular. Várias pessoas sugeriram que a Consola de Análise de Bases de Dados de Intrusões (Analysis Console for Intrusion Databases, ACID) fosse usada com o Snort.

Netcat: O canivete Suíço da rede

Um utilitário simples para Unix que lê e escreve dados de e para uma rede usando os protocolos TCP e UDP. Foi concebido para ser uma ferramenta terminal fiável para ser usada directamente ou indirectamente por outros programas ou scripts. É ainda uma ferramenta poderosa para analisar problemas ou explorar uma rede, uma vez que permite criar praticamente qualquer tipo de ligação que seja necessária e possui diversas capacidades intrínsecas interessantes.

TCPDump / WinDump: A ferramenta clássica de captura de dados em redes para monitorização e aquisição de tráfego

O Tcpdump é uma ferramenta não gráfica bem conhecida e muito apreciada para análise de tráfego em redes. Pode ser usada para apresentar os cabeçalhos dos datagramas que passam por uma interface de rede e que validam uma regra imposta. Esta ferramenta pode ser usada para detectar problemas de rede ou para monitorizar a actividade na rede. Existe uma versão própria para Windows chamado WinDump. TCPDump é ainda o código fonte da biblioteca Libpcap/biblioteca WinPcap de captura de datagramas, que é usada pelo Nmap entre outros utilitários. Note-se que muito utentes preferem o Ethereal, uma ferramenta de captura mais actual.

Hping2: Um utilitário para sondar a rede, um ping dopado

O hping2 cria e envia datagramas ICMP/UDP/TCP específicos e apresenta respostas aos mesmos. Foi inspirado no comando ping mas permite um maior controlo sobre as sondas enviadas. Também possui um modo traceroute muito conveniente e suporta fragmentação de IP. Esta ferramenta é particularmente útil para detectar (descobrir caminhos, se estão a funcionar, etc.) máquinas por detrás de uma firewall que bloqueie sondas enviadas por utilitários padrão.

DSniff:

...