REDES Y SEGURIDAD

Las 75 Herramientas de Seguridad Más Usadas

Texto original de Fyodor, Traducci�n por ThiOsk para Hackemate

Notas del Traductor:

Muchos de los términos a traducir, tienen poco sentido al ser traducidos al castellano, y no es universalmente aceptada *UNA* traducción en particular, por lo que hice un intento de traducirlos pero mantuve, muchas veces, el término original en inglés siguiendo al traducido, entre llaves -- y encomillado, en caso de ser un término de varias palabras --. Hago esto porque es posible que alguien quiera conocer más sobre algún término y se frustre al tratar de poner en algún buscador el término en castellano, o incluso la traducción a inglés de _esta_particular_ traducción del término. ;-)

Debido a la ambigüedad en la traducción de algunos términos como "free" o "commercial", éstos fueron acomodados en su traducción al sentido que se le quiso dar en el contexto en el que se encuentran ubicados y teniendo en cuenta algunas de las explicaciones de Richard Stallman en "Algunas palabras y frases confusas que vale la pena evitar"

En mayo del 2003, llevé a cabo una encuesta entre usuarios de Nmap de la lista de correo nmap-hackers para determinar cuáles eran sus herramientas de seguridad favoritas. Cada uno podía listar hasta 8. Ésta es una extensión a la exitosa encuesta de Junio del 2000 Top 50 list. De manera asombrosa, 1854 personas respondieron en el 2003 y sus recomendaciones eran tan impresionantes que expandí la lista a un total de 75 herramientas. Creo que es un buen consejo para cualquiera en el ámbito de la seguridad, recomendarle que lea la lista e investigue cualquier herramienta con la cual no esté familiarizado. También tengo planeado referir a los novatos a esta página cuando me escriban diciéndome "No sé por dónde empezar".

Los participantes podían listar herramientas tanto no-libres como `open source'. Las herramientas no-libres son diferenciadas en esta lista. Muchas de las descripciones fueron tomadas de las páginas oficiales de la herramienta o de las descripciones de los paquetes Debian o de los de Freshmeat. Además, le quité las palabras marketineras como "revolucionaria" y "próxima generación". No conté los votos por Nmap, porque la encuesta tuvo lugar en una lista de correo de Nmap. También se puede notar que esta lista está levemente orientada a herramientas de "ataque" , en lugar de a herramientas de "defensa".

Se usarán estos íconos:

No aparecía en la lista del 2000

Generalmente, cuesta dinero. Rara vez se incluye el código fuente. Quizás haya una versión "de demostración"/limitada/gratis disponible.

Funciona sobre Linux.

Funciona sobre FreeBSD/NetBSD/OpenBSD y/o sistemas UNIX no-libres (Solaris, HP-UX, IRIX, etc.).

Soporta Microsoft Windows.

Ésta es la lista (comenzando con el más popular):

Nessus: Es la herramienta de evaluación de seguridad "Open Source" de mayor renombre.

Nessus es un escáner de seguridad remoto para Linux, BSD, Solaris y Otros Unix. Está basado en plug-in(s), tiene una interfaz basada en GTK, y realiza más de 1200 pruebas de seguridad remotas. Permite generar reportes en HTML, XML, LaTeX, y texto ASCII; también sugiere soluciones para los problemas de seguridad.

Ethereal: Oliendo el pegamento que mantiene a Internet unida.

Ethereal es un analizador de protocolos de red para Unix y Windows, y es libre {free}. Nos permite examinar datos de una red viva o de un archivo de captura en algún disco. Se puede examinar interactivamente la información capturada, viendo información de detalles y sumarios por cada paquete. Ethereal tiene varias características poderosas, incluyendo un completo lenguaje para filtrar lo que querramos ver y la habilidad de mostrar el flujo reconstruído de una sesión de TCP. Incluye una versión basada en texto llamada tethereal.

Snort: Un sistema de detección de intrusiones (IDS) libre para las masas.

Snort es una sistema de detección de intrusiones de red de poco peso (para el sistema), capaz de realizar análisis de tráfico en tiempo real y registro de paquetes en redes con IP. Puede realizar análisis de protocolos, búsqueda/identificación de contenido y puede ser utilizado para detectar una gran varidad de ataques y pruebas, como por ej. buffer overflows, escaneos indetectables de puertos {"stealth port scans"}, ataques a CGI, pruebas de SMB {"SMB Probes"}, intentos de reconocimientos de sistema operativos {"OS fingerprinting"} y mucho más. Snort utilizar un lenguaje flexible basado en reglas para describir el tráfico que debería recolectar o dejar pasar, y un motor de detección modular. Mucha gente también sugirió que la Consola de Análisis para Bases de Datos de Intrusiones (Analysis Console for Intrusion Databases, ACID) sea utilizada con Snort.

Netcat: La navaja multiuso para redes.

Una utilidad simple para Unix que lee y escribe datos a través de conexiones de red usando los protocolos TCP o UDP. Está diseñada para ser una utilidad del tipo "back-end" confiable que pueda ser usada directamente o fácilmente manejada por otros programas y scripts. Al mismo tiempo, es una herramienta rica en características, útil para depurar {debug} y explorar, ya que puede crear casi cualquier tipo de conexión que podamos necesitar y tiene muchas habilidades incluídas.

TCPDump / WinDump: El sniffer clásico para monitoreo de redes y adquisición de información.

Tcpdump es un conocido y querido analizador de paquetes de red basado en texto. Puede ser utilizado para mostrar los encabezados de los paquetes en una interfaz de red {"network interface"} que concuerden con cierta expresión de búsqueda. Podemos utilizar esta herramienta para rastrear problemas en la red o para monitorear actividades de la misma. Hay una versión {port} para Windows llamada WinDump. TCPDump es también la fuente de las bibliotecas de captura de paquetes Libpcap y WinPcap que son utilizadas por Nmap y muchas otras utilidades. Hay que tener en cuenta que muchos usuarios prefieren el sniffer más nuevo Ethereal.

Hping2: Una utilidad de observación {probe} para redes similar a ping pero con esteroides.

hping2 ensambla y envía paquetes de ICMP/UDP/TCP hechos a medida y muestra las respuestas. Fue inspirado por el comando ping, pero ofrece mucho más control sobre lo enviado. También tiene un modo traceroute bastante útil y soporta fragmentación de IP. Esta herramienta es particularmente útil al tratar de utilizar funciones como las de traceroute/ping o analizar de otra manera, hosts detrás de un firewall que bloquea los intentos que utilizan las herramientas estándar.

DSniff: Un juego de poderosas herramientas de auditoría y pruebas de penetración de redes.

Este popular y bien diseñado set hecho por Dug Song incluye varias herramientas. dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, y webspy monitorean pasivamente una red en busca de datos interesantes (passwords, e-mail, archivos, etc.). arpspoof, dnsspoof, y macof facilitan la intercepción de tráfico en la red normalmente no disponible para un atacante -- por ej. debido al uso de switches {"layer-2 switches"}. sshmitm y webmitm implementan ataques del tipo monkey-in-the-middle activos hacia sesiones redirigidas de SSH y HTTPS abusando de relaciones {"bindings"} débiles en sistemas con una infraestructura de llaves públicas {PKI} improvisados. Una versión para Windows mantenida por separado está disponible acá.

GFI LANguard: Un escáner de red no-libre para Windows.

LANguard escanea redes y reporta información como el nivel de "service pack" de cada máquina, faltas de parches {patches} de seguridad, recursos compartidos, puertos abiertos, servicios/aplicaciones activas en la computadora, datos del registro {"key registy entries"}, passwords débiles, usuarios y grupos; y más. Los resultados del escaneo se muestran en un reporte en formato HTML, que puede ser modificado a gusto propio o consultado. Aparentemente, una versión gratuita está disponible para prueba y usos no comerciales.

Ettercap: Por si acaso todavía pensemos que usar switches en las LANs nos da mucha seguridad extra.

Ettercap es un interceptor/sniffer/registrador para LANs con ethernet basado en terminales {terminal-based}. Soporta disecciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS). También es posible la inyección de datos en una conexión establecida y filtrado al vuelo {"on the fly"} y aun manteniendo la conexión sincronizada. Muchos modos de sniffing fueron implementados para darnos un set poderoso y completo de sniffing. También soporta plugins. Tiene la habilidad para comprobar si estamos en una LAN con switches o no, y de identificar huellas de sistemas operativos {OS fingerprints} para dejarnos conocer la geometría de la LAN.

Whisker/Libwhisker: El escáner y la biblioteca de vulnerabilidades de CGI de Rain.Forest.Puppy.

Whisker es un escáner que nos permite poner a prueba servidores de HTTP con respecto a varias agujeros de seguridad conocidos, particularmente, la presencia de peligrosos scripts/programas que utilicen CGI. Libwhisker es una biblioteca para perl (utilizada por Whisker) que nos permite crear escáneres de HTTP a medida.

...