أهم أدوات اختبار اختراق الشبكات في مجال أمن المعلومات

أهم أدوات اختبار اختراق الشبكات في مجال أمن المعلومات

أمن الشبكات Network-security

هو أي نشاط مصمم لحماية إمكانية استخدام وسلامة شبكتك وبياناتك. يتضمن تقنيات مختلفة من الأجهزة والبرامج لانه يستهدف مجموعة متنوعة من التهديدات بحيث تمنعهم من الدخول أو انتشار الفيروسات على شبكتك 

كيف يعمل أمن الشبكة

يجمع أمان الشبكة بين طبقات متعددة من الدفاعات على الحافة وفي الشبكة. تنفذ كل طبقة أمان شبكة سياسات وضوابط. يحصل المستخدمون المرخصون على حق الوصول إلى موارد الشبكة ، ولكن يتم حظر الجهات الخبيثة من تنفيذ عمليات الاستغلال والتهديدات. 

كيف أستفيد من أمان الشبكة

لقد غيرت الرقمنة عالمنا. كيف نعيش ونعمل ونلعب ونتعلم قد تغيرت كلها. يجب على كل منظمة ترغب في تقديم الخدمات التي يطلبها العملاء والموظفون حماية شبكتها أولا. يساعدك أمان الشبكة أيضًا على حماية معلومات الملكية من الهجوم. في النهاية يحمي سمعتك.

سنتعرف في هذا المقال عن أهم أدوات اختبار اختراق الشبكات في مجال أمن المعلومات التي تستخدم في حماية الشبكات من الاختراق وتحليل البيانات وانشاء تقارير حول نقاط الضعف والثغرات المحتمل وجودها على شبكتك الداخلية.

أفضل أدوات اختبار اختراق الشبكات في مجال أمن المعلومات
  1. أدوات الفحص و الاختراق Scanning / Pentesting
  2. أدوات المراقبة والسجل Monitoring / Logging
  3. أنظمة كشف الاختراق IDS / IPS / Host IDS / Host IPS
  4. وعاء العسل او مصيدة الهكر / Honey Pot
  5. التقاط الحزم الكاملة / Forensic
  6. أدوات أمان الشبكة القائمة على Sniffer
  7. أدوات أمان الشبكة SIEM
  8. الشبكة الخاصة الافتراضية VPN
  9. معالجة سريعة للحزم
  10. أدوات أمان الشبكات القائمة على جدران الحماية
  11. Anti-Spam

أدوات الفحص و الاختراق Scanning / Pentesting

  1. OpenVAS هو إطار عمل للعديد من الخدمات والأدوات التي تقدم حلاً شاملاً وقويًا لمسح الثغرات الأمنية وإدارة الثغرات
  2. Metasploit Framework - أحد أفضل أدوات أمان الشبكة لتطوير وتنفيذ كود استغلال exploit ضد جهاز هدف بعيد. تشمل المشاريع الفرعية المهمة الأخرى قاعدة بيانات Opcode وأرشيف shellcode والبحوث ذات الصلة.
  3. Kali Linux  هو توزيعة Linux مشتقة من Debian مصممة للتحقيق الجنائي الرقمي واختبار الاختراق. تم تزويد الكالي لينكس مسبقًا بالعديد من برامج اختبار الاختراق ، بما في ذلك nmap (ماسح للمنافذ) و Wireshark (محلل حزم) و John the Ripper (أداة كسر كلمة المرور) و Aircrack-ng (مجموعة برامج لاختبار الاختراق والشبكات المحلية اللاسلكية) .
  4. pig - أداة صياغة حزم Linux.
  5. scapy برنامج ومكتبة لمعالجة الحزم التفاعلية القائمة على Python.
  6. Pompem هي أدوات أمان شبكة مفتوحة المصدر ، وهي مصممة للبحث التلقائي عن عمليات الاستغلال في قواعد البيانات الرئيسية. تم تطويره في لغة بايثون، ويحتوي على نظام بحث متقدم ، مما يسهل عمل المخترقين والهكر الأخلاقيين. في نسخته الحالية ، يجري عمليات بحث في قواعد البيانات: Exploit-db ، 1337day ، Packetstorm Security ...
  7. Nmap هو أداة مساعدة مجانية ومفتوحة المصدر لاكتشاف الشبكة والتدقيق الأمني.

أدوات المراقبة والسجل Monitoring / Logging

  1. justniffer هو محلل بروتوكول شبكة يلتقط حركة مرور الشبكة وينتج سجلات بطريقة مخصصة ، ويمكنه محاكاة ملفات سجل خادم الويب Apache ، وتتبع أوقات الاستجابة واستخراج جميع الملفات "المعترضة" من حركة مرور HTTP.
  2. httpry عبارة عن أداة شم sniffer متخصصة للحزم مصممة لعرض وتسجيل حركة مرور HTTP. لا يُقصد به إجراء التحليل نفسه ، ولكن يهدف إلى التقاط حركة المرور وتحليلها وتسجيلها لتحليلها لاحقًا. يمكن تشغيله في الوقت الحقيقي لعرض حركة المرور كما يتم تحليلها ، أو كعملية خفية تقوم بتسجيل ملف الإخراج. تمت كتابته لتكون خفيفة الحجم ومرنة قدر الإمكان ، بحيث يمكن تكييفها بسهولة مع التطبيقات المختلفة.
  3. ngrep يسعى جاهدًا لتوفير معظم ميزات GNU grep المشتركة ، وتطبيقها على طبقة الشبكة. ngrep هي أداة مدركة لـ pcap تسمح لك بتحديد تعبيرات عادية أو سداسية عشرية ممتدة لتتناسب مع حمولات البيانات من الحزم. يتعرف حاليًا على IPv4 / 6 و TCP و UDP و ICMPv4 / 6 و IGMP و Raw عبر Ethernet و PPP و SLIP و FDDI و Token Ring والواجهات الفارغة ، ويفهم منطق مرشح BPF بنفس الطريقة مثل أدوات استنشاق الحزمة الأكثر شيوعًا مثل tcpdump و snoop.
  4. passivedns - واحدة من أفضل أدوات أمان الشبكة لجمع سجلات DNS بشكل خامل للمساعدة في معالجة الحوادث ومراقبة أمن الشبكة (NSM) والتحليل الجنائي الرقمي العام. يستورد PassiveDNS حركة المرور من واجهة أو يقرأ ملف pcap ويخرج إجابات خادم DNS إلى ملف السجل. يمكن لـ PassiveDNS cache/aggregate إجابات DNS المكررة في الذاكرة ، مما يحد من كمية البيانات في ملف السجل دون فقدان essens في إجابة DNS.
  5. sagan - يستخدم محرك وقواعد 'Snort like' لتحليل السجلات (syslog/event log/snmptrap/netflow/etc).
  6. Node Security Platform - تم تعيين ميزة مماثلة لـ Snyk ، ولكنها مجانية في معظم الحالات ، ورخيصة جدًا للآخرين.
  7. ntopng عبارة عن مسبار لحركة مرور network traffic الشبكة يعرض استخدام الشبكة ، على غرار ما يفعله أومر Unix.
  8. Fibratus هي أداة لاستكشاف وتعقب نواة Windows kernel إنه قادر على التقاط معظم نشاط Windows kernel - إنشاء وإنهاء العملية / مؤشر الترابط ، إدخال / إخراج نظام الملفات ، التسجيل ، نشاط الشبكة ، تحميل / تفريغ DLL وغير ذلك الكثير. يحتوي Fibratus على CLI بسيط للغاية والذي يغلف الآلية لبدء مجمع دفق أحداث kernel أو تعيين مرشحات أحداث kernel أو تشغيل وحدات Python خفيفة الوزن التي تسمى الخيوط.

أنظمة كشف الاختراق IDS / IPS / Host IDS / Host IPS

  1. Snort هو نظام مجاني ومفتوح المصدر لمنع التسلل إلى الشبكة (NIPS) ونظام كشف التسلل إلى الشبكة (NIDS) تم إنشاؤه بواسطة Martin Roesch في عام 1998. تم تطوير Snort الآن بواسطة Sourcefire ، والتي يعتبر Roesch مؤسسها و CTO. في عام 2009 ، دخل Snort إلى قاعة مشاهير InfoWorld مفتوحة المصدر كواحد من "أعظم البرامج مفتوحة المصدر على الإطلاق".
  2. Bro هو إطار عمل قوي لتحليل الشبكة يختلف كثيرًا عن IDS النموذجي الذي قد تعرفه.
  3. OSSEC - Comprehensive Open Source HIDS مفتوح المصدر شامل. ليس للمبتدئين. يستغرق الأمر بعض الشيء للتعرف على كيفية عمله. يقوم بتحليل السجل ، والتحقق من سلامة الملفات ، ومراقبة السياسات ، واكتشاف rootkit ، والتنبيه في الوقت الفعلي ، والاستجابة النشطة. يعمل على معظم أنظمة التشغيل ، بما في ذلك Linux و MacOS و Solaris و HP-UX و AIX و Windows. مع الكثير من الوثائق.
  4. Suricata هو محرك مراقبة شبكة IDS و IPS و Network Security عالي الأداء. مفتوح المصدر ومملوك من قبل مؤسسة غير ربحية يديرها المجتمع ، مؤسسة أمن المعلومات المفتوحة (OISF). تم تطوير Suricata من قبل OISF والباعة الداعمين لها.
  5. Security Onion هو توزيعة لينكس لاكتشاف الاختراق ومراقبة أمان الشبكة وإدارة السجلات. يعتمد على اوبنتو ويحتوي على Snort و Suricata و Bro و OSSEC و Sguil و Squert و Snorby و ELSA و Xplico و NetworkMiner والعديد من أدوات الأمان الأخرى. يتيح لك معالج الإعداد سهل الاستخدام إنشاء جيش من أجهزة الاستشعار الموزعة لمؤسستك في دقائق!
  6. sshwatch -يستخدم IPS for SSH مشابه لـ DenyHosts المكتوبة بلغة Python. يمكنه أيضًا جمع معلومات حول الهكر أثناء الاختراق في السجل.
  7. Stealth - مدقق سلامة الملف الذي لا يترك أي رواسب تقريبًا. تعمل وحدة التحكم من جهاز آخر ، مما يجعل من الصعب على الهكر معرفة أن نظام الملفات يتم فحصه على فترات عشوائية محددة عبر بروتوكول امن SSH. موصى به للغاية لعمليات النشر الصغيرة والمتوسطة.
  8. AIEngine هو محرك فحص حزم Python / Ruby / Java / Lua تفاعلي / قابل للبرمجة من الجيل التالي مع إمكانات التعلم دون أي تدخل بشري ، ووظيفة NIDS (نظام الكشف عن اختراق الشبكة) ، وتصنيف مجال DNS ، ومجمع الشبكة ، والتحقيق الرقمي في الشبكة Network forensics...
  9. Denyhosts - إحباط الهجمات القائمة على dictionary SSH وهجمات التخمين brute force attacks.
  10. Fail2Ban - يفحص ملفات السجل ويتخذ إجراءات بشأن عناوين IP التي تُظهر سلوكًا ضارًا.
  11. SSHGuard - برنامج لحماية الخدمات بالإضافة إلى SSH ، مكتوب بلغة C.
  12. Lynis - أداة تدقيق أمان مفتوحة المصدر لنظام Linux / Unix  شرحتها سابقا بهذا المقال شرح تثبيت أداة lynis وكيفية فحص النظام من المشاكل والثغرات.

وعاء العسل او مصيدة الهكر / Honey Pot

  1. HoneyPy هو موضع جذب منخفض إلى متوسط ​​التفاعل. الغرض منه هو أن يكون سهلاً: نشر الوظائف وتوسيعها باستخدام المكونات الإضافية وتطبيق التكوينات المخصصة.
  2. Dionaea - من المفترض أن تكون Dionaea خليفة لـ nepenthes ، وتضمين python كلغة برمجة نصية ، باستخدام libemu لاكتشاف أكواد القشرة ، ودعم ipv6 و tls.
  3. Conpot - مصيدة ICS / SCADA. Conpot هو نقطة جذب لأنظمة التحكم الصناعية من جانب الخادم التفاعلي منخفضة مصممة لتكون سهلة النشر والتعديل والتوسيع. من خلال توفير مجموعة من بروتوكولات التحكم الصناعي الشائعة ، أنشأنا الأساسيات لبناء نظامك الخاص ، القادر على محاكاة البنى التحتية المعقدة لإقناع الخصم بأنه وجد للتو مجمعًا صناعيًا ضخمًا
  4. آمون - موضع جذب منخفض التفاعل قائم على Amun Python.
  5. Glastopf - هو موضع جذب يحاكي الآلاف من نقاط الضعف لجمع البيانات من الهجمات التي تستهدف تطبيقات الويب. المبدأ الكامن وراءه بسيط للغاية: الرد على الرد الصحيح على المهاجم الذي يستغل تطبيق الويب.
  6. Kippo - كيبو (Kippo) عبارة عن مواضع توصيل SSH ذات تفاعل متوسط ​​مصممة لتسجيل هجمات القوة الغاشمة ، والأهم من ذلك ، تفاعل الصدفة بالكامل الذي يقوم به المهاجم.
  7. Kojoney - هو مصدر جذب منخفض المستوى يحاكي خادم SSH. تمت كتابة البرنامج الخفي بلغة Python باستخدام مكتبات Twisted Conch.
  8. HonSSH - هو حل وعاء عسل عالي التفاعل. سوف يجلس HonSSH بين المهاجم ووعاء العسل ، مما يؤدي إلى إنشاء اتصالين منفصلين عبر SSH بينهما.
  9. Bifrozt - هو جهاز NAT مزود بخادم DHCP والذي يتم نشره عادةً مع NIC واحد متصل مباشرة بالإنترنت وبطاقة NIC متصلة بالشبكة الداخلية. إن ما يميز Bifrozt عن أجهزة NAT القياسية الأخرى هو قدرته على العمل كوكيل SSHv2 شفاف بين المهاجم وموقع الجذب الخاص بك.
  10. HoneyDrive - هو توزيعة honeypot Linux الرئيسية. إنه جهاز افتراضي (OVA) مثبت عليه إصدار Xubuntu Desktop 12.04.4 LTS. يحتوي على أكثر من 10 حزم برامج مصيدة مثبتة مسبقًا ومجهزة مسبقًا مثل Kippo SSH honeypot و Dionaea و Amun malware honeypot و Honeyd low-reaction honeypot و Glastopf web honeypot و Wordpot و Conpot SCADA / ICS honeypot و Thug و PhoneyC honeyclients والمزيد .
  11. Cuckoo Sandbox - هو برنامج مفتوح المصدر لأتمتة تحليل الملفات المشبوهة. للقيام بذلك ، فإنه يستخدم المكونات المخصصة التي تراقب سلوك العمليات الضارة أثناء التشغيل في بيئة معزولة.

التقاط الحزم الكاملة / Forensic

  1. tcpflow - هو برنامج يلتقط البيانات المنقولة كجزء من اتصالات TCP (التدفقات) ، ويخزن البيانات بطريقة ملائمة لتحليل البروتوكول وتصحيح الأخطاء.
  2. Xplico - الهدف من Xplico هو استخراج بيانات التطبيقات الواردة من حركة مرور الإنترنت. على سبيل المثال ، من ملف pcap ، يستخرج Xplico كل بريد إلكتروني (بروتوكولات POP و IMAP و SMTP) ، وجميع محتويات HTTP ، وكل مكالمة VoIP  SIP ، و FTP ، و TFTP ، وما إلى ذلك. Xplico ليس محلل بروتوكول شبكة. Xplico هي أداة تحليل جنائي للشبكة مفتوحة المصدر (NFAT).
  3. Moloch - هو مصدر مفتوح ، واسع النطاق لالتقاط حزم (IPv4 - PCAP) ، ونظام فهرسة وقواعد بيانات. يتم توفير واجهة ويب بسيطة لتصفح PCAP والبحث عنه وتصديره. يتم الكشف عن واجهات برمجة التطبيقات التي تسمح بتنزيل بيانات PCAP وبيانات الجلسة المنسقة بتنسيق JSON مباشرة. يتم تنفيذ الأمان البسيط باستخدام دعم كلمة مرور HTTPS و HTTP أو باستخدام apache في المقدمة. لا يُقصد من Moloch أن تحل محل محركات IDS ولكن بدلاً من ذلك تعمل جنبًا إلى جنب معها لتخزين وفهرسة كل حركة مرور الشبكة بتنسيق PCAP القياسي ، مما يوفر وصولاً سريعًا. تم تصميم Moloch ليتم نشره عبر العديد من الأنظمة ويمكنه التوسع للتعامل مع عدة جيجابت / ثانية من حركة المرور.
  4. OpenFPC - عبارة عن مجموعة من الأدوات التي تتحد لتوفير نظام تخزين مؤقت ومسجل لحركة مرور الشبكة كامل الحزمة وخفيف الحجم. هدف التصميم هو السماح للمستخدمين العاديين بنشر مسجل مرور شبكة موزع على أجهزة COTS أثناء الدمج في أدوات إدارة التنبيهات والسجلات الحالية.
  5. Dshell - هو إطار عمل للتحليل الجنائي الرقمي للشبكة. يُمكِّن من التطوير السريع للمكونات الإضافية لدعم تشريح حزم الشبكة.
  6. Stenographer - هو حل لالتقاط الحزم يهدف إلى تخزين جميع الحزم بسرعة على القرص ، ثم توفير وصول بسيط وسريع إلى مجموعات فرعية من هذه الحزم.

أدوات أمان الشبكة القائمة على Sniffer

  1. wireshark -  هو محلل حزم مجاني ومفتوح المصدر مثبة مسبقا على نظام الكالي لينكس. يتم استخدامه لاستكشاف أخطاء الشبكة والتحليل وتطوير البرامج وبروتوكولات الاتصالات يشبه إلى حد كبير برنامج tcpdump ، ولكنه يحتوي على واجهة  رسومية GUI، بالإضافة إلى بعض خيارات الفرز والتصفية المدمجة Filters.
  2. netsniff-ng - عبارة عن مجموعة أدوات الشبكة المجانية على انظمة لينكس ، وسكين عسكري سويسري (Swiss army knife) هي أداة سريعة ومحدودة لتحليل حزم الشبكة والتقاط ملفات pcap وإعادة التشغيل pcap ، وإعادة توجيه حركة المرور بين الواجهات.
  3. Live HTTP headers - هي اضافة مجانية لمتصفح Firefox لمشاهدة طلبات المتصفح في الوقت الفعلي. يعرض عناوين الطلبات بالكامل ويمكن استخدامه للعثور على ثغرات الأمان في عمليات التنفيذ يستخدمها الهاكر لتخطي حماية السيرفر ورفع شل الاختراق.

SIEM - أدوات أمان الشبكة

  1. Prelude - هو نظام عالمي لإدارة الأحداث والمعلومات الأمنية (SIEM). تقوم Prelude بجمع كافة الأحداث المتعلقة بالأمن وفرزها وتجميعها وربطها وإعداد تقارير عنها بشكل مستقل عن المنتج أو الترخيص الذي أدى إلى حدوث مثل هذه الأحداث "agentless".
  2. OSSIM - يوفر OSSIM جميع الميزات التي يحتاجها متخصص الأمن من عرض SIEM - جمع الأحداث و والتسوية normalization والارتباط correlation.
  3. FIR - الاستجابة السريعة للحوادث ، منصة لإدارة حوادث الأمن السيبراني.

الشبكة الخاصة الافتراضية VPN

  • OpenVPN هو تطبيق برمجي مفتوح المصدر ينفذ تقنيات الشبكة الخاصة الافتراضية (VPN) لإنشاء اتصالات آمنة من نقطة إلى نقطة أو من موقع إلى موقع في تكوينات موجهة أو مترابطة ومرافق الوصول عن بعد. 
يستخدم بروتوكول أمان مخصصًا يستخدم SSL / TLS لتبادل المفاتيح.

معالجة سريعة للحزم

  1. DPDK -  هي مجموعة من المكتبات وبرامج التشغيل لمعالجة الحزم السريعة.
  2. PFQ - هو إطار عمل شبكي وظيفي مصمم لنظام التشغيل Linux الذي يسمح بالتقاط / نقل الحزم الفعال (10G وما بعده) ، والمعالجة الوظيفية في kernel وتوجيه الحزم عبر المقابس / نقاط النهاية.
  3. PF_RING - هو نوع جديد من مقابس الشبكة يعمل على تحسين سرعة التقاط الحزمة بشكل كبير.
  4. PF_RING ZC (Zero Copy) - PF_RING ZC (Zero Copy) عبارة عن إطار عمل مرن لمعالجة الحزم يسمح لك بتحقيق معالجة حزم بمعدل خط 1/10 جيجابت (كل من RX و TX) بأي حجم حزمة. إنها تنفذ عمليات نسخ صفرية بما في ذلك أنماط الاتصالات بين العمليات وبين الأجهزة الافتراضية (KVM).
  5. PACKET_MMAP / TPACKET / AF_PACKET - من الجيد استخدام PACKET_MMAP لتحسين أداء عملية الالتقاط والإرسال في Linux.
  6. netmap - هو إطار عمل لإدخال / إخراج الحزمة عالية السرعة. جنبا إلى جنب مع برنامج VALE المصاحب ، يتم تنفيذه كوحدة نواة واحدة ومتاح لـ FreeBSD و Linux والآن أيضًا Windows.

أدوات أمان الشبكات القائمة على جدران الحماية

  1. pfSense - توزيعة FreeBSD لجدار الحماية والموجه .
  2. OPNsense - هو برنامج مفتوح المصدر وسهل الاستخدام والتكوين قائم على جدار حماية ومنصة توجيه FreeBSD. يتضمن OPNsense معظم الميزات المتوفرة في جدران الحماية التجارية باهظة الثمن ، وأكثر من ذلك في كثير من الحالات. إنه يجلب مجموعة الميزات الغنية من العروض التجارية مع فوائد المصادر المفتوحة والقابلة للتحقق.
  3. fwknop - يحمي المنافذ عبر ترخيص الحزمة الواحدة في جدار الحماية الخاص بك.

Anti-Spam

SpamAssassin - مرشح قوي وشائع للبريد الإلكتروني العشوائي يستخدم مجموعة متنوعة من تقنيات الكشف.