Best of Linux

10 Pflicht-Tools für Netzwerk- und Security-Profis

08.04.2022
Von 
Steve Zurier schreibt freiberuflich unter anderem für unsere US-Schwesterpublikation Network World.
Diese essenziellen Linux Tools helfen Unternehmen dabei, Cyberkriminellen einen Schritt voraus zu sein.
Wir haben zehn essenzielle Open-Source-Security-Tools für Sie zusammengestellt.
Wir haben zehn essenzielle Open-Source-Security-Tools für Sie zusammengestellt.
Foto: Omelchenko - shutterstock.com

Eine Wahl zu treffen, wenn Dutzende oder gar Hunderte von Tools zur Verfügung stehen, ist nicht einfach. So dürfte es auch vielen Netzwerk- und Security-Experten gehen, die quelloffene Security Tools für Linux suchen.

In diesem Bereich gibt es eine Vielzahl verschiedener Tools für so gut wie jede Aufgabe (Netzwerk-Tunneling, Sniffing, Scanning, Mapping) und jede Umgebung (Wi-Fi-Netzwerke, Webanwendungen, Datenbankserver). Wir haben einige Experten konsultiert und zehn essenzielle Linux-Sicherheitstools für Sie zusammengestellt.

1. Aircrack-ng

Diese Suite von Software Tools ermöglicht es, drahtlose Netzwerke und WiFi-Protokolle Sicherheitsüberprüfungen zu unterziehen. Sicherheitsprofis verwenden das Tool für die Netzwerkadministration, Hacking und Penetrationstests. Dabei fokussiert Aircrack-ng auf:

  • Monitoring (Datenpakete erfassen und Daten in Textdateien zur Weiterverarbeitung durch Tools von Drittanbietern exportieren)

  • Angreifen (Replay-Angriffe, Deauthentication, Packet Injection)

  • Testing (WiFi-Karten und Treiberfunktionen überprüfen) und

  • Cracking (WEP und WPA PSK)

Laut der offiziellen Webseite funktionieren alle Tools kommandozeilenbasiert, was eine umfangreiche Skripterstellung ermöglicht. Das Tool funktioniert mit Linux genauso wie mit Windows, macOS, FreeBSD, OpenBSD, NetBSD, Solaris und sogar eComStation.

Preis: kostenlos

2. Burp Suite

Hierbei handelt es sich um eine Testing-Suite für Webanwendungen, die für Security Assessments von Websites eingesetzt wird. Burp Suite arbeitet als lokale Proxy-Lösung, die es Sicherheitsexperten ermöglicht, Anfragen (HTTP/Websockets) und Antworten zwischen einem Webserver und einem Browser

  • entschlüsseln,

  • beobachten,

  • manipulieren und

  • wiederholen zu können.

Burp Suite hat einen passiven Scanner an Bord, mit dem Security-Profis Webseiten (manuell) auf potenzielle Schwachstellen überprüfen können. Die Pro-Version bietet außerdem einen sehr nützlichen aktiven Web-Schwachstellen-Scanner, mit dem sich weitere Schwachstellen aufspüren lassen. Burp Suite ist über Plugins erweiterbar, so dass Sicherheitsexperten ihre eigenen Erweiterungen entwickeln können.

Preis: Die Professional-Version kostet 349 Euro im Jahr. Darüber hinaus steht auch eine Enterprise-Version (ab ca. 6.000 Euro jährlich) zur Verfügung, die mehrere gleichzeitige Scans ermöglicht und von Anwendungsentwicklungsteams genutzt werden kann.

3. Impacket

Diese Sammlung von Tools ist für Pen-Tests von Netzwerkprotokollen und -diensten unerlässlich. Impacket wurde von SecureAuth entwickelt und ist eine Sammlung von Python Classes, um mit Netzwerkprotokollen zu arbeiten. Impacket konzentriert sich auf die Bereitstellung von Low-Level-Zugriff auf Pakete und bei einigen Protokollen wie SMB1-3 und MSRPC auf die Protokollimplementierung selbst. Sicherheitsexperten können Pakete von Grund auf neu konstruieren, aber auch auf Grundlage geparster Rohdaten. Die objektorientierte API macht es zudem einfach, mit tiefen Protokollhierarchien zu arbeiten. Impacket unterstützt die folgenden Protokolle:

  • Ethernet, Linux;

  • IP, TCP, UDP, ICMP, IGMP, ARP;

  • IPv4 und IPv6;

  • NMB und SMB1, SMB2 und SMB3;

  • MSRPC Version 5, über verschiedene Transportwege: TCP, SMB/TCP, SMB/NetBIOS und HTTP;

  • Plain-, NTLM- und Kerberos-Authentifizierungen, unter Verwendung von Kennwörtern/Hashes/Tickets/Schlüsseln;

  • Teile von TDS (MSSQL) und LDAP-Protokollimplementierung.

Preis: Kostenlos - Impacket wird unter einer leicht modifizierten Version der Apache Software License bereitgestellt. Die Unterschiede können Sie hier einsehen.

4. Metasploit

Metasploit ist ein Exploit-Framework von Rapid7, das für allgemeine Penetrationstests und Schwachstellenbewertungen verwendet wird. Sicherheitsexperten betrachten es als "Super-Tool", das funktionierende Versionen fast aller bekannter Exploits enthält. Metasploit ermöglicht Sicherheitsexperten, Netzwerke und Endpunkte auf Schwachstellen zu scannen und anschließend automatisiert mögliche Exploits auszuführen, um Systeme zu übernehmen.

Metasploit erleichtert es mit protokollspezifischen Modulen (die alle unter der Funktion Auxiliary/Server/Capture laufen) Anmeldeinformationen zu erfassen. Sicherheitsexperten können jedes dieser Module einzeln starten und konfigurieren - zudem steht ein Capture-Plug-in zur Verfügung, das diesen Prozess vereinheitlicht.

Preis: Metasploit Pro kostet - inklusive kommerziellem Support durch Rapid7 - ab 12.000 Dollar pro Jahr. Es gibt aber auch eine kostenlose Version.

5. Ncat

Der Nachfolger des beliebten Tools Netcat heißt Ncat und kommt von den Machern von Nmap. Das Tool ermöglicht es, Daten per Kommandozeile über ein Netzwerk zu lesen und zu schreiben, bietet aber auch zusätzlich Funktionen wie SSL-Verschlüsselung. Sicherheitsexperten zufolge ist Ncat unerlässlich geworden, um TCP/UDP-Clients und -Server zu hosten und Daten von Angreifer- und Opfersystemen zu empfangen.

Ncat ist auch ein beliebtes Tool, um eine Reverse Shell einzurichten oder Daten zu exfiltrieren. Es wurde als zuverlässiges Back-End-Tool entwickelt, um Netzwerkverbindungen zu anderen Anwendungen und Benutzern herzustellen.

Preis: kostenlos

6. Nmap

Dieses Netzwerk-Scanning- und Mapping-Tool auf Kommandozeilen-Basis findet zugängliche Ports auf Remote Devices. Viele Sicherheitsexperten halten Nmap für eines der wichtigsten und effektivsten Tools - insbesondere im Bereich Penetration Testing ist es unerlässlich.

Die Skripting-Engine von Nmap erkennt anschließend automatisiert weitere Schwachstellen und nutzt diese aus. Nmap unterstützt Dutzende fortschrittlicher Techniken, um Netzwerke mit IP-Filtern, Firewalls, Routern und anderen Hindernissen abzubilden. Dazu gehören auch zahlreiche Mechanismen, um TCP- und UDP-Ports zu scannen, Betriebssysteme und Versionen sowie Ping-Sweeps zu erkennen.

Preis: kostenlos

7. ProxyChains

Dieses Werkzeug - der De-facto-Standard für Netzwerk-Tunneling - ermöglicht es Sicherheitsexperten, Proxy-Befehle von ihrem angreifenden Linux-Rechner aus über verschiedene kompromittierte Rechner zu senden, um Netzwerkgrenzen und Firewalls zu überwinden und dabei einer Entdeckung zu entgehen.

ProxyChains leitet den TCP-Verkehr von Penetrationstestern durch die folgenden Proxys: TOR, SOCKS und HTTP. ProxyChains ist mit TCP-Aufklärungs-Tools wie NMAP kompatibel und verwendet standardmäßig das TOR-Netzwerk. Sicherheitsexperten verwenden ProxyChains auch bei der IDS/IPS-Erkennung.

Preis: kostenlos

8. Responder

Responder ist ein NBT-NS (NetBIOS Name Service), LLMNR (Link-Local Multicast Name Resolution) und mDNS (Multicast DNS) Poisoner. Penetration Tester nutzen das Tool, um Angriffe zu simulieren, die darauf abzielen, Anmeldeinformationen und andere Daten während des Prozesses der Namensauflösung zu stehlen, wenn der DNS-Server keinen Eintrag findet. Ab Version 3.1.1.0 bietet Responder standardmäßig vollen IPv6-Support.

Preis: kostenlos

9. sqlmap

Das Open-Source-Tool sqlmap richtet sich ebenfalls an Penetrationstester und automatisiert den Prozess, SQL-Injection-Fehler zu erkennen, mit deren Hilfe Datenbankserver kompromittiert werden könnten. Das Tool verfügt über eine leistungsstarke Erkennungs-Engine und bietet zahlreiche Funktionen, darunter Datenbank-Fingerprinting und die Ausführung von Befehlen auf Betriebssystemebene über Out-of-Band-Verbindungen.

Sqlmap unterstützt eine breite Palette von Datenbankservern, darunter:

  • MySQL,

  • Oracle,

  • PostgreSQL,

  • Microsoft SQL Server,

  • Microsoft Access,

  • IBM DB2,

  • SQLite,

  • Firebird,

  • Sybase,

  • SAP MaxDB und

  • HSQLDB.

Preis: kostenlos

10. Wireshark

Das Netzwerkprotokoll-Analyse-Tool Wireshark wird auch oft als Network Interface Sniffer bezeichnet. Mit Wireshark können Sicherheitsexperten das Netzwerkverhalten eines Geräts beobachten, um zu sehen, mit welchen anderen Geräten es kommuniziert und warum.

Sicherheitsexperten zufolge eignet sich Wireshark hervorragend, um herauszufinden, wo sich DNS-Server und andere Dienste befinden, mit denen sich ein Netzwerk weiter kompromittieren lässt. Wireshark läuft nicht nur unter Linux, sondern funktioniert mit den allen gängigen Betriebssystemen, einschließlich Windows, MacOs und Unix. (fm)

Preis: kostenlos

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.