מה זה Security Onion?

Security Onion היא הפצת לינוקס המיועדת לחקירות דיגיטליות, ניטור תעבורת רשת וניהול לוגים.ההפצה מבוססת על אובונטו ומופצת כשעליה מותקנות מראש תוכניות רבות.


Chaosreader:
כלי המייצא נתונים מתעבורת רשת ומקבצי PCAP. הכלי תומך במגוון רחב של פרוטוקולים:
HTML, GIF, JPEG, SMTP, TCP, UDP, HTTP, FTP ועוד.
ניתן להוריד את הכלי דרך אתר: http://chaosreader.sourceforge.net

driftnet:
כלי שעוקב אחר תעבורת הרשת, ומאפשר לחלץ ולהציג תמונות בפורמטים JPG, GIF, קבצי סאונד בפורמט MPEG ולהפעילו. 
ניתן להוריד את הכלי דרך אתר: https://github.com/deiv/driftnet

httpry:
כלי לרישום ואחזור תעבורת HTTP.
ניתן להוריד את הכלי דרך אתר: https://github.com/jbittel/httpry

NetworkMiner:
כלי לניתוח רשת המאפשר לבחון ולייצא נתונים (בזמן אמת ובמצב לא מקוון) מחבילות מידע שעוברות ברשת, כמו כן יכול לזהות באופן פאסיבי את מערכות ההפעלה של השרתים והמחשבים איתם המערכת מתקשרת, לז.הות פורטים פתוחים ולנתח קבצי PCAP.
ניתן להוריד את התוכנה דרך האתר הרשמי: https://www.netresec.com

OSSEC:
מערכת לגילוי חדירות מבוססת מחשב מארח (HIDS - Host Intrusion Detection System) - בוחנת שינויים בקובצי מערכת ההפעלה של מחשב או התקן בודד, עוקבת אחר אירועים ופעולות חשודות ומדווחת עליהם למנהל המערכת. המערכת מפיקה קובץ Image של תצורת המערכת הנוכחית ותשווה אותו אל מול הקובץ הקודם, במידה וקובצי מערכת שונו או נמחקו היא תדווח על כך.
ניתן להוריד את המערכת דרך האתר הרשמי: https://ossec.github.io



netsed:
כלי המאפשר לשנות, בזמן אמת, את תוכן המנות שעוברות ברשת.
ניתן להוריד את הכלי דרך אתר: https://github.com/xlab/netsed

ngrep:
כלי הפועל דרך ממשק הפקודה ומשמש לניתוח מנות וקבצי PCAP. הכלי מסתמך על ספריית pcap ועל ספריית regex של GNU ומאפשר שילוב ביטויים רגולרים בעת ניתוח הנתונים.
ניתן להוריד את התוכנה דרך אתר: https://github.com/jpr5/ngrep

nmap:
תוכנה לסריקת פורטים ורשתות, המשמשת לגילוי מתחמים ושירותים, ברשת מחשבים. דרך פעולת Nmap היא שליחת חבילות בעלות מבנה מסוים אל המתחם הרצוי, וניתוח התגובה המתקבלת ממנו.
ניתן להוריד את התוכנה דרך האתר הרשמי: https://nmap.org
Home page logo

Zenmap:
הגרסה הגרפית של סורק הפורטים Nmap. התוכנה משמשת לגילוי מתחמים ושירותים, ברשת מחשבים. דרך פעולת Nmap היא שליחת חבילות בעלות מבנה מסוים אל המתחם הרצוי, וניתוח התגובה המתקבלת ממנו.
ניתן להוריד את התוכנה דרך האתר הרשמי: https://nmap.org/zenmap

p0f:
כלי סריקה, מבוסס קוד פתוח, המאפשר למשתמש בו לזהות באופן פאסיבי את מערכות ההפעלה של השרתים והמחשבים איתם הוא מתקשר. בנוסף הכלי יכול לסייע באיתור מידע נוסף אודות המערכות המרוחקות.
בעזרת שליחת מנות TCP ובקשת HTTP מפיק הכלי מידע רב אודות מערכת ההפעלה והיישומים הרצים במערכת המרוחקת, בנוסף, יכול להעריך את המרחק מהמערכת איתה הוא מתקשר ולבדוק אם הגדרות חומש האש פעילות.
בשונה מכלי סריקה אחרים, P0f הינו סורק פאסיבי ולא יוצר תנועה ורעש ברשת, אלא מנתח שדות מסוימים בחבילות המידע שנסרקו ובכך מקשה על זיהוי הסריקה.
ניתן להוריד את הכלי דרך האתר הרשמי: http://lcamtuf.coredump.cx/p0f3

Scapy:
מספקת ניתוח תעבורת רשת, שליחה ובדיקת חבילות מידע בפרוטוקולים שונים ובעלת יכולות לתקיפת רשתות באמצעות כתיבת סקריפטים. התוכנית נכתבה על ידי פיליפ ביונדי בשפת התכנות פייתון (באנגלית: Python), כדי לבדוק את רמת האבטחה של פרוטוקולים כגון: TCP/IP, HTTP, ARP. בזכות יכולות האבטחה שלו, הפך לכלי שימושי עבור האקרים הנוהגים להשתמש בו לצורכי תקיפה בלתי חוקיים, לצורך שינוי כתובות MAC, IP, זיוף בקשות ARP, Echo Request ושימוש זדוני בפרוטוקולי תקשורת.
התוכנית בעלת יכולות סריקה ומעקב אחר תעבורה ברשת, סריקת פורטים ויצירת חבילות מידע ברשת המקומית. על מנת לעבוד עם סקאפי באופן יעיל מומלץ להשתמש בכלי המנתח תנועת רשת (Wireshark).
ניתן להריץ את סקאפי בכל מערכת הפעלה שבה מותקנת פייתון באמצעות כתיבת הפקודה scapy, התוכנה בנויה ממשתנים ומסקריפטים הנכתבים בתוך סוגריים, הסקריפטים גמישים וניתנים לשינוי על פי צורכי המשתמש.
ניתן להוריד את הכלי דרך האתר הרשמי : http://www.secdev.org/projects/scapy

Sniffit:
רחרחן מנות גרפי המאזין ומתעד תעבורת רשת. הכלי קולט את חבילות המידע, מנתח אותן ומציג אותן למשתמש לאחר הניתוח.
ניתן להוריד את הכלי דרך האתר הרשמי : http://sniffit.sourceforge.net

Snort:
מערכת למניעת חדירות (IPS), מבוססת קוד פתוח, המנתחת תעבורה בזמן אמת ומדווחת על פעולות חשודות. 
ניתוח תעבורת הרשת מתבצע בשלשה שלבים שונים:
ניתוח הפרוטוקול.
ניתוח התוכן.
השוואת התוכן.

למערכת 3 מצבים עיקריים:
מצב רחרחן מנות (Sniffer) - האזנה אחר תעבורת הרשת.
יומן מנות (Packet Logger) - תיעוד תעבורת הרשת לזיהוי וטיפול בבעיות שונות.
מערכת לאיתור חדירות רשת (Network Intrusion Detection System) - המערכת תעקוב אחר תעבורת הרשת, תנתח אותה ותבצע פעולות לפי הכללים שהוגדרו על ידי מנהל המערכת. המערכת יכולה לזהות גם התקפות שונות, מערכות הפעלה, גלישת חוצץ, סריקת פורטים ועוד.
הפקת דוחו"ת תבוצע על פי בחירה לפי הפורמטים הבאים:
תבנית אחידה של סנורט.
XML
tcpdump / libcap
ASCII
Winpopup.
יומן מערכת.
פורמט המתאים למסדי נתונים כגון: MySQL, Oracle, PostgreSQL.

הרחבות לסנורט:
* fwsnort: מאשפר לסנורט להשתמש בחוקי iptables.
* barnyard2: מאפשר לייצא תבנית בינארית.
* SnortValidator: כלי זה מנתח את החוקים שהוגדרו בסנורט ומחפש שגיאות תחביר ובעיות אפשריות.
* Snorby: יישום אינטרנטי לניתוח ולניטור אבטחה ברשת ומשמש כהרחבה למערכות לגילוי חדירה כגון: Snort, Suricata ו-Sagan.
ניתן להוריד את התוכנה דרך האתר הרשמי: https://www.snort.org



Sguil:
אוסף כלים לניתוח ולניטור אבטחה ברשת (NSM). הכלי מתריאה ומזהיר מפני חדירה לרשת כמו כן מספק מידע אודות מניעת חדירה ומשלב נתונים מסנורט. כלי זה פופולרי במרכז הבקרה (SOC) של הארגון.

Squert:
יישום אינטרנטי המשתמש לביצוע שאילתות ולהצגת נתונים ממסד הנתונים של Squil.
כמו כן מאפשר לנתח אירועים לפי דרגות חומרה שונות, הצלבה עם אירועים שונים ועשוי להיות גורם חשוב בחקירת אירוע.
ניתן להוריד את הכלי דרך אתר: https://github.com/Security-Onion-Solutions

ssldump:
כלי לניתוח תעבורה בפרוטוקול SSLv3/TLS.
ניתן להוריד את הכלי דרך האתר הרשמי: http://ssldump.sourceforge.net

sslsniff:
כלי אוטומטי לביצוע התקפות אדם בתווך (MITM) בפרוטוקול SSL
ניתן להוריד את הכלי דרך אתר: https://github.com/moxie0/sslsniff

Suricata:
מערכת לגילוי חדירות המנתחת תעבורה בזמן אמת ומדווחת על פעולות חשודות. המערכת מבוססת קוד פתוח, נכתבה בשפת C, פותחה על ידי חברת OISF ושוחררה ביולי 2010.
המערכת מנטרת שינויים ברשת הארגונית בזמן אמת, מלקטת מידע ומציגה אותו למנהל המערכת. כמו כן, בעלת יכולת לניתוח קבצי Pcap בפורמטים שונים ובצורה לא מקוונת.
ניתן להוריד את המערכת דרך האתר הרשמי: https://suricata-ids.org

tcpdump:
רחרחן מנות (פועל דרך שורת הפקודה) המאזין ומתעד תעבורת רשת. הכלי קולט את חבילות המידע, מנתח אותן ומציג אותן למשתמש לאחר הניתוח.
במערכות הפעלה דמויות יוניקס נדרשת הרשאת משתמש-על (Root/Superuser) כדי להשתמש בכלי בייעילות עם זאת ניתן להוסיף משתמשים המורשים להשתמש בתוכנה גם ללא הרשאות גבוהות.
ניתן להוריד את הכלי דרך האתר הרשמי: http://www.tcpdump.org

tcpreplay:
כלי לביצוע עריכה ושחזור של תעבורת רשת. מאפשר לחזור על דפוסי פעולה זדוניים כדי לאתר, לזהות ולמנוע חדירה אל הרשת.
ניתן להוריד את הכלי דרך האתר הרשמי: http://tcpreplay.synfin.net

tcpstat:
כלי ליצירת דוחו"ת סטטיסטים של פעולות שנעשו ברשת, שימוש ברוחב הפס, מספר המנות שעברו, גודל מנות ממוצע ועוד. 
ניתן להוריד את הכלי דרך האתר הרשמי: http://www.frenchfries.net/paul/tcpstat

tcpxtract:
כלי לחילוץ קבצים מתעבורת רשת, הכלי מבוסס על חתימות קבצים. בעזרת כלי זה ניתן לסמן קבצים חשודים שחולצו בעבר ובדיקתם באתרי ניתוח כגון: VirusTotal, Hybrid-Analysis.
ניתן להוריד את הכלי דרך האתר הרשמי: http://tcpxtract.sourceforge.net

tshark:
רחרחן מנות (פועל דרך שורת הפקודה) המאזין ומתעד תעבורת רשת. הכלי קולט את חבילות המידע, מנתח אותן ומציג אותן למשתמש לאחר הניתוח.
ניתן להוריד את התוכנה דרך האתר הרשמי: https://www.wireshark.org

udptunnel:
כלי זה מאפשר שימוש בפרוטוקולים TCP / UDP / ICMP.
ניתן להוריד את הכלי דרך האתר הרשמי: https://github.com/astroza/udptunnel

Wireshark:
רחרחן מנות גרפי המאזין ומתעד תעבורת רשת. הכלי קולט את חבילות המידע, מנתח אותן ומציג אותן למשתמש לאחר הניתוח.
ניתן להוריד את התוכנה דרך האתר הרשמי: https://www.wireshark.org

Xplico:
כלי לניתוח פלילי וחקירות דיגיטליות. הכלי קולט את חבילות המידע, מנתח אותן ומציג אותן למשתמש לאחר הניתוח. מטרת הכלי היא לשחזר נתונים ותומכת במגוון פרוטוקולים:
 HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6.
כמו כן, יכול לבצע ניתוח בזמן אמת ותומך בפורמטים שונים של קבצי PCAP.
כלי זה עשוי להיות נדבך חשוב בעת חקירה דיגיטלית ומאפשר לחוקר האירוע לנהל את החקירה בצורה יעילה יותר ולייצא ממצאים רבים (תמונות, מיילים, שיחות, קבצי וידאו ועוד) מקובץ ה-PCAP
ניתן להוריד את התוכנה דרך האתר הרשמי: https://www.xplico.org

Elsa:
כלי לניתוח לוגים ולחיפוש בארכיון. כמו כן מאפשרת לבקר ולאבחן פעולות משתמשים.
ניתן להוריד את הכלי דרך האתר: https://github.com/mcholste/elsa

netsniff-ng:
רחרחן מנות (פועל דרך שורת הפקודה) המאזין ומתעד תעבורת רשת. הכלי קולט את חבילות המידע, מנתח אותן ומציג אותן למשתמש לאחר הניתוח.
ניתן להוריד את התוכנה דרך האתר הרשמי: http://netsniff-ng.org
תמונה קשורה
תמונה קשורה

xprobe2:
כלי המשמש לליקוט מידע, בעזרתו ניתן לקבל מידע אודות מערכת הפעלה הפועלת בתחנה, שירותים, גרסאות ופורטים פתוחים.

Share To:

פאביו ליאור רחמים

Post A Comment: