วันอังคารที่ 31 พฤษภาคม พ.ศ. 2554

20 เครื่องมือด้านความปลอดภัย

20 เครื่องมือด้านความปลอดภัย



พอดีดูผ่านเว็บ1มา เห็นมีสาระดีเลยเอามาผากกันคับ

20 เครื่องมือด้านความปลอดภัย
เครื่องมือชุดเดียวกันนั้นอาจใช้ได้ทั้งในการ โจมตี และป้องกันระบบ

ในวงการ Security มีเรื่องแปลกอย่างหนึ่ง ที่ยากจะหาได้ในสาขาอื่นๆ ของคอมพิวเตอร์ นั่นก็คือเรื่องของแฮ็กเกอร์และผู้ดูแลระบบความปลอดภัย ที่ต่างก็ใช้ความรู้เดียวกัน เครื่องมือชุดเดียวกัน ในวัตถุประสงค์ที่แตกต่างกันอย่างสิ้นเชิง ฝ่ายหนึ่งใช้ความรู้และเครื่องมือเพื่อโจมตี แต่อีกฝ่ายใช้ความรู้และเครื่องมือเพื่อป้องกัน อาจเรียกได้ว่าเป็น ?คนละด้านของดอลลาร์เดียวกัน? ในบทความนี้ผมจะแนะนำให้รู้จักกับเครื่องมือต่างๆ จำนวน 20 โปรแกรม บางโปรแกรมสามารถทำหน้าที่ได้ทั้งโจมตีและป้องกัน บางโปรแกรมก็เป็นโปรแกรมป้องกันเพียงอย่างเดียว

การจัดลำดับ 20 เครื่องมือนี้ ผมไม่ได้จัดเองหรอกครับ แต่เป็นการสำรวจของหน่วยงานที่ชื่อว่า InSecure.org ผู้สร้างโปรแกรม NMAP อันลือลั่น เป็นผู้จัดทำขึ้น โดยสอบถามจากผู้ที่มีอีเมล์อยู่ในลิสต์ (Mailing List) ของ InSecure.org ซึ่งถือว่าเป็นลิสต์ที่ครอบคลุมผู้ที่อยู่ในวงการ มากพอควร ดังนั้นการจัดอันดับนี้จึงสมควรเชื่อถือได้ ในชุดโปรแกรมนี้ มีหลายๆ โปรแกรมที่สามารถนำไปใช้งานด้านมืดได้ แต่ก็สามารถนำไปใช้ประโยชน์ได้เช่นกัน เพราะการป้องกันที่ดีอย่างหนึ่ง ก็คือการทดลองโจมตีตัวเอง ดังนั้นรู้จักเครื่องมือเหล่านี้ไว้ ก็คงไม่เสียหลาย ก็ขอเริ่มเลยก็แล้วกันนะครับ โดยลำดับนี้จะเรียงตามความนิยมมากไปหาน้อยตามลำดับ

1) Nessus


เป็น เครื่องมือที่อยู่ในกลุ่ม Security Scanner สำหรับสแกนเครื่องคอมพิวเตอร์ผ่านระบบเครือข่าย เพื่อตรวจสอบหาจุดโหว่ของเครื่องเป้าหมาย แล้วรายงานให้ทราบ บางคนก็จะเรียกเครื่องมือประเภทนี้ว่า Remote Network Security Auditor สำหรับโปรแกรม Nessus นี้เป็นโปรแกรมที่ให้ดาวน์โหลดได้ฟรีครับ ไม่ต้องเสียเงินแต่อย่างใด โปรแกรม Nessus จะแบ่งส่วนการทำงานเป็น 2 ส่วน คือส่วนของเซิร์ฟเวอร์ซึ่งจะต้องทำงานกับระบบปฏิบัติการตระกูลยูนิกซ์ เช่น ลีนุกซ์ หรือ FreeBSD และส่วนของไคลเอ็นต์ที่ทำงานได้ทั้งบนยูนิกซ์และวินโดวส์ ดังนั้นคนที่ไม่ถนัดยูนิกซ์ก็อาจจะไม่ถนัดโปรแกรมนี้ สำหรับการแสดงผลในส่วนของไคลเอ็นต์สามารถแสดงผลในกราฟิกโหมดได้ เครื่องมือชุดนี้ถือว่าเป็นเครื่องมือที่มีประสิทธิภาพมากโปรแกรมหนึ่ง มีการอัพเดตฐานข้อมูลอย่างสม่ำเสมอ แถมยังฟรีอีกด้วย จึงเป็นโปรแกรมที่น่าใช้โปรแกรมหนึ่งที่อยากให้ผู้อ่านพิจารณา

2) Netcat

โปรแกรมนี้ได้ชื่อว่าเป็น ?Swiss Army Knife? (ชุดเครื่องมืออเนกประสงค์ที่เรียกกันว่ามีดพับของสวิส) ของวงการ Security โดยเป็นเครื่องมือที่ใช้ในการดักจับแพ็กเกตในเครือข่าย และสร้างแพ็กเกตเพื่อส่งเข้าไปในเครือข่าย การใช้งานสามารถใช้ได้ทั้งการเขียนโปรแกรมเพื่อเชื่อมต่อกับ Netcat และใช้ภาษาสคริปต์เพื่อสั่งงาน สามารถช่วยดีบั๊กการทำงานของเครือข่ายได้ ผู้ที่สนใจและศึกษาโพรโตคอล TCP/IP ไม่ควรพลาด โปรแกรม Netcat มีทั้งเวอร์ชันที่ทำงานกับระบบปฏิบัติการตระกูลยูนิกซ์ และระบบปฏิบัติการวินโดวส์ เครื่องมือนี้ฟรีอีกเช่นกันครับ

3) Tcpdump

เครื่องมือนี้จัดอยู่ในกลุ่ม Network Analyzer โดยมีความสามารถในการดักจับแพ็กเกต และวิเคราะห์แพ็กเกตเพื่อตรวจสอบปัญหาที่เกิดขึ้นกับระบบเครือข่าย อันที่จริงเครื่องมือประเภทนี้มีอยู่มากมาย ทั้งแบบที่เสียเงินและแบบที่แจกฟรี หลายโปรแกรมมีความสามารถมากกว่าโปรแกรม Tcpdump ด้วยซ้ำไป แต่เหตุที่ Tcpdump ยังติดอันดับอยู่นั้น เนื่องจากโปรแกรมนี้เป็นโปรแกรมที่เกิดมาก่อน แถมยังแจกฟรีพร้อมซอร์สโค้ด มีการทำงานที่รวดเร็ว สามารถทำงานร่วมกับโปรแกรมอื่น และสามารถเป็นเครื่องมือให้โปรแกรมอื่นเรียกใช้ได้ ด้วยคุณสมบัติต่างๆ ที่กล่าวมา จึงทำให้ Tcpdump ได้รับเกียรติติดอันดับในครั้งนี้ด้วย โปรแกรม Tcpdump เป็นโปรแกรมที่ทำงานกับระบบยูนิกซ์ สำหรับตระกูลวินโดวส์นั้น มีผู้พอร์ตขึ้นมารันโดยใช้ชื่อว่า Windump ซึ่งก็ยังคงแจกฟรีพร้อมซอร์สโค้ดเหมือนกับบนยูนิกซ์

4) Snort

เครื่อง มือที่อยู่ในกลุ่ม Network Intrusion Detection System (NIDS) ซึ่งทำหน้าที่ตรวจจับการบุกรุกทางเครือข่าย ด้วยการดักจับข้อมูลที่วิ่งผ่านเครือข่าย แล้วตรวจสอบว่าแพ็กเกตที่วิ่งผ่านเครือข่ายนั้นมีลักษณะของการโจมตีหรือไม่ โปรแกรมนี้จะมีข้อดีที่ทำให้เราทราบถึงความพยายามในการโจมตี เพราะโดยทั่วไปเมื่อแฮ็กเกอร์จะโจมตีระบบ มักจะมีการสำรวจระบบก่อนจะเข้ามาโจมตีจริงๆ ซึ่งหากเราไม่ได้ติดตั้งโปรแกรมแบบนี้เอาไว้ เราก็จะไม่ทราบเลยว่ามีความพยายามที่จะทำเช่นนี้อยู่ เราอาจจะรู้อีกทีตอนที่เครื่องคอมพิวเตอร์ถูกแฮ็กไปเรียบร้อยแล้ว ดังนั้นโปรแกรมแบบนี้จะมีประโยชน์ในการแจ้งเตือน เมื่อมีความพยายามในการบุกรุกเกิดขึ้น เพื่อจะได้หาทางแก้ไข และป้องกันต่อไป โปรแกรม Snort เป็นโปรแกรมที่ทำงานได้ทั้งบนระบบยูนิกซ์และวินโดวส์ โปรแกรมนี้เป็นอีกโปรแกรมที่เก่ง ฟรี และแจกซอร์สโค้ดด้วย

5) Saint

ย่อ มาจาก Security Administrator?s Integrated Network Tool เป็นโปรแกรมที่อยู่ในกลุ่มของ Security Scanner โปรแกรมนี้พัฒนาขึ้นมาจาก SATAN ที่เป็นเวอร์ชันแจกฟรีมาเป็น Saint ซึ่งไม่ฟรีแล้ว โดยคิดเงินตามจำนวนเครื่องเช่น 845 ดอลลาร์สำหรับ 10 เครื่องแรก โปรแกรมนี้สามารถสแกนผ่านไฟร์วอลล์ได้ มีฐานข้อมูลสำหรับสแกนที่ทันสมัย และอัพเดตจากที่ต่างๆ เช่น CERT, CIAC มีการแสดงผลการทำงานผ่านเว็บ โปรแกรมนี้แม้จะไม่ฟรี แต่ก็ถือว่าราคาไม่แพง หากเทียบกับซอฟต์แวร์ของบริษัทชื่อดัง โดยสิ่งที่คุณจะได้จากซอฟต์แวร์ที่เสียเงิน คือได้คู่มือที่ดีกว่า ได้รับการสนับสนุนทางเทคนิค อ้อ! โปรแกรมนี้ได้รางวัล Information Security Excellence Award ประจำปี 2002 จากนิตยสาร Information Security ด้วยครับ
รูป แสดงตัวอย่างผลลัพธ์การทำงานของ
โปรแกรม Ethereal

6) Ethereal

Network Analyzer ที่โดยส่วนตัวแล้ว ผมชอบโปรแกรมนี้มากกว่า Tcpdump เพราะมีความสามารถต่างๆ มากกว่า แต่ต้องทำงานแบบเดี่ยวๆ นะครับ เพราะทำงานร่วมกับโปรแกรมอื่นๆ แบบ Tcpdump ไม่ได้ โปรแกรมนี้มีทั้งที่ทำงานบนยูนิกซ์และวินโดวส์ (และระบบปฏิบัติการอื่นๆ อีกมากมาย อาทิ บนเครื่องแมค) โปรแกรมนี้แจกฟรีพร้อมซอร์สโค้ดเช่นเดียวกัน

7) Whisker

โปรแกรมนี้จัดอยู่ในตระกูล Security Scanner คือสแกนหาจุดอ่อนของเครื่องคอมพิวเตอร์ จุดเด่นคือเขียนด้วยภาษา Perl จึงทำงานได้กับหลายระบบปฏิบัติการ แจกฟรีและมีซอร์สโค้ดให้ด้วยเช่นกัน

9) Abacus Portsentry

เครื่องมือนี้เป็นเครื่องมือที่แปลกตัวหนึ่ง คือกึ่งโปรแกรม Personal Firewall และกึ่งโปรแกรมตรวจจับผู้บุกรุก เนื่องจากโปรแกรมนี้จะทำหน้าที่ตรวจจับการสแกนพอร์ต และบล็อกเครื่องที่เข้ามาสแกนพอร์ต ทำให้ไม่สามารถเข้ามาสแกนพอร์ตได้อีกต่อไป แต่โปรแกรมนี้ไม่ได้ทำหน้าที่บล็อกการสื่อสารต่างๆ เช่นเดียวกับที่ไฟร์วอลล์ทำได้ แถมตรวจจับการบุกรุกด้วยวิธีอื่นไม่ได้ (ตรวจได้แค่การสแกนพอร์ตเพียงอย่างเดียว)

อย่างไรก็ตามเครื่องมือนี้ จัดว่ามีประโยชน์ หากสามารถนำไปติดตั้งกับเครื่องคอมพิวเตอร์ได้ทุกเครื่อง เพราะแค่ป้องกันการสแกนพอร์ตเพียงอย่างเดียว ระบบก็มีความปลอดภัยมากขึ้นแล้ว ซอฟต์แวร์นี้ปัจจุบันทำงานได้กับระบบปฏิบัติการตระกูลยูนิกซ์ โดยเน้นไปที่ Linux แต่คาดว่าน่าจะมีเวอร์ชันสำหรับวินโดวส์ในอนาคต โปรแกรมนี้ปัจจุบันยังแจกฟรีอยู่ แต่อนาคตก็ไม่แน่ว่าจะฟรีหรือไม่

10) DSniff

เครื่องมือดักจับแพ็กเกตอีกตัวหนึ่ง มีหลายโปรแกรมอยู่ในชุดเดียวกัน มีความสามารถในการดักจับกับเครือข่ายที่เป็นสวิตช์ ซึ่งโปรแกรมดักจับแพ็กเกตทั่วไปดักจับไม่ได้ โปรแกรมนี้ทำงานได้กับตระกูลยูนิกซ์เท่านั้น แน่นอนครับว่าแจกฟรี

11) Tripwire

โปรแกรมที่ทำหน้าที่ตรวจสอบความถูกต้องของไฟล์และไดเรกทอ รี จุดประสงค์ของโปรแกรมประเภทนี้ คือป้องกันไม่ให้มีผู้นำโปรแกรมประเภทโทรจัน (Trojan) หรือโปรแกรมที่ไม่ได้รับอนุญาตมาปล่อยไว้ในระบบของเรา เพราะโปรแกรมนี้จะคอยตรวจสอบว่ามีผู้นำไฟล์ที่ไม่ผ่านระบบ Tripwire เข้ามาหรือไม่ ถ้ามีก็จะแจ้งเตือนให้ผู้ดูแลระบบตรวจสอบต่อไป โปรแกรมนี้ฟรีสำหรับลีนุกซ์ แต่เสียเงินสำหรับระบบปฏิบัติการวินโดวส์และโซลาริส (Solaris)

12) Cybercop Scanner

เครื่องมือตรวจหาจุดบกพร่องของคอมพิวเตอร์อีกตัว หนึ่ง ซอฟต์แวร์นี้ขายในราคาแพง และไม่มีตัวแทนจำหน่ายในประเทศไทย จึงไม่น่าสนใจมากนัก

13) Hping2

โปรแกรมจำพวก Packet Assembly โดยสามารถจะประกอบแพ็กเกตประเภท ICMP, TCP และ UDP แล้วส่งไปยังเครื่องคอมพิวเตอร์เป้าหมายได้โดยไม่ต้องเขียนโปรแกรม ดังนั้นเราสามารถจะใช้โปรแกรม Hping2 นี้เพื่อทดสอบไฟร์วอลล์ สั่งสแกนพอร์ต และทดสอบระบบเครือข่ายในรูปแบบต่างๆ สามารถส่งได้ทั้งแพ็กเกตแบบปกติ และในแบบที่เป็น Fragment เครื่องมือนี้ยังเหมาะสำหรับผู้ที่ต้องการศึกษาโพรโตคอล TCP/IP อย่างละเอียดด้วย มีใช้งานบนระบบปฏิบัติการตระกูลยูนิกซ์เท่านั้น แล้วก็ฟรีเช่นเคยครับ

14) SARA

ย่อมาจาก Security Auditor?s Research Assistant เป็นเครื่องมืออีกตัวหนึ่งที่พัฒนาขึ้นมาจาก SATAN สำหรับสแกนเพื่อตรวจสอบข้อบกพร่อง โปรแกรมนี้แจกให้ใช้งานฟรี แต่มีเฉพาะบนระบบปฏิบัติการตระกูลยูนิกซ์เท่านั้น

15) Sniffit

โปรแกรม ดักจับแพ็กเกตอีกตัวหนึ่ง สามารถดักจับแพ็กเกต TCP/UDP และ ICMP พร้อมทั้งให้รายละเอียดของข้อมูลในแพ็กเกตอย่างละเอียด จุดเด่นของโปรแกรมนี้ คือมีรายละเอียดของข้อมูลที่ค่อนข้างมาก สามารถแสดงผลลัพธ์ได้หลายรูปแบบ เหมาะสำหรับผู้ที่ต้องการวิเคราะห์เครือข่ายแบบละเอียด โปรแกรมนี้แจกให้ใช้งานฟรี แต่มีเฉพาะบนระบบปฏิบัติการตระกูลยูนิกซ์เท่านั้น
Logo ของ SATAN

16) SATAN

ย่อมาจาก Security Auditing Tool for Analyzing Networks ต้นตระกูลของโปรแกรมตรวจสอบข้อบกพร่องในคอมพิวเตอร์ และถือเป็นตำนานบทหนึ่งของวงการ Security เนื่องจากเป็นเครื่องมือที่ออกมาก่อนใคร มีการทำงานที่เก่งกาจ (ในสมัยนั้น) จึงเป็นเครื่องมือที่มีผู้ใช้งานมาก ปัจจุบันมีหลายโปรแกรมที่พัฒนามาจาก SATAN และหลายโปรแกรมทำได้ดีกว่า แถมยังมีซอฟต์แวร์เชิงพาณิชย์ที่มีความสามารถหลากหลายกว่า ทำให้ SATAN ไม่เป็นที่นิยมเหมือนในอดีต โปรแกรมนี้แจกให้ใช้งานฟรี แต่มีเฉพาะบนระบบปฏิบัติการตระกูลยูนิกซ์เท่านั้น

17) IPFilter

ไฟร์วอลล์ ที่ทำงานบนระบบปฏิบัติการตระกูลยูนิกซ์ ในลักษณะแบบ Packet Filtering (ยังไม่สามารถทำงานแบบ Statefule Inspection ได้) ไฟร์วอลล์นี้หากจะเทียบกับไฟร์วอลล์ที่เป็นซอฟต์แวร์เชิงพาณิชย์คงเทียบไม่ ได้ แต่ข้อดีของไฟร์วอลล์ตัวนี้ คือฟรีพร้อมทั้งซอร์สโค้ดด้วย

18) iptables/netfilter/ipchains/ipfwadm

โปรแกรมไฟร์วอลล์อีกตัวหนึ่ง ที่ทำงานบนระบบปฏิบัติการตระกูลยูนิกซ์ การทำงานของไฟร์วอลล์นี้เป็นเพียงแบบ Packet Filtering เท่านั้น ไม่สามารถทำงานแบบ Statefule Inspection ได้ ไฟร์วอลล์นี้แจกฟรีพร้อมทั้งซอร์สโค้ด เช่นเดียวกัน

19) Firewalk

เป็น เครื่องมือช่วยในการวิเคราะห์เครือข่าย โดยจะมีการทำงานคล้ายกับโปรแกรม Traceroute โดยวิเคราะห์แพ็กเกตที่ตอบสนองจากเราเตอร์ เพื่อตรวจสอบรูปแบบของเครือข่าย และตรวจสอบการกรองข้อมูลของเราเตอร์ โปรแกรมนี้แจกให้ใช้งานฟรี แต่มีเฉพาะบนระบบปฏิบัติการตระกูลยูนิกซ์เท่านั้น

20) Strobe

โปรแกรม ประเภทสแกนพอร์ต (Port Scanner) ซึ่งแม้ว่าจะไม่มีความสามารถขนาดโปรแกรม NMAP แต่ก็มีการทำงานที่รวดเร็ว

เครดิต:boopakon

ไม่มีความคิดเห็น:

แสดงความคิดเห็น