Metasploit

Testowanie podatności to kolejny krok. Na rynku open source pojawiło się co najmniej kilka propozycji w tym zakresie. Są narzędzia specjalizowane, np. PIRANA do testowania wiadomości e-mail (http://www.guay-leroux.com/), czy W3AF do badania aplikacji webowych (w3af.sourceforge.net). Są też platformy bardziej uniwersalne, takie jak Security Forest Exploitation Framework (securityforest.com), i najpopularniejszy chyba Metasploit (metasploit.org). Metasploit od czasu powstania w 2003 r. przeszło poważną metamorfozę. Pierwsze dwie wersje zbudowano na podstawie języka Perl. Natomiast najnowsza seria, oznaczona numerem 3, została napisana od nowa, tym razem w Ruby. Do tego dostajemy ponad 300 gotowych exploitów. W aktualnej wersji podczas "odpalania" exploitów mamy komfort posługiwania się GUI, a nie tylko linią poleceń, jak to miało miejsce dotychczas.

Przytoczony exploit w normalnych warunkach ma małe szanse powodzenia. Jego prawidłowe wykonanie zależy od wielu dodatkowych błędów w konfiguracji systemu. W przypadku tej konkretnej podatności znacznie skuteczniejsze będą gotowe exploity… Obrazuje on jednak możliwości Metasploita. Platforma ta ma również inne ciekawe funkcje, np. dzięki opcji autopwn zyskujemy możliwość automatyzacji zadań. Jeżeli więc w laboratorium mamy całą podsieć do zbadania, wszystkie możemy przeskanować (polecenie db_nmap), przechować wyniki w bazie danych (np. SQLite czy MySQL), a następnie wykonać na wynikach exploit.

Snort/Sguil/Squert

Ikoną open source‘owego bezpieczeństwa jest Snort. Nie można go pominąć w naszym zestawieniu. Narzędzie to dostępne jest od ponad 10 lat. Okazało się na tyle udanym projektem, że powstała jego komercyjna wersja rozwijana przez firmę Sourcefire. W roku 2005 ochotę na to narzędzie miał Check Point - nie udało się. W roku 2008 z kolei do Sourcefire przymierzała się Barracuda - i znowu nic. Takie zainteresowanie nie bierze się znikąd.

Bez względu jednak na to, czy używamy Snorta w wersji darmowej, czy komercyjnej - otrzymujemy sprawdzony system wykrywania włamań, i nie tylko. W związku z tym, że w Snorcie możemy pisać własne, rozbudowane reguły, niektórzy "ekstremiści" wykorzystują go jako system antywirusowy. Snort oprócz typowych funkcji IDS-a, może być wykorzystywany jako sniffer, dzięki któremu wychwycimy określone informacje opuszczające sieć firmową, np. poprzez komunikatory. Możemy również zbudować "napompowany" router bezprzewodowy (np. Linksys), rozbudowując go po zainstalowaniu OpentWRT o moduł Snort. Jeżeli doinstalujemy do IPS-a Oinkmastera (oinkmaster.sourceforge.net), to nie będziemy musieli martwić się o ręczne aktualizacje reguł - Oink wykona to automatycznie.