أدوات الأمن لمهندسي الشبكات
جدول المحتويات
عندما تعمل مدة كافية كمهندس شبكات أو مدير أنظمة، ستتكرر أسماء مثل Nmap وWireshark وtcpdump وNessus وGreenbone وBurp Suite وShodan وSuricata وSnort وKali Linux وMetasploit وHashcat وCobalt Strike.
بعضها أدوات أساسية، وبعضها أقرب إلى AppSec أو forensics أو blue team أو red team. المهم: أداة الأمن ليست تلقائياً أداة اختراق. السياق والتفويض والهدف والتوثيق هي التي تحدد ذلك.
الأداة لا تصبح مهنية أو خطيرة بسبب اسمها، بل بسبب السياق الذي تُستخدم فيه.
كل الأمثلة هنا تخص أنظمتك أو مختبراتك أو بيئات staging أو اختبارات مصرحاً بها. أمثلة التثبيت مبنية على Linux مع apt.
بيئة العمل الصحيحة
للتحليل الجاد للشبكات لا أستخدم جهاز العمل اليومي. الأفضل جهاز Linux مخصص، وVMs منفصلة، وsnapshots، ومختبر معزول، وبيانات عملاء محمية.
- الجهاز اليومي: تواصل، توثيق، تذاكر، password manager.
- جهاز تحليل Linux: أقراص مشفرة، packet capture، تشخيص شبكات، مختبرات محلية، وRAM كافٍ لعدة VMs.
- VMs أمنية: Kali/Parrot لـ red team/AppSec وDebian/Ubuntu للإدارة وblue team.
- عتاد الشبكة: USB Ethernet، switch managed، VLAN، وmirror/SPAN.
- عتاد Wi-Fi: محول USB Wi-Fi يدعم monitor mode وpacket injection فقط لاختبارات مصرح بها.
- مختبر معزول: أهداف اختبار وأنظمة ضعيفة عمداً ومجلدات مشاريع منفصلة.
- بيئة العميل: فقط بموافقة وscope ووقت وشخص تواصل واضح.
افصل الطبقات أولاً
Tool ينفذ مهمة واحدة. Framework يوفر modules وworkflows. Platform تجمع البيانات والمستخدمين والتقارير. Distribution مثل Kali هي بيئة عمل كاملة. Concept مثل SIEM أو IDS/IPS هو نوع حل.
الرؤية: الأساس
Nmap
sudo apt install nmap
nmap -sV scanme.nmap.org
nmap -Pn -p 22,80,443 scanme.nmap.org
mkdir -p scans
nmap -sV -oA scans/scanme-baseline scanme.nmap.org
nmap -sV 192.168.1.0/24
tcpdump
sudo apt install tcpdump
sudo tcpdump -D
sudo tcpdump -i eth0 -nn port 53
sudo tcpdump -i eth0 -nn host 192.0.2.10
sudo tcpdump -i eth0 -nn -w debug.pcap
Wireshark
sudo apt install wireshark
Wireshark يساعد في فهم DNS وTLS وTCP وVoIP وSMB وLDAP وملفات pcap.
Shodan
Shodan يوضح الأنظمة المكشوفة على الإنترنت من الخارج.
Censys
Censys يساعد في مقارنة hosts وcertificates والخدمات العامة مع inventory الداخلي.
Maltego
Maltego يوضح علاقات OSINT بين domains وIP والأشخاص والمنظمات والبنية التحتية.
theHarvester
theHarvester -d example.com -b crtsh
Recon-ng
Recon-ng هو framework لـ OSINT.
Amass
amass enum -passive -d example.com
OSINT Framework
OSINT Framework خريطة لمصادر OSINT.
Gobuster
sudo apt install gobuster
gobuster dir -u https://staging.example.test -w wordlists/small.txt
gobuster vhost -u https://example.test -w wordlists/vhosts.txt
الثغرات وhardening
CVSS يصف الشدة التقنية، EPSS احتمال الاستغلال، وCISA KEV الثغرات المستغلة فعلاً.
Greenbone / OpenVAS
Greenbone/OpenVAS منصة vulnerability scanning.
Nessus
Nessus ماسح تجاري من Tenable.
Lynis
sudo apt install lynis
sudo lynis audit system
HCL AppScan
HCL AppScan يخص AppSec وDevSecOps.
InsightVM / Nexpose
InsightVM/Nexpose يساعدان على ترتيب المخاطر.
Retina
Retina أصبح غالباً legacy.
Web Application Security
Burp Suite
Burp Suite proxy مهم لاختبارات web المصرح بها.
ZAP
ZAP scanner/proxy حر للويب.
Nikto
sudo apt install nikto
nikto -host https://staging.example.test
WPScan
wpscan --url https://wp-staging.example.test
SQLMap
SQLMap قوي جداً ولا يناسب أمثلة تشغيل عامة.
AppSpider
AppSpider منتج DAST من Rapid7.
كلمات المرور والمصادقة
John the Ripper
sudo apt install john
john --wordlist=policy-test.txt hashes.txt
john --show hashes.txt
Hashcat
sudo apt install hashcat
hashcat -m 0 hashes.txt policy-test.txt
Ophcrack
Ophcrack مهم تاريخياً أكثر.
Hydra / THC-Hydra
Hydra يختبر logins online ويحتاج scope واضحاً جداً.
Medusa
Medusa مشابه لـ Hydra.
Cain & Abel
Cain & Abel أداة Windows قديمة.
Wireless Security
Aircrack-ng
sudo apt install aircrack-ng
Wifite
Wifite يؤتمت تدقيق Wi-Fi.
Kismet
Kismet لمراقبة Wi-Fi.
AirSnort
AirSnort من تاريخ WEP.
NetStumbler
NetStumbler legacy.
Reaver
Reaver يوضح مخاطر WPS.
Blue team والمراقبة والكشف
SIEM
SIEM يجمع logs ويطبعها ويحللها ويرسل alerts.
Splunk
Splunk منصة بيانات تستخدم كثيراً كأساس SIEM.
Elastic Stack
Elastic Stack يوفر logs وsearch وdashboards.
IDS/IPS
IDS يكتشف، وIPS يمكن أن يمنع.
Suricata
sudo apt install suricata
mkdir -p suricata-logs
suricata -r sample.pcap -k none -l ./suricata-logs
Snort
snort -r sample.pcap
snort -c /usr/local/etc/snort/snort.lua -r sample.pcap -A alert_fast
snort -R local.rules -r sample.pcap -A alert_fast
Zeek
zeek -r sample.pcap
ls *.log
NetFlow / IPFIX
NetFlow/IPFIX metadata للتدفقات وليست payload.
Full Packet Capture
Full Packet Capture يحفظ traffic كاملاً ويحتاج عناية.
OSSEC
OSSEC هو IDS على مستوى host.
ملاحظة قصيرة: OSCO أم OSSEC أم OSSIM؟
OSCO ليس اسماً مستقراً هنا؛ سأتحقق من OSSEC أو OSSIM.
Forensics وincident response
The Sleuth Kit
sudo apt install sleuthkit
Autopsy
Autopsy منصة forensics رسومية.
Volatility
vol -f memory.raw windows.info
vol -f memory.raw windows.pslist
Guymager
Guymager ينشئ صور forensic.
Foremost
sudo apt install foremost
foremost -i disk-image.raw -o recovered-files
Binwalk
sudo apt install binwalk
binwalk firmware.bin
binwalk -e firmware.bin
Red team وdual-use عالي الخطورة
Metasploit Framework
msfconsole
ExploitDB
ExploitDB يساعد في فهم المخاطر.
Core Impact
Core Impact منصة pentest تجارية.
Cobalt Strike
Cobalt Strike لا يناسب إلا اختبارات مرخصة ومصرحاً بها.
GoPhish
GoPhish لمحاكاة phishing وawareness.
HiddenEye
HiddenEye قريب من سوء الاستخدام.
SocialFish
SocialFish مشابه.
EvilURL
EvilURL يتعلق بـ lookalike domains.
Evilginx
Evilginx يوضح حدود MFA التقليدي.
التوزيعات كبيئة عمل
Kali Linux
Kali توزيعة أمنية.
Parrot OS
Parrot OS توزيعة security/privacy.
Security Onion
Security Onion يركز على NSM وthreat hunting وlogs وincident response.
ما الذي آخذه كمهندس شبكات
Visibility: Nmap, tcpdump, Wireshark.
External surface: Shodan, Censys, Amass, theHarvester.
Hardening: Lynis, Greenbone/OpenVAS, Nessus.
Web: Burp Suite, ZAP, Nikto, WPScan.
Detection: Suricata, Snort, OSSEC, SIEM.
NSM: Zeek, Security Onion, NetFlow/IPFIX, Full Packet Capture.
Forensics: Autopsy, The Sleuth Kit, Volatility, Guymager, Foremost, Binwalk.
Red team: Metasploit, Cobalt Strike, Core Impact, SQLMap, GoPhish, Evilginx فقط بتفويض وscope.
الخلاصة
أفضل مجموعة أدوات ليست الأطول، بل التي تعرف سبب وجود كل أداة فيها.
إلى اللقاء،
Joe
