Strumenti di sicurezza per ingegneri di rete

20 giugno 2026 • 9 min read

Indice dei contenuti

Chi lavora a lungo come ingegnere di rete o amministratore incontra sempre gli stessi nomi: Nmap, Wireshark, tcpdump, Nessus, Greenbone, Burp Suite, Shodan, Suricata, Snort, Kali Linux, Metasploit, Hashcat, Cobalt Strike e molti altri.

Alcuni appartengono alla dotazione di base. Altri sono strumenti specialistici per AppSec, forensics, blue team o red team. Altri ancora vanno conosciuti per classificarli correttamente, anche se non li useresti mai in produzione.

Il punto decisivo è: uno strumento di sicurezza non è automaticamente uno strumento da hacker. Conta il mandato, il sistema target, l’autorizzazione, la documentazione e lo scopo.

Uno strumento non diventa serio o pericoloso per il suo nome, ma per il contesto in cui viene usato.

Questo articolo non è una classifica né una guida di attacco. È scritto dal punto di vista di un ingegnere di rete che vuole capire quali strumenti aiutano nel lavoro quotidiano, quali appartengono ai team security e dove serve prudenza.

Tutti gli esempi appartengono a sistemi propri, laboratori, staging o test esplicitamente autorizzati. Appena entra in gioco un target terzo senza permesso, il limite è superato.

Gli esempi di installazione sono pensati per Linux, soprattutto Debian, Ubuntu, Kali o sistemi simili con apt. Un ambiente professionale è più chiaro se parte da un sistema Linux separato.

L’ambiente di lavoro giusto

Per analisi di rete serie non userei il mio MacBook Air quotidiano. Una macchina usata per mail, dati clienti, sessioni browser, password e accessi produttivi è troppo vicina a ciò che va separato.

È più professionale una macchina Linux dedicata. Gli strumenti girano nativamente, le schede di rete si controllano meglio e catture, routing, VLAN e permessi sono più gestibili. Molti strumenti però stanno meglio in VM, perché snapshot e separazione per progetto permettono rollback puliti.

Un setup realistico:

Macchina quotidiana: comunicazione, documentazione, ticket, password manager, portali admin.
Macchina Linux di analisi: dischi cifrati, packet capture, diagnostica, lab locali, scan lunghi, RAM per più VM.
VM di sicurezza: Kali o Parrot per red team/AppSec, Debian/Ubuntu per admin e blue team, snapshot prima di test rischiosi.
Hardware di rete: adattatore USB Ethernet, 2.5G/10G se serve, switch managed con VLAN e porta mirror/SPAN.
Hardware Wi-Fi: adattatore USB Wi-Fi supportato da Linux per monitor mode e packet injection, solo per test autorizzati.
Lab isolato: target di test, sistemi vulnerabili intenzionalmente, domini propri, staging propri, cartelle progetto separate.
Ambiente cliente: solo con approvazione, scope documentato, finestra definita e contatto chiaro.

In modo molto professionale ci sono anche segmenti separati: management, lab, un sensore con Suricata o Zeek e una piattaforma log centrale. Per il Wi-Fi una VM è spesso solo metà soluzione; serve passthrough USB pulito verso l’adattatore giusto.

Separare prima i livelli

Un tool ha un compito preciso. Nmap scansiona reti, tcpdump cattura pacchetti, Lynis controlla hardening.

Un framework è un ambiente estendibile: Metasploit, Recon-ng o Volatility.

Una piattaforma unisce funzioni, utenti, sorgenti dati, reporting e integrazioni: Splunk, Censys, Maltego, Nessus, InsightVM, Core Impact o Cobalt Strike.

Una distribuzione è un sistema completo con strumenti preinstallati, come Kali Linux o Parrot OS.

Un concetto di sicurezza è più astratto: SIEM e IDS/IPS sono classi di sistemi, non singoli programmi.

Visibilità: la base più importante

Come ingegnere di rete non parto dagli exploit. Parto dalla visibilità: quali sistemi esistono, quali porte sono aperte, quali pacchetti passano davvero e quali log ho?

Nmap

Nmap risponde alla domanda: cosa è raggiungibile in rete?

sudo apt install nmap

# Version check contro un target di test approvato da Nmap
nmap -sV scanme.nmap.org

# Controllare solo porte specifiche
nmap -Pn -p 22,80,443 scanme.nmap.org

# Salvare risultati per confronti futuri
mkdir -p scans
nmap -sV -oA scans/scanme-baseline scanme.nmap.org

# Scansionare una rete interna propria solo con autorizzazione
nmap -sV 192.168.1.0/24

tcpdump

tcpdump è packet capture diretto e veloce.

sudo apt install tcpdump

# Mostrare le interfacce
sudo tcpdump -D

# Osservare traffico DNS su un'interfaccia
# I nomi variano: eth0, ens18 o wlan0
sudo tcpdump -i eth0 -nn port 53

# Catturare traffico verso un host
sudo tcpdump -i eth0 -nn host 192.0.2.10

# Salvare una capture per Wireshark
sudo tcpdump -i eth0 -nn -w debug.pcap

Wireshark

Wireshark aiuta quando tcpdump non basta più. È utile per HTTP/TLS, DNS, ritrasmissioni TCP, VoIP, SMB, LDAP e pcaps da firewall o server.

sudo apt install wireshark

Shodan

Shodan mostra sistemi esposti su Internet. Lo uso come specchio della mia superficie esterna, non come strumento di attacco.

Censys

Censys è simile a Shodan ma più orientato a esposizione, certificati, host e attack-surface management.

Maltego

Maltego rende visibili relazioni OSINT tra domini, IP, persone, organizzazioni, email e infrastruttura.

theHarvester

# Usare solo contro domini propri o autorizzati
theHarvester -d example.com -b crtsh

Le fonti cambiano: alcune richiedono API key o non restituiscono sempre risultati.

Recon-ng

Recon-ng è un framework OSINT con workspace e moduli per workflow ripetibili.

Amass

# Enumerazione passiva di un dominio proprio o autorizzato
amass enum -passive -d example.com

Controllerei sempre versione e sintassi locale.

OSINT Framework

OSINT Framework è una raccolta di link per trovare fonti OSINT adatte.

Gobuster

Gobuster enumera percorsi web, DNS e virtual host.

sudo apt install gobuster

# Target lab o staging, non siti terzi
gobuster dir -u https://staging.example.test -w wordlists/small.txt

# Enumerazione VHost nel proprio lab
gobuster vhost -u https://example.test -w wordlists/vhosts.txt

Vulnerabilità e hardening

Dopo la visibilità viene la domanda: cosa è vulnerabile, obsoleto o configurato male? CVSS descrive la gravità tecnica, EPSS la probabilità di sfruttamento, CISA KEV ciò che è già sfruttato.

Greenbone / OpenVAS

OpenVAS oggi va letto nel contesto Greenbone. È uno stack di scanning e gestione, non un piccolo tool CLI.

Nessus

Nessus è uno scanner commerciale Tenable. Lo userei con finestre chiare, target definiti e possibilmente scan autenticati.

Lynis

sudo apt install lynis

sudo lynis audit system

HCL AppScan

HCL AppScan è una linea AppSec per test web, API e software, più vicina a DevSecOps che al puro networking.

InsightVM / Nexpose

InsightVM e Nexpose appartengono al vulnerability management Rapid7 e aiutano nella priorizzazione del rischio.

Retina

Retina è oggi soprattutto legacy; BeyondTrust ha annunciato nel 2020 l’uscita da quel mercato.

Web Application Security

Gli strumenti web sono dual-use e vanno usati solo su applicazioni proprie o autorizzate.

Burp Suite

Burp Suite è un proxy e tool centrale per Web Application Security.

ZAP

ZAP è un proxy/scanner web libero, oggi ZAP o ZAP by Checkmarx.

Nikto

sudo apt install nikto

nikto -host https://staging.example.test

WPScan

wpscan --url https://wp-staging.example.test

SQLMap

SQLMap automatizza test SQL injection. Non pubblicherei esempi operativi.

AppSpider

AppSpider è un prodotto DAST Rapid7 per test ripetibili.

Password e autenticazione

Questi strumenti richiedono autorizzazione pulita, dati isolati e documentazione.

John the Ripper

sudo apt install john

# Usare solo con hash di test autorizzati
john --wordlist=policy-test.txt hashes.txt
john --show hashes.txt

Hashcat

sudo apt install hashcat

# Solo con hash e wordlist propri
hashcat -m 0 hashes.txt policy-test.txt

Ophcrack

Ophcrack è storico per scenari Windows vecchi.

Hydra / THC-Hydra

Hydra testa credenziali online contro servizi di rete; niente comandi pubblici.

Medusa

Medusa è simile a Hydra. Per il blue team contano i pattern: molti login falliti, fonti distribuite, lockout e MFA prompt.

Cain & Abel

Cain & Abel è uno strumento Windows storico, non una raccomandazione moderna.

Wireless Security

Gli audit Wi-Fi dipendono da hardware, driver, radio e autorizzazione.

Aircrack-ng

sudo apt install aircrack-ng

Wifite

Wifite automatizza workflow Wi-Fi ed è quindi comodo ma sensibile.

Kismet

Kismet serve per monitoring e survey Wi-Fi.

AirSnort

AirSnort appartiene alla storia di WEP.

NetStumbler

NetStumbler è un vecchio tool Windows per discovery Wi-Fi.

Reaver

Reaver appartiene al contesto WPS; la lezione è disabilitare WPS.

Blue team, monitoring e detection

SIEM

Un SIEM raccoglie, normalizza, correla e rende cercabili i log.

Splunk

Splunk è una piattaforma dati spesso usata come base SIEM.

Elastic Stack

Elastic Stack offre log, ricerca, dashboard e security use case.

IDS/IPS

IDS rileva, IPS può bloccare. Il valore dipende da posizionamento, regole e tuning.

Suricata

sudo apt install suricata

mkdir -p suricata-logs
suricata -r sample.pcap -k none -l ./suricata-logs

Snort

# Avvio semplice Snort 3 con pcap
snort -r sample.pcap

# Esempio con alert e configurazione Snort 3
snort -c /usr/local/etc/snort/snort.lua -r sample.pcap -A alert_fast

# Alternativa in lab con regole locali
snort -R local.rules -r sample.pcap -A alert_fast

Zeek

zeek -r sample.pcap
ls *.log

NetFlow / IPFIX

NetFlow/IPFIX sono metadati di flusso, non payload.

Full Packet Capture

Full Packet Capture salva traffico completo; Arkime, Stenographer e Security Onion possono renderlo consultabile.

OSSEC

OSSEC è un IDS host-based.

Breve excursus: OSCO, OSSEC o OSSIM?

OSCO non è un nome consolidato qui; verificherei se si intende OSSEC o OSSIM.

Forensics e incident response

The Sleuth Kit

sudo apt install sleuthkit

Autopsy

Autopsy è la piattaforma grafica basata su The Sleuth Kit.

Volatility

vol -f memory.raw windows.info
vol -f memory.raw windows.pslist

Guymager

Guymager crea immagini forensi bit a bit.

Foremost

sudo apt install foremost

foremost -i disk-image.raw -o recovered-files

Binwalk

sudo apt install binwalk

binwalk firmware.bin
binwalk -e firmware.bin

Red team e dual-use ad alto rischio

Metasploit Framework

msfconsole

ExploitDB

ExploitDB è una banca dati di exploit e proof of concept.

Core Impact

Core Impact è una piattaforma commerciale di pentest.

Cobalt Strike

Cobalt Strike appartiene solo a contesti autorizzati e licenziati.

GoPhish

GoPhish serve per simulazioni phishing e awareness.

HiddenEye

HiddenEye è vicino all’abuso e non è un tool aziendale normale.

SocialFish

SocialFish è simile a HiddenEye.

EvilURL

EvilURL tratta domini lookalike e homograph.

Evilginx

Evilginx mostra perché MFA classica non è sempre phishing-resistant.

Distribuzioni come ambiente

Kali Linux

Kali è una distribuzione security per pentesting, forensics e research.

Parrot OS

Parrot OS è un’altra distribuzione security/privacy da usare in modo isolato.

Security Onion

Security Onion è orientata a monitoring, threat hunting, log management e incident response.

Cosa terrei davvero come ingegnere di rete

Per visibilità: Nmap, tcpdump, Wireshark.

Per superficie esterna: Shodan, Censys, Amass, theHarvester.

Per hardening e vulnerabilità: Lynis, Greenbone/OpenVAS, Nessus.

Per web: Burp Suite, ZAP, Nikto, WPScan.

Per detection: Suricata, Snort, OSSEC, più un SIEM o log stack.

Per Network Security Monitoring: Zeek, Security Onion, NetFlow/IPFIX e Full Packet Capture.

Per forensics: Autopsy, The Sleuth Kit, Volatility, Guymager, Foremost, Binwalk.

Per red team: Metasploit, Cobalt Strike, Core Impact, SQLMap, GoPhish, Evilginx solo con mandato, scope ed esperienza.

Conclusione

Il miglior kit di sicurezza non è il più lungo, ma quello in cui sai perché ogni strumento è presente.

Per me il confine non è “tool admin” contro “tool hacker”, ma uso responsabile contro uso non autorizzato.

Alla prossima,
Joe