ネットワークエンジニアのためのセキュリティツール
目次
ネットワークエンジニアや管理者として長く働くと、Nmap、Wireshark、tcpdump、Nessus、Greenbone、Burp Suite、Shodan、Suricata、Snort、Kali Linux、Metasploit、Hashcat、Cobalt Strike などの名前を何度も目にします。
一部は基本ツールで、一部は AppSec、forensics、blue team、red team 向けです。重要なのは、security tool が自動的に hacker tool になるわけではないということです。許可、対象、文書化、目的が文脈を決めます。
ツールが真面目なものか危険なものかは名前ではなく、使われる文脈で決まります。
この記事の例は、自分の systems、labs、staging、または明示的に許可された tests のためのものです。インストール例は apt を使う Linux を前提にしています。
正しい作業環境
本格的な network analysis には日常用 laptop ではなく、専用 Linux machine、分離した VMs、snapshots、isolated lab、暗号化された customer data を使う方が安全です。
- 日常用マシン: communication、documentation、tickets、password manager。
- Linux analysis machine: encrypted disks、packet capture、network diagnostics、labs、複数 VM 用 RAM。
- Security VMs: Kali/Parrot は red team/AppSec、Debian/Ubuntu は admin と blue team。
- Network hardware: USB Ethernet、managed switch、VLAN、mirror/SPAN。
- Wi-Fi hardware: monitor mode と packet injection 対応 USB Wi-Fi adapter。authorized tests のみ。
- Isolated lab: test targets、意図的に脆弱な systems、分離した project folders。
- Customer environment: approval、scope、time window、clear contact がある場合のみ。
まず階層を分ける
Tool は特定の作業を行います。Framework は modules と workflows を提供します。Platform は data、users、reporting を統合します。Distribution は作業環境そのものです。Concept である SIEM や IDS/IPS は solution class です。
Visibility: 基礎
Nmap
sudo apt install nmap
nmap -sV scanme.nmap.org
nmap -Pn -p 22,80,443 scanme.nmap.org
mkdir -p scans
nmap -sV -oA scans/scanme-baseline scanme.nmap.org
nmap -sV 192.168.1.0/24
tcpdump
sudo apt install tcpdump
sudo tcpdump -D
sudo tcpdump -i eth0 -nn port 53
sudo tcpdump -i eth0 -nn host 192.0.2.10
sudo tcpdump -i eth0 -nn -w debug.pcap
Wireshark
sudo apt install wireshark
Wireshark は DNS、TLS、TCP、VoIP、SMB、LDAP、pcap analysis に役立ちます。
Shodan
Shodan は Internet に露出した systems を外部視点で示します。
Censys
Censys は public hosts、certificates、services を internal inventory と照合するのに役立ちます。
Maltego
Maltego は domains、IP、people、organizations、infrastructure の OSINT relations を可視化します。
theHarvester
theHarvester -d example.com -b crtsh
Recon-ng
Recon-ng は OSINT framework です。
Amass
amass enum -passive -d example.com
OSINT Framework
OSINT Framework は OSINT sources の地図です。
Gobuster
sudo apt install gobuster
gobuster dir -u https://staging.example.test -w wordlists/small.txt
gobuster vhost -u https://example.test -w wordlists/vhosts.txt
Vulnerabilities と hardening
CVSS は技術的な深刻度、EPSS は exploitation probability、CISA KEV は実際に悪用されている vulnerabilities を示します。
Greenbone / OpenVAS
Greenbone/OpenVAS は vulnerability scanning stack です。
Nessus
Nessus は Tenable の commercial scanner です。
Lynis
sudo apt install lynis
sudo lynis audit system
HCL AppScan
HCL AppScan は AppSec と DevSecOps 向けです。
InsightVM / Nexpose
InsightVM/Nexpose は risk prioritization に役立ちます。
Retina
Retina は現在ほぼ legacy context です。
Web Application Security
Burp Suite
Burp Suite は authorized web testing の中心的 proxy です。
ZAP
ZAP は free web scanner/proxy です。
Nikto
sudo apt install nikto
nikto -host https://staging.example.test
WPScan
wpscan --url https://wp-staging.example.test
SQLMap
SQLMap は公開の operational examples には近すぎる tool です。
AppSpider
AppSpider は Rapid7 の DAST product です。
Passwords と authentication
John the Ripper
sudo apt install john
john --wordlist=policy-test.txt hashes.txt
john --show hashes.txt
Hashcat
sudo apt install hashcat
hashcat -m 0 hashes.txt policy-test.txt
Ophcrack
Ophcrack は主に historical です。
Hydra / THC-Hydra
Hydra は online logins をテストするため、明確な scope が必要です。
Medusa
Medusa は Hydra と似ています。
Cain & Abel
Cain & Abel は古い Windows tool です。
Wireless Security
Aircrack-ng
sudo apt install aircrack-ng
Wifite
Wifite は Wi-Fi audit を自動化します。
Kismet
Kismet は Wi-Fi monitoring 用です。
AirSnort
AirSnort は WEP history の一部です。
NetStumbler
NetStumbler は legacy です。
Reaver
Reaver は WPS risk を思い出させます。
Blue team、monitoring、detection
SIEM
SIEM は logs を collect、normalize、correlate して alerts を出します。
Splunk
Splunk は一般的な security data platform です。
Elastic Stack
Elastic Stack は logs、search、dashboards を提供します。
IDS/IPS
IDS は detect、IPS は block できます。
Suricata
sudo apt install suricata
mkdir -p suricata-logs
suricata -r sample.pcap -k none -l ./suricata-logs
Snort
snort -r sample.pcap
snort -c /usr/local/etc/snort/snort.lua -r sample.pcap -A alert_fast
snort -R local.rules -r sample.pcap -A alert_fast
Zeek
zeek -r sample.pcap
ls *.log
NetFlow / IPFIX
NetFlow/IPFIX は flow metadata です。
Full Packet Capture
Full Packet Capture は完全な traffic を保存します。
OSSEC
OSSEC は host-based IDS です。
短い補足: OSCO、OSSEC、OSSIM?
OSCO はここでは確立した名前ではありません。OSSEC または OSSIM を確認します。
Forensics と incident response
The Sleuth Kit
sudo apt install sleuthkit
Autopsy
Autopsy は graphical forensic platform です。
Volatility
vol -f memory.raw windows.info
vol -f memory.raw windows.pslist
Guymager
Guymager は forensic images を作成します。
Foremost
sudo apt install foremost
foremost -i disk-image.raw -o recovered-files
Binwalk
sudo apt install binwalk
binwalk firmware.bin
binwalk -e firmware.bin
Red team と high-risk dual-use
Metasploit Framework
msfconsole
ExploitDB
ExploitDB は risk の理解に役立ちます。
Core Impact
Core Impact は commercial pentest platform です。
Cobalt Strike
Cobalt Strike は licensed かつ authorized engagements のみです。
GoPhish
GoPhish は phishing simulations 用です。
HiddenEye
HiddenEye は misuse に近い tool です。
SocialFish
SocialFish も同じ領域です。
EvilURL
EvilURL は lookalike domains に関係します。
Evilginx
Evilginx は traditional MFA の限界を示します。
作業環境としての distributions
Kali Linux
Kali は security distribution です。
Parrot OS
Parrot OS は security/privacy distribution です。
Security Onion
Security Onion は NSM、threat hunting、logs、incident response に焦点を当てます。
ネットワークエンジニアとして持っておきたいもの
Visibility: Nmap, tcpdump, Wireshark.
External surface: Shodan, Censys, Amass, theHarvester.
Hardening: Lynis, Greenbone/OpenVAS, Nessus.
Web: Burp Suite, ZAP, Nikto, WPScan.
Detection: Suricata, Snort, OSSEC, SIEM.
NSM: Zeek, Security Onion, NetFlow/IPFIX, Full Packet Capture.
Forensics: Autopsy, The Sleuth Kit, Volatility, Guymager, Foremost, Binwalk.
Red team: Metasploit, Cobalt Strike, Core Impact, SQLMap, GoPhish, Evilginx は mandate と scope がある場合のみ。
結論
最良の toolkit は最も長いリストではなく、各 tool の理由が分かっているものです。
また次回、
Joe
