trueNetLab logo
PT
Ferramentas de segurança para engenheiros de rede

Ferramentas de segurança para engenheiros de rede

6 min read
Network Security

Índice

Quem trabalha tempo suficiente como engenheiro de rede ou administrador encontra sempre os mesmos nomes: Nmap, Wireshark, tcpdump, Nessus, Greenbone, Burp Suite, Shodan, Suricata, Snort, Kali Linux, Metasploit, Hashcat, Cobalt Strike e muitos outros.

Algumas fazem parte do kit básico. Outras são especializadas para AppSec, forense, blue team ou red team. Outras vale conhecer apenas para classificar corretamente.

Uma ferramenta não se torna séria ou perigosa pelo nome, mas pelo contexto em que é usada.

Este artigo não é ranking nem guia de ataque. Ele olha para as ferramentas do ponto de vista de redes, operação e segurança responsável.

Todos os exemplos pertencem a sistemas próprios, labs, staging ou testes explicitamente autorizados.

Os exemplos de instalação usam Linux com apt, como Debian, Ubuntu ou Kali.

O ambiente de trabalho correto

Para análise séria de rede eu não usaria meu MacBook Air do dia a dia. O ambiente profissional é um Linux dedicado, com VMs separadas, snapshots, projetos isolados e dados de cliente protegidos.

  • Máquina diária: comunicação, tickets, documentação, password manager.
  • Máquina Linux de análise: discos criptografados, packet capture, diagnóstico, labs e RAM para VMs.
  • VMs de segurança: Kali/Parrot para red team/AppSec, Debian/Ubuntu para admin e blue team.
  • Hardware de rede: USB Ethernet, switch managed, VLANs e porta mirror/SPAN.
  • Hardware Wi-Fi: adaptador USB Wi-Fi com monitor mode e packet injection apenas para testes autorizados.
  • Lab isolado: alvos de teste, sistemas vulneráveis intencionalmente e pastas por projeto.
  • Ambiente do cliente: somente com aprovação, escopo, janela e contato claro.

Separar as camadas

Uma ferramenta faz uma tarefa. Um framework traz módulos e fluxos. Uma plataforma une dados, usuários e relatórios. Uma distribuição é o sistema completo. Um conceito como SIEM ou IDS/IPS é uma classe de solução.

Visibilidade: a base

Nmap

Nmap mostra o que está acessível na rede.

sudo apt install nmap

nmap -sV scanme.nmap.org
nmap -Pn -p 22,80,443 scanme.nmap.org
mkdir -p scans
nmap -sV -oA scans/scanme-baseline scanme.nmap.org
nmap -sV 192.168.1.0/24

tcpdump

tcpdump captura pacotes de forma direta.

sudo apt install tcpdump

sudo tcpdump -D
sudo tcpdump -i eth0 -nn port 53
sudo tcpdump -i eth0 -nn host 192.0.2.10
sudo tcpdump -i eth0 -nn -w debug.pcap

Wireshark

Wireshark ajuda a entender protocolos, erros DNS, TLS, TCP, VoIP, SMB, LDAP e pcaps de firewalls.

sudo apt install wireshark

Shodan

Shodan mostra sistemas expostos na Internet e ajuda a entender a visão externa da própria infraestrutura.

Censys

Censys ajuda a comparar certificados, hosts e serviços visíveis com o inventário interno.

Maltego

Maltego mostra relações OSINT entre domínios, IPs, pessoas, organizações e infraestrutura.

theHarvester

theHarvester -d example.com -b crtsh

Recon-ng

Recon-ng estrutura workflows OSINT repetíveis.

Amass

amass enum -passive -d example.com

OSINT Framework

OSINT Framework é um mapa de fontes OSINT.

Gobuster

sudo apt install gobuster

gobuster dir -u https://staging.example.test -w wordlists/small.txt
gobuster vhost -u https://example.test -w wordlists/vhosts.txt

Vulnerabilidades e hardening

CVSS mostra severidade técnica, EPSS probabilidade de exploração e CISA KEV vulnerabilidades já exploradas. Isso deve ser combinado com exposição real.

Greenbone / OpenVAS

Greenbone/OpenVAS é um stack de vulnerability scanning e gestão.

Nessus

Nessus é um scanner comercial da Tenable, útil com escopo e janela claros.

Lynis

sudo apt install lynis
sudo lynis audit system

HCL AppScan

HCL AppScan pertence a AppSec e DevSecOps.

InsightVM / Nexpose

InsightVM/Nexpose ajuda a priorizar risco e exposição.

Retina

Retina é legado; o portfólio antigo foi descontinuado.

Web Application Security

Burp Suite

Burp Suite é um proxy central para testes web autorizados.

ZAP

ZAP é um scanner/proxy livre para DAST e labs.

Nikto

sudo apt install nikto
nikto -host https://staging.example.test

WPScan

wpscan --url https://wp-staging.example.test

SQLMap

SQLMap é poderoso e não pertence a exemplos operacionais públicos.

AppSpider

AppSpider é DAST empresarial da Rapid7.

Senhas e autenticação

John the Ripper

sudo apt install john
john --wordlist=policy-test.txt hashes.txt
john --show hashes.txt

Hashcat

sudo apt install hashcat
hashcat -m 0 hashes.txt policy-test.txt

Ophcrack

Ophcrack é principalmente histórico.

Hydra / THC-Hydra

Hydra testa logins online e exige escopo muito claro.

Medusa

Medusa é semelhante a Hydra.

Cain & Abel

Cain & Abel é histórico.

Wireless Security

Aircrack-ng

sudo apt install aircrack-ng

Wifite

Wifite automatiza auditorias Wi-Fi e requer autorização.

Kismet

Kismet monitora redes e clientes Wi-Fi.

AirSnort

AirSnort pertence à história do WEP.

NetStumbler

NetStumbler é legado.

Reaver

Reaver lembra por que WPS deve ser desativado.

Blue team, monitoramento e detecção

SIEM

SIEM coleta, normaliza, correlaciona e alerta sobre logs.

Splunk

Splunk é uma plataforma de dados comum em segurança.

Elastic Stack

Elastic Stack oferece busca, logs e dashboards.

IDS/IPS

IDS detecta, IPS pode bloquear.

Suricata

sudo apt install suricata
mkdir -p suricata-logs
suricata -r sample.pcap -k none -l ./suricata-logs

Snort

snort -r sample.pcap
snort -c /usr/local/etc/snort/snort.lua -r sample.pcap -A alert_fast
snort -R local.rules -r sample.pcap -A alert_fast

Zeek

zeek -r sample.pcap
ls *.log

NetFlow / IPFIX

NetFlow/IPFIX são metadados de fluxo.

Full Packet Capture

Full Packet Capture registra tráfego completo e deve ser usado com cuidado.

OSSEC

OSSEC é IDS baseado em host.

Breve desvio: OSCO, OSSEC ou OSSIM?

OSCO não é um nome estabelecido aqui; eu verificaria OSSEC ou OSSIM.

Forense e incident response

The Sleuth Kit

sudo apt install sleuthkit

Autopsy

Autopsy é a interface gráfica de forense digital.

Volatility

vol -f memory.raw windows.info
vol -f memory.raw windows.pslist

Guymager

Guymager cria imagens forenses.

Foremost

sudo apt install foremost
foremost -i disk-image.raw -o recovered-files

Binwalk

sudo apt install binwalk
binwalk firmware.bin
binwalk -e firmware.bin

Red team e dual-use de alto risco

Metasploit Framework

msfconsole

ExploitDB

ExploitDB ajuda a priorizar risco.

Core Impact

Core Impact é uma plataforma comercial de pentest.

Cobalt Strike

Cobalt Strike pertence a exercícios autorizados e licenciados.

GoPhish

GoPhish serve para simulações de phishing.

HiddenEye

HiddenEye é próximo de abuso.

SocialFish

SocialFish é semelhante.

EvilURL

EvilURL trata domínios parecidos.

Evilginx

Evilginx mostra limites de MFA tradicional.

Distribuições

Kali Linux

Kali é uma distribuição de segurança.

Parrot OS

Parrot OS é outra distribuição de segurança e privacidade.

Security Onion

Security Onion é defensiva: NSM, threat hunting, logs e incident response.

O que eu levaria

Visibilidade: Nmap, tcpdump, Wireshark.

Superfície externa: Shodan, Censys, Amass, theHarvester.

Hardening: Lynis, Greenbone/OpenVAS, Nessus.

Web: Burp Suite, ZAP, Nikto, WPScan.

Detecção: Suricata, Snort, OSSEC, SIEM.

NSM: Zeek, Security Onion, NetFlow/IPFIX, Full Packet Capture.

Forense: Autopsy, The Sleuth Kit, Volatility, Guymager, Foremost, Binwalk.

Red team: Metasploit, Cobalt Strike, Core Impact, SQLMap, GoPhish, Evilginx apenas com mandato e escopo.

Conclusão

O melhor kit não é o maior. É aquele em que você sabe por que cada ferramenta está ali.

Até a próxima,
Joe

Artigos relacionados

Shadowsocks e Xray: quando a VPN é bloqueada

Shadowsocks e Xray: quando a VPN é bloqueada

Sophos Connect: por que admins não deveriam caçar posts de blog

Sophos Connect: por que admins não deveriam caçar posts de blog

Patchday na era da IA: o ritmo acelera

Patchday na era da IA: o ritmo acelera

Pesquisar