Инструменты безопасности для сетевых инженеров

20 июня 2026 г. • 5 min read

Содержание

Если долго работать сетевым инженером или администратором, постоянно встречаются одни и те же названия: Nmap, Wireshark, tcpdump, Nessus, Greenbone, Burp Suite, Shodan, Suricata, Snort, Kali Linux, Metasploit, Hashcat, Cobalt Strike и другие.

Одни входят в базовый набор. Другие больше подходят AppSec, forensics, blue team или red team. Главное: инструмент безопасности не становится автоматически «хакерским». Всё зависит от разрешения, цели, документации и контекста.

Инструмент становится серьёзным или опасным не из-за названия, а из-за контекста использования.

Все примеры относятся только к собственным системам, лабораториям, staging-средам или явно разрешённым тестам. Примеры установки рассчитаны на Linux с apt.

Правильная рабочая среда

Для серьёзного сетевого анализа я не использовал бы повседневный ноутбук. Профессиональнее иметь отдельную Linux-машину, изолированные VM, snapshots, отдельные проекты и защищённые данные клиентов.

Повседневная машина: коммуникация, документация, tickets, password manager.
Linux-машина анализа: зашифрованные диски, packet capture, диагностика, локальные labs, длинные сканы и RAM для нескольких VM.
Security VM: Kali/Parrot для red team/AppSec, Debian/Ubuntu для admin и blue team.
Сетевое железо: USB Ethernet, managed switch, VLAN и mirror/SPAN.
Wi-Fi железо: USB Wi-Fi adapter с monitor mode и packet injection только для разрешённых тестов.
Изолированная лаборатория: тестовые цели, специально уязвимые системы, собственные домены и отдельные папки проектов.
Среда клиента: только с разрешением, scope, временем и контактным лицом.

Сначала разделить уровни

Tool решает конкретную задачу. Framework даёт модули и workflow. Platform объединяет данные, пользователей и отчёты. Distribution вроде Kali — полноценная рабочая среда. Concept вроде SIEM или IDS/IPS — класс решений.

Видимость как основа

Nmap

sudo apt install nmap
nmap -sV scanme.nmap.org
nmap -Pn -p 22,80,443 scanme.nmap.org
mkdir -p scans
nmap -sV -oA scans/scanme-baseline scanme.nmap.org
nmap -sV 192.168.1.0/24

Nmap помогает понять, что доступно в собственной сети.

tcpdump

sudo apt install tcpdump
sudo tcpdump -D
sudo tcpdump -i eth0 -nn port 53
sudo tcpdump -i eth0 -nn host 192.0.2.10
sudo tcpdump -i eth0 -nn -w debug.pcap

Captures могут содержать чувствительные данные, поэтому их нужно фильтровать и хранить осторожно.

Wireshark

sudo apt install wireshark

Wireshark помогает разбирать DNS, TLS, TCP retransmissions, VoIP, SMB, LDAP и pcap-файлы.

Shodan

Shodan показывает публично доступные системы и внешний вид собственной инфраструктуры.

Censys

Censys помогает сравнивать публичные hosts, certificates и services с внутренним inventory.

Maltego

Maltego визуализирует OSINT-связи между domains, IP, людьми, организациями и инфраструктурой.

theHarvester

theHarvester -d example.com -b crtsh

Источники данных меняются; иногда нужны API keys.

Recon-ng

Recon-ng — OSINT framework с workspaces и modules.

Amass

amass enum -passive -d example.com

Всегда стоит проверять версию и синтаксис.

OSINT Framework

OSINT Framework — карта источников OSINT.

Gobuster

sudo apt install gobuster
gobuster dir -u https://staging.example.test -w wordlists/small.txt
gobuster vhost -u https://example.test -w wordlists/vhosts.txt

Уязвимости и hardening

CVSS описывает техническую серьёзность, EPSS вероятность эксплуатации, CISA KEV уже эксплуатируемые уязвимости. Это нужно сопоставлять с реальной exposed surface.

Greenbone / OpenVAS

Greenbone/OpenVAS — stack vulnerability scanning и management.

Nessus

Nessus — коммерческий scanner Tenable для аудитов и vulnerability management.

Lynis

sudo apt install lynis
sudo lynis audit system

HCL AppScan

HCL AppScan относится к AppSec и DevSecOps.

InsightVM / Nexpose

InsightVM/Nexpose помогают приоритизировать риск.

Retina

Retina сегодня в основном legacy.

Web Application Security

Burp Suite

Burp Suite — ключевой proxy для разрешённого web testing.

ZAP

ZAP — свободный web scanner/proxy.

Nikto

sudo apt install nikto
nikto -host https://staging.example.test

WPScan

wpscan --url https://wp-staging.example.test

SQLMap

SQLMap слишком близок к реальной эксплуатации для публичных operational examples.

AppSpider

AppSpider — DAST-платформа Rapid7.

Пароли и аутентификация

John the Ripper

sudo apt install john
john --wordlist=policy-test.txt hashes.txt
john --show hashes.txt

Hashcat

sudo apt install hashcat
hashcat -m 0 hashes.txt policy-test.txt

Ophcrack

Ophcrack в основном исторически важен.

Hydra / THC-Hydra

Hydra проверяет online logins и требует очень чёткого scope.

Medusa

Medusa похожа на Hydra.

Cain & Abel

Cain & Abel — старый Windows tool.

Wireless Security

Aircrack-ng

sudo apt install aircrack-ng

Wifite

Wifite автоматизирует Wi-Fi audit workflows.

Kismet

Kismet полезен для Wi-Fi monitoring и survey.

AirSnort

AirSnort относится к истории WEP.

NetStumbler

NetStumbler — legacy.

Reaver

Reaver напоминает, почему WPS нужно отключать.

Blue team, monitoring и detection

SIEM

SIEM собирает, нормализует, коррелирует и анализирует logs.

Splunk

Splunk часто используется как SIEM foundation.

Elastic Stack

Elastic Stack даёт logs, search и dashboards.

IDS/IPS

IDS обнаруживает, IPS может блокировать.

Suricata

sudo apt install suricata
mkdir -p suricata-logs
suricata -r sample.pcap -k none -l ./suricata-logs

Snort

snort -r sample.pcap
snort -c /usr/local/etc/snort/snort.lua -r sample.pcap -A alert_fast
snort -R local.rules -r sample.pcap -A alert_fast

Zeek

zeek -r sample.pcap
ls *.log

NetFlow / IPFIX

NetFlow/IPFIX — flow metadata, не payload.

Full Packet Capture

Full Packet Capture сохраняет полный traffic и требует осторожного обращения.

OSSEC

OSSEC — host-based IDS.

Короткое отступление: OSCO, OSSEC или OSSIM?

OSCO здесь не является устоявшимся названием; я бы проверил OSSEC или OSSIM.

Forensics и incident response

The Sleuth Kit

sudo apt install sleuthkit

Autopsy

Autopsy — графическая forensic platform.

Volatility

vol -f memory.raw windows.info
vol -f memory.raw windows.pslist

Guymager

Guymager создаёт forensic images.

Foremost

sudo apt install foremost
foremost -i disk-image.raw -o recovered-files

Binwalk

sudo apt install binwalk
binwalk firmware.bin
binwalk -e firmware.bin

Red team и high-risk dual-use

Metasploit Framework

msfconsole

ExploitDB

ExploitDB помогает оценивать риск.

Core Impact

Core Impact — коммерческая pentest platform.

Cobalt Strike

Cobalt Strike подходит только для лицензированных и разрешённых engagements.

GoPhish

GoPhish служит phishing simulations и awareness.

HiddenEye

HiddenEye близок к злоупотреблению.

SocialFish

SocialFish похож.

EvilURL

EvilURL связан с lookalike domains.

Evilginx

Evilginx показывает пределы классического MFA.

Дистрибутивы как рабочая среда

Kali Linux

Kali — security distribution.

Parrot OS

Parrot OS — security/privacy distribution.

Security Onion

Security Onion фокусируется на NSM, threat hunting, logs и incident response.

Что я бы взял как сетевой инженер

Видимость: Nmap, tcpdump, Wireshark.

Внешняя поверхность: Shodan, Censys, Amass, theHarvester.

Hardening: Lynis, Greenbone/OpenVAS, Nessus.

Web: Burp Suite, ZAP, Nikto, WPScan.

Detection: Suricata, Snort, OSSEC, SIEM.

NSM: Zeek, Security Onion, NetFlow/IPFIX, Full Packet Capture.

Forensics: Autopsy, The Sleuth Kit, Volatility, Guymager, Foremost, Binwalk.

Red team: Metasploit, Cobalt Strike, Core Impact, SQLMap, GoPhish, Evilginx только с mandate и scope.

Вывод

Лучший набор инструментов — не самый длинный, а тот, где понятно, зачем нужен каждый инструмент.

До следующего раза,
Joe