- Network Security Toolkit (NST) Wiki
- A network security analysis and monitoring toolkit Linux distribution.
- Home
- Network Security Toolkit поможет администраторам сети
- Что у него внутри?
- Попробуем NST
- Безопасность под вашим контролем
- Network Security Toolkit (NST)
- A network security analysis and monitoring toolkit Linux distribution.
- Features
Network Security Toolkit (NST) Wiki
A network security analysis and monitoring toolkit Linux distribution.
Home
Network Security Toolkit (NST) is a bootable ISO image (Live DVD) based on Fedora 20 providing easy access to best-of-breed Open Source Network Security Applications and should run on most x86/x86_64 platforms.
The main intent of developing this toolkit was to provide the network security administrator with a comprehensive set of Open Source Network Security Tools. The majority of tools published in the article: Top 125 Security Tools by INSECURE.ORG are available in the toolkit. An advanced Web User Interface (WUI) is provided for system/network administration, navigation, automation, geolocation and configuration of many network and security applications found within the NST distribution. In the virtual world, NST can be used as a network security analysis, validation and monitoring tool on enterprise virtual servers hosting virtual machines.
1 — NST Network Interface Bandwidth Monitor
2 — Ntopng Hosts and Flows Geolocation
3 — NST GNOME Desktop Running Etherape
4 — Geolocated traceroute data shown in Google Earth
5 — Systems found by ARP scan ready for further investigation
6 — WIFI locations geolocated by Kismet shown in Google Earth
Project Admins:
Network Security Toolkit поможет администраторам сети
Network Security Toolkit — это один из многих дистрибутивов Linux типа Live CD, направленных на анализ безопасности сети. NST дает администраторам простой доступ к широкому множеству открытых сетевых приложений, многие из которых включены в сотню лучших средств безопасности , рекомендованных сайтом insecure.org.
Последняя версия NST — 1.8.0 была выпущена в июне. Предыдущие версии NST были основаны на Fedora Core 5, а эта новая версия — на Fedora 8, используется ядро Linux 2.6.25.6-27.fc8 с окружением рабочего стола Fluxbox. Можно скачать NST с авторского сайта — либо как ISO-образ Live CD, либо виртуальную машину VMware.
При загрузке с Live CD вам будет предложено несколько вариантов загрузки, для различных аппаратных возможностей или требуемых служб. Вариант по умолчанию — «desktop/laptop», включающий все утилиты NST, поддержку USB и консоль. Во всех вариантах требуется наличие работающего DHCP-сервера, иначе придется ввести параметры сети вручную. Процесс загрузки занимает минуту или две, и по соображениям безопасности перед первым попаданием в командную строку необходимо ввести новый пароль root. Здесь пользователь уже может запустить Fluxbox с помощью простой команды startx .
Можно установить NST и на жесткий диск , однако этот процесс не так прост. В больших организациях совершенно необходимо постоянно следить за сетевой активностью и безопасностью, поэтому установить NST на жесткий диск будет чрезвычайно полезно.
Виртуальная машина NST дает вам удобную возможность попробовать дистрибутив на мощной машине. Единственным недостатком такого подхода является ограничения в использовании беспроводных сетевых карт, ведь VMware считает беспроводной адаптер за обычную Ethernet-карту виртуальной машины.
Что у него внутри?
Пусть непритязательный внешний вид Fluxbox не сбивает вас с толку. Хотя интерфейс легкий и простой, но из него доступно множество мощных сетевых средств. Из средств защиты от сетевых вторжений можно упомянуть Kismet, Snort, AirSnort, NMAP и Wireshark. Nessus — популярный сканер уязвимостей, которому не было уделено внимания в последнем BackTrack-релизе (BT3), на сей раз включен в дистрибутив. Помогут вам следить за состоянием сети такие программы как Nagios, Argus и Zabbix. В дополнение к этим административным средствам, дистрибутив включает в себя еще и пользовательские программы — почтовый клиент (Pooka), клиент мгновенного обмена сообщениями (Pidgin), веб-браузер (Firefox), средства обработки текстов и графики (ImageMagick, XPDF, Nedit и другие), антивирус (ClamAV), терминальные коммуникации (GTKterm, Minicom), удаленный рабочий стол (VNC, TSClient) и средства восстановления данных (cfdisk, Partition Image). Я был удивлен, обнаружив в составе дистрибутива свободную программу для GPS-навигации GPSDrive. Еще включены СУБД MySQL и PostgreSQL, а если вам нужен почтовый сервер — к вашим услугам Sendmail.
Для запуска программ, включенных в NST, можно пользоваться либо веб-интерфейсом (Web user interface, WUI), основанном на AJAX и JSON, либо выбирать их из меню Fluxbox. Если вы знаете, чего ищете, просто нажмите правой кнопкой мышки на рабочем столе — появится меню Fluxbox со всеми программами, разделенными по категориям. К примеру, все графические средства проверки уязвимостей системы можно найти в подменю Security Applications, а общие средства для работы с сетью (такие как Wireshark) расположены в Network Applications. Можно упрекнуть разработчиков меню NST Fluxbox в том, что некоторые программы присутствуют одновременно в разных категориях; к примеру, приложение ATerm находится в подменю NST WUI и Desktop Applications.
Пользовательский интерфейс
Если программа не обладает графическим интерфейсом или требует консоли для своей настройки, NST упрощает работу с ней посредством помещения ее в WUI. Можно выбрать как упрощенный WUI, в котором программы сгруппированы в соответствии с решаемой задачей (сниффинг, мониторинг или проверка на вторжения); так и из категоризированного списка.
WUI упрощает использование программ. При выборе программы или задачи вам будет показана страница, на которой нужно выбрать определенный скрипт — для настройки или выполнения операции. Если нужно изменить настройки, это можно легко сделать, отредактировав конфигурационные файлы программы или введя параметры команды. На странице каждой программы также есть ее описание и краткая документация.
Попробуем NST
После беглого осмотра всех программ, я установил NST на отдельный компьютер и ввел его в нашу офисную сеть. Был задействован неиспользуемый относительно слабый компьютер — сервер Dell PowerEdge 2500 с процессором Pentium III 1GHz, 768 Мб ОЗУ, тремя сетевыми картами 10/100 и двумя жесткими дисками по 18 Гб.
Сначала я указал первоначальные настройки (такие как IP-адрес) и включил службы SSH, HTTPS и VNC. Одна из основных особенностей дистрибутива — веб-интерфейс WUI, и я решил попробовать его в действии, а именно настроил ntop и Zabbix для проверки сетевого трафика и слежения за состоянием некоторых серверов.
Настроить ntop очень просто. Всего лишь выберите категорию Network в NST WUI. В подкатегории Monitor будет располагаться ntop. Нажатие на ntop откроет его конфигурационную страницу. Выберите интересующую вас сетевую карту, введите другие опции ntop (годятся настройки по умолчанию) и нажмите на кнопку Start, чтобы включить ntop. В дополнение ко всему WUI показывает команду, с помощью которой ntop был включен. Вернитесь на предыдущую страницу и нажмите «Use ntop interface (HTTPS)», чтобы войти на страницу ntop. На странице ntop вы увидите сетевой трафик, различные его типы (TCP, UDP, ARP и т.д.), источник трафика и другую информацию. Итак, можно следить за трафиком за три щелчка мышки.
Настройка Zabbix, проверяющего состояние хостов в сети, требует большего количества шагов. Хост в сети может быть сервером или сетевым устройством. Агент, который можно скачать с сайта Zabbix , должен быть установлен на каждом исследуемом хосте. Из той же подкатегории что и ntop, выберите Zabbix Server Management для входа на его конфигурационную страничку. Перед запуском Zabbix необходимо включить службы mysqld и ntpd , это можно сделать, нажав на соответствующих кнопках. После этого просто запустите службу Zabbix, отправляйтесь на страницу Zabbix, ищите и добавляйте хосты и можно проводить мониторинг сети.
Можно бегло проверить безопасность своей сети с помощью Snort, расположенного в WUI в меню Security. Выберите нужный сетевой интерфейс; я выбрал тот, на котором работает файрволл, ведь большинство атак и вторжений производятся из интернета. Когда я взглянул на отчеты Acid (интерфейс Snort), там было огромное количество предупреждений; если бы не наш файрволл, сеть бы давно вышла из строя.
Еще я проверил безопасность серверов и рабочих станций внутри сети с помощью Nessus. Были найдены явные уязвимости, однако так как NST не содержит лицензии на Nessus, более подробный отчет представлен не был.
Безопасность под вашим контролем
NST, обладая сбалансированным набором средств сетевого мониторинга, анализа и безопасности, может дать явные преимущества сетевому администратору, ценой одного лишь старого сервера. Через веб-интерфейс WUI упрощаются все задачи. Работать с ним могут даже неопытные администраторы, которые не пользовались Linux (и особенно консолью) и таким образом задействовать всю мощь сетевых средств с открытым исходным кодом.
Network Security Toolkit (NST)
A network security analysis and monitoring toolkit Linux distribution.
Network Security Toolkit (NST) is a bootable ISO image (Live USB Flash Drive) based on Fedora 36 providing easy access to best-of-breed Open Source Network Security Applications and should run on most x86_64 systems.
The main intent of developing this toolkit was to provide the security professional and network administrator with a comprehensive set of Open Source Network Security Tools. The majority of tools published in the article: Top 125 Security Tools by INSECURE.ORG are available in the toolkit. An advanced Web User Interface (WUI) is provided for system/network administration, navigation, automation, network monitoring, host geolocation, network analysis and configuration of many network and security applications found within the NST distribution. In the virtual world, NST can be used as a network security analysis, validation and monitoring tool on enterprise virtual servers hosting virtual machines.
Features
- Multi-Tap Network Packet Capture
- Web-Based Network Security Tools Management
- Host/IPv4 Address Geolocation
- Network/System Monitoring
- Network Intrusion Detection
- Network Interface Bandwidth Monitor
- Web-based Snort IDS Integration
- Active Connections Monitor
- Network Segment ARP Scanner
- Network Packet Capture CloudShark Upload Support
- Multi-Port Terminal Server
- VNC / RDP Desktop Session Management