A proteção de redes é uma preocupação constante para administradores. Assim como existem ferramentas para diversas tarefas, há também aquelas que auxiliam na segurança das redes e seus componentes. Este artigo apresenta algumas das principais ferramentas de segurança de rede disponíveis.
Esta lista não é exaustiva, dada a vasta quantidade de soluções para proteger redes. Foram excluídos softwares antivírus, que pertencem a uma categoria diferente, e firewalls. A lista foca em ferramentas de avaliação de vulnerabilidades, scanners de portas e de criptografia, entre outros, priorizando aquelas que auxiliam na melhoria e verificação da segurança.
Para otimizar o tempo, a análise teórica será breve, passando diretamente para a categorização e revisão das ferramentas.
Categorias de Ferramentas
A diversidade de ferramentas de segurança de rede torna a categorização útil. Uma categoria é a dos gerenciadores de eventos, que monitoram e respondem a ocorrências na rede, geralmente analisando logs de equipamentos.
Outra categoria importante é a dos sniffers de pacotes, que permitem analisar o tráfego de rede e decodificar pacotes para examinar seu conteúdo, geralmente utilizados em investigações de segurança.
Sistemas de detecção e prevenção de intrusão também são cruciais, atuando no perímetro da rede para identificar tentativas de acesso não autorizado ou atividades maliciosas, diferentes de antivírus e firewalls.
A lista também inclui ferramentas que não se encaixam em categorias específicas, mas que são consideradas valiosas para a segurança.
As Melhores Ferramentas de Segurança de Rede
A vasta gama de ferramentas com funções distintas dificulta a ordenação por preferência. Cada ferramenta tem suas particularidades e não há uma hierarquia objetiva. A lista, portanto, é apresentada de forma aleatória.
1. SolarWinds Log and Event Manager (TESTE GRATUITO)
A SolarWinds é reconhecida por suas ferramentas de administração de rede. Produtos como o Network Performance Monitor e o NetFlow Traffic Analyzer são destaques em monitoramento de rede SNMP e análise NetFlow. A SolarWinds também oferece ferramentas gratuitas, como calculadora de sub-rede e servidor TFTP.
Na área de segurança, o Log and Event Manager (LEM) da SolarWinds se destaca como um sistema de gerenciamento de eventos e informações de segurança (SIEM) básico, mas competitivo, com recursos de gerenciamento e correlação de logs e um eficaz sistema de relatórios.
O LEM também oferece respostas em tempo real a ameaças, utilizando um sistema baseado em comportamento, ideal para proteção contra vulnerabilidades de dia zero sem a necessidade de atualizações constantes. O painel do LEM é um ponto forte, facilitando a identificação rápida de anomalias.
O preço inicial do SolarWinds Log and Event Manager é de US$ 4.585, com uma versão de avaliação gratuita de 30 dias.
2. SolarWinds Network Configuration Manager (TESTE GRATUITO)
Outra solução da SolarWinds é o Network Configuration Manager, que garante a padronização das configurações de equipamentos. Permite envio de alterações em massa para diversos dispositivos e detecta mudanças não autorizadas que podem indicar adulteração maliciosa.
O Network Configuration Manager facilita a recuperação de falhas restaurando configurações anteriores e utiliza recursos de gerenciamento de alterações para identificar o que foi alterado em arquivos de configuração. Além disso, possibilita a demonstração de conformidade e auditorias regulatórias com seus relatórios padronizados.
O preço inicial do SolarWinds Network Configuration Manager é de US$ 2.895, variando com o número de nós gerenciados, e também oferece uma avaliação gratuita de 30 dias.
3. SolarWinds User Device Tracker (TESTE GRATUITO)
O User Device Tracker da SolarWinds melhora a segurança ao detectar e rastrear usuários e dispositivos, identificando portas de switch em uso e portas disponíveis em VLANs.
Em casos de atividades maliciosas, o User Device Tracker permite localizar rapidamente o dispositivo ou usuário, realizando buscas por nome de host, endereços IP/MAC ou nome de usuário. A pesquisa pode incluir atividades de conexão anteriores do dispositivo ou usuário suspeito.
O preço inicial do SolarWinds User Device Tracker é de US$ 1.895, variando com o número de portas rastreadas, e também possui uma avaliação gratuita de 30 dias.
4. Wireshark
O Wireshark é um dos mais avançados analisadores de pacotes de rede. Esta ferramenta permite realizar uma análise detalhada do tráfego de rede, capturando e decodificando cada pacote para revelar seu conteúdo.
Considerado padrão no setor, o Wireshark oferece recursos de análise tão robustos que muitos administradores o utilizam para analisar capturas realizadas por outras ferramentas. Os filtros do Wireshark são um ponto forte, permitindo concentrar-se em dados relevantes. Apesar de sua curva de aprendizado, o Wireshark é inestimável para análise de tráfego de rede. É uma ferramenta gratuita e de código aberto, disponível para vários sistemas operacionais.
5. Nessus Professional
O Nessus Professional é uma solução de avaliação amplamente utilizada para identificar vulnerabilidades, problemas de configuração e malwares que podem ser explorados para acesso não autorizado à rede. É utilizado por profissionais de segurança cibernética para obter uma visão externa da segurança e orientações para melhorias.
O Nessus Professional se destaca por sua ampla cobertura do cenário de ameaças, inteligência atualizada e interface intuitiva. Suas atualizações rápidas o tornam uma ferramenta abrangente e eficaz para varredura de vulnerabilidades.
O Nessus Professional opera com base em assinatura, com custo anual de US$ 2.190, e oferece uma avaliação gratuita de 7 dias.
6. Snort
Snort é um conhecido sistema de detecção de intrusão (IDS) de código aberto, criado em 1998 e desde 2013 é propriedade da Cisco Systems. Em 2009, foi incluído no Hall da Fama de Código Aberto da InfoWorld como um dos “maiores softwares de código aberto de todos os tempos”.
Snort possui três modos de operação: sniffer (leitura de pacotes e exibição na tela), registrador de pacotes (registro de pacotes em disco) e detecção de intrusão (monitoramento do tráfego e análise com base em regras definidas pelo usuário). No modo de detecção, o Snort monitora o tráfego e, dependendo da ameaça detectada, executa ações específicas.
O Snort detecta diversas sondagens e ataques, incluindo tentativas de impressão digital do sistema operacional, ataques de URL semântica e varreduras de portas. O download do Snort é feito em seu site oficial.
7. TCPdump
O Tcpdump é o sniffer de pacotes original, lançado em 1987 e mantido e atualizado desde então. Ele vem pré-instalado em sistemas *nix e tornou-se uma ferramenta padrão para captura rápida de pacotes. Utiliza a biblioteca libpcap para a captura real de pacotes.
Por padrão, o tcpdump captura todo o tráfego na interface especificada e o exibe na tela. Semelhante ao modo sniffer do Snort, também pode ser direcionado para um arquivo de captura e analisado com outras ferramentas, como o Wireshark.
A força do tcpdump é a capacidade de aplicar filtros de captura e direcionar sua saída para o grep, um utilitário de linha de comando do Unix para maior filtragem, permitindo que usuários com conhecimento do tcpdump, grep e shell capturem o tráfego correto para tarefas de depuração.
8. Kismet
Kismet é um detector de rede, sniffer de pacotes e sistema de detecção de intrusão para LANs sem fio, compatível com placas sem fio que suportam o modo de monitoramento bruto. Detecta tráfego 802.11a, 802.11b, 802.11g e 802.11n em sistemas Linux, FreeBSD, NetBSD, OpenBSD e OS X. O suporte para Windows é limitado.
Este software livre é lançado sob a licença Gnu GPL e detecta pontos de acesso e clientes sem enviar pacotes. Kismet é a ferramenta de monitoramento sem fio de código aberto mais utilizada. Possui recursos de detecção de intrusão sem fio, programas ativos de detecção sem fio e diversos ataques à rede sem fio.
9. Nikto
Nikto é um scanner de servidor web de código aberto que realiza diversos testes em servidores, verificando mais de 6.700 arquivos e programas potencialmente perigosos. Verifica versões desatualizadas de servidores e identifica problemas específicos em mais de 270 servidores. Também verifica opções de servidor, como arquivos de índice e tenta identificar softwares e servidores web instalados.
Nikto prioriza a velocidade, realizando testes rapidamente, mas sua atividade pode ser detectada em logs e por sistemas de detecção e prevenção de intrusão.
Nikto é distribuído sob a licença GNU GPL e pode ser baixado gratuitamente de sua página no GitHub.
10. OpenVAS
O OpenVAS, Sistema Aberto de Avaliação de Vulnerabilidade, oferece varredura abrangente de vulnerabilidades. Sua estrutura subjacente faz parte da solução de gerenciamento de vulnerabilidades da Greenbone Networks. É gratuito, com componentes de código aberto e proprietários, e possui mais de cinquenta mil testes de vulnerabilidade de rede atualizados regularmente.
O OpenVAS possui dois componentes principais: o scanner (para verificação de computadores) e o gerente (para controlar o scanner e armazenar os resultados). Também possui um banco de dados de testes de vulnerabilidade, que pode ser atualizado pela Greenbone Community Feed ou Greenbone Security Feed, sendo o último um servidor de assinatura paga.
11. OSSEC
OSSEC, Open Source SECurity, é um sistema de detecção de intrusão baseado em host, executado diretamente nos hosts que protege. É de propriedade da Trend Micro e tem como foco arquivos de log e configurações em hosts *nix, além de observar o registro do Windows em busca de atividades suspeitas. Alertas são enviados por console ou e-mail.
O OSSEC deve ser instalado em cada computador a ser protegido, mas consolida informações de cada computador em um console centralizado para facilitar o gerenciamento. O OSSEC roda em *nix, mas há um agente para proteger hosts Windows. É distribuído sob a licença GNU GPL e pode ser baixado em seu site oficial.
12. Nexpose
O Nexpose da Rapid7 é outra ferramenta de gerenciamento de vulnerabilidades, suportando todo o ciclo de vida do gerenciamento, incluindo descoberta, detecção, verificação, classificação de risco, análise de impacto, relatórios e mitigação. A interface do usuário é baseada na web.
Este produto oferece recursos completos, incluindo varredura virtual para VMware NSX e descoberta dinâmica para Amazon AWS. Verifica diversos ambientes e pode ser escalado para um número ilimitado de endereços IP, com opções de implantação rápida. Oferece uma edição gratuita com recursos reduzidos e versões comerciais a partir de US$ 2.000 por usuário ao ano. Para downloads e mais informações, visite a página oficial do Nexpose.
13. GFI LanGuard
GFI LanGuard é uma ferramenta que verifica redes em busca de vulnerabilidades, automatiza a aplicação de patches e garante a conformidade, suportando sistemas operacionais de desktop, servidor, Android e iOS. Realiza sessenta mil testes de vulnerabilidade e atualiza dispositivos com os patches e atualizações mais recentes.
O painel de relatórios do GFI LanGuard é intuitivo, assim como o gerenciamento de atualização de definição de vírus, compatível com os principais fornecedores de antivírus. Corrige sistemas operacionais, navegadores web e aplicações de terceiros, possui um mecanismo de relatórios web e oferece grande escalabilidade. Avalia vulnerabilidades em computadores e diversos dispositivos de rede.
A estrutura de preços do GFI LanGuard é complexa, baseada em assinatura anual. Uma versão de avaliação gratuita está disponível.
14. Retina
O Retina Network Security Scanner da AboveTrust é um scanner de vulnerabilidade que realiza avaliação de patches ausentes, vulnerabilidades de dia zero, configuração não segura e outras vulnerabilidades. Sua interface intuitiva simplifica a operação e oferece perfis de usuário correspondentes a diversas funções.
O Retina usa um banco de dados extenso de vulnerabilidades de rede, problemas de configuração e patches ausentes, que é atualizado automaticamente. Abrange diversos sistemas operacionais, dispositivos e aplicativos, incluindo varredura de imagens virtuais online e offline, varredura de aplicações virtuais e integração com vCenter em ambientes VMware.
O scanner Retina está disponível por assinatura, com custo anual de US$ 1.870 para um número ilimitado de endereços IP e oferece uma avaliação gratuita de 30 dias.