Según una encuesta hecha por Insecure.com a 1200 usuarios del NMAP en su lista de correo, las herramientas de seguridad preferidas e independientemente de la plataforma, son las siguientes: Ordenadas empezando por la más popular, se agrupan utilidades como scanners, sniffers y demás programas de seguridad. Se incluye el enlace para descargarlas y una breve explicación sobre su uso y/o utilidad teniendo en cuenta que hay algunas que no conocía.

* Nessus (http://www.nessus.org): este programa es un scanner de seguridad empleado para hacer más de una auditoría en busca de vulnerabilidades. Consta de dos partes, cliente y servidor (nessusd) con versiones para Windonws, Java y Unix (la parte cliente) y sólo para Unix el servidor. El servidor /daemon realiza los ataques mientras que el cliente interactúa con el usuario a través de un interface gráfico. Pros: desarrolla una completa exploración de todos los puertos y servicios y presenta los puntos vulnerables que encuentra y sus posibles soluciones. Contras: es un poco lento. Como comentario decir que es comparable al Retina.

Netcat(http://www.atstake.com/research/tools/nc11nt.zip): esta sencilla utilidad para Windows y Unix sirve para escuchar y analizar las conexiones de red usando los protocolos TCP o UDP. Se ha usado bastante para explotar el bug del Isapi en los servidores IIS (ref. Desbordamiento de búfer en el IIS del 21 de junio).

* TCPDump (http://www.tcpdump.org ): este sniffer para Unix sirve para monitorizar todo el tráfico de una red, recolectar toda la información posible y detectar así posibles problemas como ataques ping. Combinado con SNORT se convierte en una poderosa herramienta solventando las carencias que ambos porgramas tienen por separado. Es curioso porque podemos servirnos del 170 propio TCPDump para evadir IDSs de los que forma parte porque presenta una vulnerabilidad en las capacidades de decodificación de DNS y puede entrar en un loop infinito que nos permita saltarnos ese IDS (Sistema de Detección de Intrusos).

* Snort (http://www.snort.org ): sniffer/logger, Snort sirve para detectar intrusiones y ataques tipo búfer overflows, CGI, SMB, scanneo de puertos, etc. Snort puede enviar alertas en tiempo real, enviándolas directamente al archivo de Unix syslog o incluso a un sistema Windows mediante SAMBA. Las versiones anteriores a la 1.8.1 presentan una vulnerabilidad en la codificación Unicode que posibilita que un atacante evada dicha detección.

*Saint (http://www.wwdsi.com/saint ): Security Administrator’s Integrated Network Tool (SAINT) es una evolución del conocido SATAN para plataformas Unix que sirve para evaluar toda la seguridad de un sistema recibiendo incluso múltiples updates desde el CERT y CIAC.

*Whisker http://www.wiretrip.net/rfp/bins/whisker/whisker.zip: buen scanner de vulnerabilidades CGI.

*ISS http://www.iss.net : Internet Security Scanner es una herramienta comercial de análisis de vulnerabilidades para Windows.

*Abacus Portsentry http://www.psionic.com/abacus/portsentry : demonio de Unix para detectar scanneos de puertos contra nuestros sistemas capaz de bloquear al atacante mediante host.deny, filtrar las rutas o reglar el firewall.

*DSniff http://naughty.monkey.org/~dugsong/dsniff : el nombre ya lo dice todo… este es un sniffer para buscar passwords y el resto de información de una red incluyendo técnicas sofisticadas para defender la “protección” de los switchers de red.