LFCA: Kaip pagerinti „Linux“ tinklo saugumą - 19 dalis

Visada sujungtame pasaulyje tinklo saugumas tampa vis viena iš sričių, kur organizacijos investuoja daug laiko ir išteklių. Taip yra todėl, kad įmonės tinklas yra bet kokios IT infrastruktūros pagrindas ir jungia visus serverius bei tinklo įrenginius. Jei bus pažeistas tinklas, organizacija bus didžioji dalis įsilaužėlių malonės. Svarbiausius duomenis galima išfiltruoti, o į verslą orientuotas paslaugas ir programas sumažinti.

Tinklo saugumas yra gana plati tema ir paprastai laikomasi dviejų krypčių požiūrio. Tinklo administratoriai kaip pirmąją gynybos liniją paprastai įdiegs tinklo saugos įtaisus, tokius kaip ugniasienės, IDS (įsibrovimo aptikimo sistemos) ir IPS (įsibrovimo prevencijos sistemos). Nors tai gali suteikti tinkamą saugumo lygį, OS lygmeniu reikia imtis papildomų veiksmų, kad būtų išvengta pažeidimų.

Šiuo metu jau turėtumėte būti susipažinę su tokiomis tinklo koncepcijomis kaip IP adresavimas ir TCP/IP paslauga bei protokolais. Taip pat turėtumėte paspartinti pagrindines saugumo koncepcijas, pvz., Nustatydami tvirtus slaptažodžius ir užkardą.

Prieš atlikdami įvairius veiksmus, užtikrinančius jūsų sistemos saugumą, pirmiausia apžvelkime kai kurias įprastas tinklo grėsmes.

Kas yra tinklo ataka?

Didelis ir gana sudėtingas įmonės tinklas gali remtis keliais sujungtais galiniais taškais, kad palaikytų verslo operacijas. Nors tai gali suteikti reikalingą ryšį racionalizuoti darbo eigą, tai kelia saugumo iššūkį. Didesnis lankstumas reiškia platesnį pavojų kraštovaizdį, kurį užpuolikas gali panaudoti tinklo atakai pradėti.

Taigi, kas yra tinklo ataka?

Tinklo ataka yra nesankcionuota prieiga prie organizacijos tinklo, kurios vienintelis tikslas yra pasiekti ir pavogti duomenis bei atlikti kitą niekingą veiklą, pavyzdžiui, pažeisti svetaines ir sugadinti programas.

Yra dvi plačios tinklo atakų kategorijos.

  • Pasyvus išpuolis: pasyvios atakos metu įsilaužėlis gauna neteisėtą prieigą tik prie duomenų šnipinėjimo ir vogimo, jų nemodifikuodamas ir nesugadindamas.
  • „Active Attack“: čia užpuolikas ne tik įsiskverbia į tinklą, kad pavogtų duomenis, bet ir modifikuoja, ištrina, sugadina ar užšifruoja duomenis, sugadina programas ir panaikina veikiančias paslaugas. Tiesa, tai yra pražūtingiausia iš dviejų atakų.

Tinklo atakų tipai

Panagrinėkime keletą įprastų tinklo atakų, kurios gali pakenkti jūsų „Linux“ sistemai:

Naudojant senas ir pasenusias programinės įrangos versijas, jūsų sistemai gali lengvai kilti pavojus, o tai daugiausia dėl joje slypinčių būdingų pažeidžiamumų ir užpakalinių durų. Ankstesnėje duomenų saugumo temoje matėme, kaip įsilaužėliai pasinaudojo „Equifax“ klientų skundų portalo pažeidžiamumu ir sukėlė vieną iš labiausiai liūdnai pagarsėjusių duomenų pažeidimų.

Dėl šios priežasties visada patartina nuolat taikyti programinės įrangos pataisas atnaujinant programinės įrangos programas į naujausias versijas.

Vyras vidurio atakoje, paprastai sutrumpintai kaip MITM, yra išpuolis, kai užpuolikas perima ryšį tarp vartotojo ir programos ar galutinio taško. Išsiskirstęs tarp teisėto vartotojo ir programos, užpuolikas gali pašalinti šifravimą ir pasiklausyti komunikacijos, siunčiamos į ir iš. Tai leidžia jam gauti konfidencialią informaciją, pvz., Prisijungimo duomenis ir kitą asmenį identifikuojančią informaciją.

Tikėtini tokios atakos tikslai yra elektroninės prekybos svetainės, „SaaS“ įmonės ir finansinės programos. Norėdami pradėti tokias atakas, įsilaužėliai naudoja paketų uostymo įrankius, kurie fiksuoja paketus iš belaidžių įrenginių. Tada įsilaužėlis suleidžia kenksmingą kodą į keičiamus paketus.

Kenkėjiška programa yra kenkėjiškos programinės įrangos pavyzdys ir apima daugybę kenkėjiškų programų, tokių kaip virusai, Trojos arkliai, šnipinėjimo programos ir išpirkos teikiančios programos. Patekusi į tinklą, kenkėjiška programa plinta įvairiuose įrenginiuose ir serveriuose.

Priklausomai nuo kenkėjiškų programų tipo, pasekmės gali būti pražūtingos. Virusai ir šnipinėjimo programos gali šnipinėti, pavogti ir išfiltruoti labai konfidencialius duomenis, sugadinti ar ištrinti failus, sulėtinti tinklo darbą ir net pagrobti programas. Išpirkos programa užšifruoja failus, kurie tampa neprieinami, nebent auka išpirktų didelę sumą.

DDoS ataka yra ataka, kai kenkėjiškas vartotojas daro tikslinę sistemą nepasiekiamą ir tokiu būdu neleidžia vartotojams pasiekti svarbiausių paslaugų ir programų. Užpuolikas tai pasiekia naudodamas robotų tinklus, kad užtvindytų tikslinę sistemą milžinišku SYN paketų kiekiu, dėl kurio ji tam tikrą laiką tampa nepasiekiama. DDoS atakos gali sumažinti duomenų bazes ir svetaines.

Nepatenkinti darbuotojai, turintys privilegijuotą prieigą, gali lengvai pažeisti sistemas. Tokias atakas paprastai sunku aptikti ir nuo jų apsisaugoti, nes darbuotojams nereikia įsiskverbti į tinklą. Be to, kai kurie darbuotojai gali netyčia užkrėsti tinklą kenkėjiškomis programomis, kai prijungia USB įrenginius su kenkėjiškomis programomis.

Tinklo atakų sušvelninimas

Patikrinkime keletą priemonių, kurių galite imtis, kad pastatytumėte barjerą, kuris užtikrins nemažą saugumo laipsnį, siekiant sušvelninti tinklo atakas.

OS lygiu atnaujinant programinės įrangos paketus bus užtaisytos visos esamos spragos, dėl kurių jūsų sistemai gali kilti pavojus, kad įsilaužėliai paleis.

Be tinklo užkardų, kurios paprastai suteikia pirmąją apsaugos nuo įsilaužimo liniją, galite įdiegti pagrindinę pagrindinę užkardą, pvz., UFW užkardą. Tai paprastos, bet efektyvios užkardos programos, užtikrinančios papildomą saugumo sluoksnį filtruojant tinklo srautą pagal taisyklių rinkinį.

Jei turite veikiančių paslaugų, kurios nėra aktyviai naudojamos, išjunkite jas. Tai padeda sumažinti atakos paviršių ir palieka užpuolikui minimalias galimybes panaudoti ir surasti spragas.

Toje pačioje eilutėje naudojate tinklo nuskaitymo įrankį, pvz., „Nmap“, kad nuskaitytumėte ir patikrintumėte visus atidarytus prievadus. Jei yra nereikalingų atvirų prievadų, apsvarstykite galimybę juos užblokuoti užkardoje.

TCP apipavidalinimai yra pagrindinio kompiuterio ACL (prieigos kontrolės sąrašai), kurie riboja prieigą prie tinklo paslaugų, remiantis taisyklėmis, tokiomis kaip IP adresai. TCP apipavidalinimai nurodo šiuos pagrindinio kompiuterio failus, kad nustatytų, kur klientui bus suteikta prieiga prie tinklo paslaugos arba jai bus neleista.

  • /etc/hosts.allow
  • /etc/hosts.deny

Keli dalykai, kuriuos reikia atkreipti dėmesį:

  1. Taisyklės skaitomos iš viršaus į apačią. Pirmiausia buvo taikoma pirmoji tam tikros paslaugos atitikimo taisyklė. Atkreipkite dėmesį, kad tvarka yra nepaprastai svarbi.
  2. Taisyklės faile /etc/hosts.allow yra taikomos pirmiausia ir turi viršenybę prieš taisyklę, apibrėžtą faile /etc/hosts.deny. Tai reiškia, kad jei prieiga prie tinklo paslaugos yra leidžiama faile /etc/hosts.allow, atsisakymas leisti naudotis ta pačia paslauga faile /etc/hosts.deny bus ignoruojamas arba ignoruojamas.
  3. Jei paslaugų taisyklės nėra nė viename pagrindiniame faile, prieiga prie paslaugos suteikiama pagal numatytuosius nustatymus.
  4. Dviejų prieglobos failų pakeitimai atliekami nedelsiant nepaleidus iš naujo paslaugų.

Ankstesnėse temose mes nagrinėjome VPN naudojimą nuotolinei prieigai prie „Linux“ serverio inicijuoti, ypač viešajame tinkle. VPN šifruoja visus duomenis, kuriais keičiamasi tarp serverio ir nuotolinių kompiuterių, ir tai pašalina tikimybę, kad bus pasiklausyta ryšio.

Stebėkite savo infrastruktūrą tokiais įrankiais kaip fail2ban, kad apsaugotumėte savo serverį nuo bruteforce išpuolių.

[Jums taip pat gali patikti: 16 naudingų pralaidumo stebėjimo įrankių, skirtų analizuoti tinklo naudojimą sistemoje „Linux“]

„Linux“ tampa vis labiau įsilaužėlių taikiniu dėl didėjančio populiarumo ir naudojimo. Todėl tikslinga įdiegti saugos priemones, skirtas sistemai nuskaityti, ar nėra rootkitų, virusų, Trojos arklių ir bet kokio tipo kenkėjiškų programų.

Yra populiarūs „openource“ sprendimai, pvz., „Chkrootkit“, siekiant patikrinti, ar sistemoje nėra rootkitų požymių.

Apsvarstykite savo tinklo segmentavimą į VLAN (virtualius vietinius tinklus). Tai daroma tame pačiame tinkle kuriant potinklius, kurie veikia kaip atskiri tinklai. Segmentuodami savo tinklą, galite labai apriboti pažeidimo poveikį vienoje zonoje, o įsilaužėliams tampa daug sunkiau pasiekti kitus potinklius.

Jei jūsų tinkle yra belaidžių maršrutizatorių ar prieigos taškų, įsitikinkite, kad jie naudoja naujausias šifravimo technologijas, kad sumažintų išpuolių tarp žmogaus riziką.

Tinklo saugumas yra didžiulė tema, apimanti priemonių, susijusių su tinklo aparatūros skyriumi, įgyvendinimą, taip pat priimančiosios strategijos įgyvendinimą operacinėje sistemoje, siekiant pridėti apsauginį sluoksnį nuo įsilaužimų. Apibūdintos priemonės labai padės pagerinti jūsų sistemos saugumą nuo tinklo atakų pernešėjų.