LFCA Jak poprawić bezpieczeństwo sieci Linux - część 19

W zawsze połączonym świecie bezpieczeństwo sieciowe staje się coraz bardziej jednym z obszarów, w których organizacje inwestują wiele czasu i zasobów. Wynika to z faktu, że sieć firmy jest kręgosłupem każdej infrastruktury IT i łączy wszystkie serwery i urządzenia sieciowe. Jeśli sieć zostanie naruszona, organizacja będzie na łasce hakerów. Kluczowe dane mogą być wykluczone, a usługi zorientowane na biznes i aplikacje mogą zostać obniżone.

Bezpieczeństwo sieciowe jest dość rozległym tematem i zwykle przyjmuje podejście dwupronowe. Administratorzy sieci zwykle instalują urządzenia bezpieczeństwa sieciowego, takie jak zapory ogniowe, IDS (systemy wykrywania intruzy. Chociaż może to zapewnić przyzwoitą warstwę bezpieczeństwa, na poziomie systemu operacyjnego należy podjąć pewne dodatkowe kroki, aby zapobiec naruszeniu.

W tym momencie powinieneś już zapoznać się z koncepcjami sieciowymi, takimi jak adresowanie IP oraz usługa i protokoły TCP/IP. Powinieneś także być na bieżąco z podstawowymi koncepcjami bezpieczeństwa, takimi jak konfigurowanie silnych haseł i konfigurowanie zapory.

Zanim omówimy różne kroki w celu zapewnienia bezpieczeństwa systemu, najpierw miejmy przegląd niektórych wspólnych zagrożeń sieciowych.

Co to jest atak sieciowy?

Duża i dość złożona sieć korporacyjna może polegać na wielu połączonych punktach końcowych w celu wspierania operacji biznesowych. Chociaż może to zapewnić wymaganą łączność w celu usprawnienia przepływów pracy, stanowi wyzwanie bezpieczeństwa. Większa elastyczność przekłada się na krajobraz szerszego zagrożenia, który atakujący może wykorzystać, aby rozpocząć atak sieciowy.

Więc jaki jest atak sieciowy?

Atak sieciowy to nieautoryzowany dostęp do sieci organizacji, wyłącznie dostępu do i kradzieży danych oraz wykonywania innych nikczemnych działań, takich jak defacting stron internetowych i uszkodzące aplikacje.

Istnieją dwie szerokie kategorie ataków sieciowych.

• Atak pasywny: W ataku pasywnym haker zyskuje nieautoryzowany dostęp do wyłącznie szpiegowania i kradzieży danych bez modyfikowania lub uszkodzenia.
• Aktywny atak: Tutaj atakujący nie tylko infiltruje sieć w celu kradzieży danych, ale także modyfikuje, usuwa, uszkodzi lub szyfruje dane i miażdży aplikacje, a także obniża uruchomione usługi. Trzeba przyznać, że jest to najbardziej niszczycielskie z dwóch ataków.

Rodzaje ataków sieciowych

Przejdźmy do niektórych wspólnych ataków sieciowych, które mogą zagrozić systemowi Linuksa:

1. Słabości oprogramowania

Uruchomienie starych i przestarzałych wersji oprogramowania może łatwo narażać system, a to głównie z powodu nieodłącznych luk i backdoors, które się w nich czai. W poprzednim temacie na bezpieczeństwo danych widzieliśmy, w jaki sposób podatność na portal skargi klientów Equifax został wykorzystany przez hakerów i doprowadził do jednego z najbardziej niesławnych naruszeń danych.

Z tego powodu zawsze zaleca się ciągłe stosowanie łatek oprogramowania poprzez aktualizację aplikacji do najnowszych wersji.

2. Człowiek w środkowych atakach

Mężczyzna w środkowym ataku, powszechnie skrócony jako MITM, jest atakiem, w którym atakujący przechwytuje komunikację między użytkownikiem a aplikacją lub punktem końcowym. Pozycjonując się między prawowitym użytkownikiem a aplikacją, atakujący jest w stanie rozebrać szyfrowanie i podsługa komunikacji wysyłanej do i z. To pozwala mu pobrać poufne informacje, takie jak poświadczenia logowania i inne dane osobowe.

Prawdopodobnie cele takiego ataku obejmują strony e -commerce, firmy SaaS i wnioski finansowe. Aby rozpocząć takie ataki, hakerzy wykorzystują narzędzia wąchania pakietów, które przechwytują pakiety z urządzeń bezprzewodowych. Haker następnie wstrzykuje złośliwy kod do wymiany pakietów.

3. Złośliwe oprogramowanie

Złośliwe oprogramowanie jest portulę złośliwego oprogramowania i obejmuje szeroką gamę złośliwych zastosowań, takich jak wirusy, trojany, oprogramowanie szpiegujące i ransomware, aby wymienić kilka. W sieci, złośliwe oprogramowanie propaguje się na różnych urządzeniach i serwerach.

W zależności od rodzaju złośliwego oprogramowania konsekwencje mogą być druzgocące. Wirusy i oprogramowanie szpiegujące mają możliwość szpiegowania, kradzieży i expiltrowania wysoce poufnych danych, uszkodzenia lub usuwania plików, spowolnienia sieci, a nawet aplikacji do przejmowania aplikacji. Ransomware szyfruje pliki renderujące, a następnie niedostępne, chyba że części ofiary o znacznej ilości jako okup.

4. Ataki rozproszone usługi odmowy (DDOS)

Atak DDOS to atak, w którym złośliwy użytkownik sprawia, że ​​system docelowy jest niedostępny, a dzięki temu uniemożliwia użytkownikom dostęp do kluczowych usług i aplikacji. Atakujący realizuje to za pomocą botnetów do zalania systemu docelowego ogromnym objętościami pakietów SYN, które ostatecznie uczyniły go niedostępnym przez pewien czas. Ataki DDOS mogą obniżyć bazy danych, a także strony internetowe.

5. Zagrożenia wewnętrzne / nieuczciwych pracowników

Niezadowolone pracownicy z uprzywilejowanym dostępem mogą łatwo zagrozić systemom. Takie ataki są zwykle trudne do wykrycia i ochrony, ponieważ pracownicy nie muszą infiltować sieci. Ponadto niektórzy pracownicy mogą nieumyślnie zainfekować sieć złośliwym oprogramowaniem, gdy podłączają urządzenia USB z złośliwym oprogramowaniem.

Łagodzenie ataków sieciowych

Sprawdźmy kilka środków, które możesz podjąć, aby umieścić barierę, która zapewni znaczny stopień bezpieczeństwa w celu złagodzenia ataków sieciowych.

1. Utrzymuj aplikacje na bieżąco

Na poziomie systemu operacyjnego aktualizacja pakietów oprogramowania będzie załatać wszelkie istniejące luki, które mogą narazić system na ryzyko exploitów uruchomionych przez hakerów.

Wdrożyć zaporę opartą na hosta

Oprócz sieci sieciowych, które zwykle zapewniają pierwszą linię obrony przed wtargnięciami, możesz również wdrożyć zaporę opartą na hosta, taką jak zapora ogniowa i zapora UFW. Są to proste, ale skuteczne aplikacje zapory, które zapewniają dodatkową warstwę bezpieczeństwa poprzez filtrowanie ruchu sieciowego na podstawie zestawu reguł.

3. Wyłącz usługi, których nie potrzebujesz

Jeśli masz uruchomione usługi, które nie są aktywnie używane, wyłącz je. Pomaga to zminimalizować powierzchnię ataku i pozostawia atakującego z minimalnymi opcjami wykorzystania i znalezienia luk.

W tym samym wierszu używasz sieci skanowania sieciowego, takiego jak NMAP do skanowania i zbadania jakichkolwiek otwartych portów. Jeśli są otwarte niepotrzebne porty, rozważ blokowanie ich w zaporze.

4. Skonfiguruj opakowania TCP

Opakowania TCP to ACL oparte na hostach (listy kontroli dostępu), które ograniczają dostęp do usług sieciowych na podstawie zestawu reguł, takich jak adresy IP. Opakowania TCP odnoszą się do następujących plików hosta, aby ustalić, gdzie klient otrzyma lub odmówił dostępu do usługi sieciowej.

• /etc/hosts.umożliwić
• /etc/hosts.zaprzeczyć

Kilka punktów do zauważenia:

1. Reguły są odczytane od góry do dołu. Pierwsza reguła dopasowania dla danej usługi zastosowanej jako pierwsza. Zwróć uwagę, że zamówienie jest niezwykle ważne.
2. Zasady w /etc/hosts.umożliwić Plik są stosowane najpierw i mają pierwszeństwo przed regułą zdefiniowaną w /etc/hosts.zaprzeczyć plik. Oznacza to, że jeśli dostęp do usługi sieciowej jest dozwolony w /etc/hosts.umożliwić plik, odmawiając dostępu do tej samej usługi w /etc/hosts.zaprzeczyć Plik zostanie przeoczony lub zignorowany.
3. Jeśli zasady usługi nie istnieją w żadnym z plików hosta, dostęp do Usługi jest domyślnie udzielany.
4. Zmiany wprowadzone do dwóch plików hosta są wdrażane natychmiast bez ponownego uruchomienia Usług.

5. Bezpieczne zdalne protokoły i użyj VPN

W naszych poprzednich tematach przyjrzeliśmy się, w jaki sposób możesz zabezpieczyć protokół SSH, aby powstrzymać złośliwych użytkowników dostępu do systemu. Równie ważne jest użycie VPN do inicjowania zdalnego dostępu do serwera Linux, szczególnie w sieci publicznej. VPN szyfruje wszystkie dane wymienione między serwerem a zdalnymi hostami, co eliminuje szanse na podsługa komunikacji.

6. Całkowiste monitorowanie sieci

Monitorowanie infrastruktury za pomocą narzędzi takich jak Wireshark pomoże Ci monitorować i sprawdzać ruch pod kątem złośliwych pakietów danych. Możesz także zaimplementować Fail2ban, aby zabezpieczyć swój serwer przed atakami bruteforce.

[Może się również podobać: 16 przydatnych narzędzi do monitorowania przepustowości do analizy użycia sieci w Linux]

7. Zainstaluj oprogramowanie antimalware

Linux coraz częściej staje się celem hakerów ze względu na rosnącą popularność i wykorzystanie. Jako takie, rozsądne jest instalowanie narzędzi bezpieczeństwa w celu skanowania systemu pod kątem korzeniowych, wirusów, trojanów i wszelkiego rodzaju złośliwego oprogramowania.

Istnieją popularne rozwiązania OpenSource, takie jak CLAMAV, które są skuteczne w wykrywaniu oddechu z powodu złośliwego oprogramowania. Możesz także rozważyć zainstalowanie ChkrootKit, aby sprawdzić, czy dowolne oznaki korzeniowych w systemie.

8. Segmentacja sieci

Rozważ podzielenie sieci na sieci VLAN (wirtualne sieci lokalne). Odbywa się to poprzez tworzenie podsieci w tej samej sieci, które działają jako samodzielne sieci. Segmentowanie sieci jest długie w ograniczaniu wpływu naruszenia do jednej strefy i znacznie utrudnia dostępowi hakerom dostęp do innych podsieci.

9. Szyfrowanie urządzeń bezprzewodowych

Jeśli masz routery bezprzewodowe lub punkty dostępu w sieci, upewnij się, że korzystają z najnowszych technologii szyfrowania, aby zminimalizować ryzyko ataków man-in-thetdle.

Streszczenie

Bezpieczeństwo sieciowe to ogromny temat, który obejmuje podejmowanie środków w sekcji sprzętu sieci. Przedstawione środki znacznie przyczynią się do poprawy bezpieczeństwa systemu przed wektorami ataku sieciowego.