LFCA: Kā uzlabot Linux tīkla drošību — 19. daļa

Pastāvīgi savienotajā pasaulē tīkla drošība arvien vairāk kļūst par vienu no jomām, kurā organizācijas iegulda daudz laika un resursu. Tas ir tāpēc, ka uzņēmuma tīkls ir jebkuras IT infrastruktūras mugurkauls un savieno visus serverus un tīkla ierīces. Ja tīkls tiek uzlauzts, organizācija gandrīz pilnībā nonāks hakeru žēlastībā. Svarīgos datus var izfiltrēt un samazināt uz biznesu orientētus pakalpojumus un lietojumprogrammas.

Tīkla drošība ir diezgan plaša tēma, un parasti tai ir divpusēja pieeja. Tīkla administratori parasti kā pirmo aizsardzības līniju instalē tīkla drošības ierīces, piemēram, ugunsmūrus, IDS (ielaušanās noteikšanas sistēmas) un IPS (ielaušanās novēršanas sistēmas). Lai gan tas var nodrošināt pienācīgu drošības līmeni, OS līmenī ir jāveic dažas papildu darbības, lai novērstu jebkādus pārkāpumus.

Šajā brīdī jums jau vajadzētu iepazīties ar tādiem tīkla jēdzieniem kā IP adresēšana un TCP/IP pakalpojums un protokoli. Jums vajadzētu būt arī lietas kursā ar pamata drošības jēdzieniem, piemēram, spēcīgu paroļu iestatīšanu un ugunsmūra iestatīšanu.

Pirms mēs aplūkojam dažādas darbības, lai nodrošinātu jūsu sistēmas drošību, vispirms iegūsim pārskatu par dažiem izplatītākajiem tīkla draudiem.

Kas ir tīkla uzbrukums?

Liels un diezgan sarežģīts uzņēmumu tīkls var paļauties uz vairākiem savienotiem galapunktiem, lai atbalstītu biznesa operācijas. Lai gan tas var nodrošināt nepieciešamo savienojumu, lai racionalizētu darbplūsmas, tas rada drošības izaicinājumu. Lielāka elastība nozīmē plašāku draudu ainavu, ko uzbrucējs var izmantot, lai uzsāktu tīkla uzbrukumu.

Tātad, kas ir tīkla uzbrukums?

Tīkla uzbrukums ir nesankcionēta piekļuve organizācijas tīklam ar vienīgo mērķi piekļūt datiem un nozagt tos un veikt citas kaitīgas darbības, piemēram, vietņu sabojāšanu un lietojumprogrammu sabojāšanu.

Ir divas plašas tīkla uzbrukumu kategorijas.

  • Pasīvs uzbrukums: pasīvā uzbrukumā hakeris iegūst nesankcionētu piekļuvi, lai tikai izspiegotu un nozagtu datus, tos nepārveidojot vai nesabojājot.
  • Aktīvs uzbrukums: šajā gadījumā uzbrucējs ne tikai iefiltrējas tīklā, lai nozagtu datus, bet arī modificē, dzēš, sabojā vai šifrē datus un iznīcina lietojumprogrammas, kā arī pazemina darbojošos pakalpojumus. Jāatzīst, ka šis ir postošākais no diviem uzbrukumiem.

Tīkla uzbrukumu veidi

Apskatīsim dažus izplatītākos tīkla uzbrukumus, kas var apdraudēt jūsu Linux sistēmu:

Izmantojot vecas un novecojušas programmatūras versijas, jūsu sistēma var viegli tikt apdraudēta, un tas galvenokārt ir saistīts ar ievainojamību un aizmugures durvīm, kas tajā slēpjas. Iepriekšējā tēmā par datu drošību mēs redzējām, kā hakeri izmantoja ievainojamību Equifax klientu sūdzību portālā un noveda pie viena no bēdīgi slavenākajiem datu pārkāpumiem.

Šī iemesla dēļ vienmēr ir ieteicams pastāvīgi lietot programmatūras ielāpus, jauninot lietojumprogrammas uz jaunākajām versijām.

Cilvēka vidū uzbrukums, ko parasti saīsina kā MITM, ir uzbrukums, kurā uzbrucējs pārtver saziņu starp lietotāju un lietojumprogrammu vai galapunktu. Novietojot sevi starp likumīgu lietotāju un lietojumprogrammu, uzbrucējs var noņemt šifrēšanu un noklausīties saziņu, kas tiek nosūtīta uz un no. Tas ļauj viņam izgūt konfidenciālu informāciju, piemēram, pieteikšanās akreditācijas datus un citu personu identificējošu informāciju.

Iespējamie šāda uzbrukuma mērķi ir e-komercijas vietnes, SaaS uzņēmumi un finanšu lietojumprogrammas. Lai uzsāktu šādus uzbrukumus, hakeri izmanto pakešu sniffing rīkus, kas tver paketes no bezvadu ierīcēm. Pēc tam hakeris apmaināmajās paketēs ievada ļaunprātīgu kodu.

Ļaunprātīga programmatūra ir ļaunprātīgas programmatūras slēpnis, un tā ietver plašu ļaunprātīgu lietojumprogrammu klāstu, piemēram, vīrusus, Trojas zirgus, spiegprogrammatūru un izspiedējprogrammatūru, lai pieminētu dažas. Nokļūstot tīklā, ļaunprātīga programmatūra izplatās dažādās ierīcēs un serveros.

Atkarībā no ļaunprātīgas programmatūras veida sekas var būt postošas. Vīrusi un spiegprogrammatūra spēj izspiegot, zagt un izfiltrēt ļoti konfidenciālus datus, sabojāt vai dzēst failus, palēnināt tīkla darbību un pat nolaupīt lietojumprogrammas. Ransomware šifrē failus, kas pēc tam kļūst nepieejami, ja vien upuris nesadala ievērojamu izpirkuma maksu.

DDoS uzbrukums ir uzbrukums, kurā ļaunprātīgs lietotājs padara mērķa sistēmu nepieejamu un tādējādi neļauj lietotājiem piekļūt būtiskiem pakalpojumiem un lietojumprogrammām. Uzbrucējs to panāk, izmantojot robottīklus, lai mērķa sistēmu pārpludinātu ar milzīgiem SYN pakešu apjomiem, kas galu galā padara to nepieejamu uz noteiktu laiku. DDoS uzbrukumi var sagraut datu bāzes, kā arī vietnes.

Neapmierināti darbinieki ar priviliģētu piekļuvi var viegli apdraudēt sistēmas. Šādus uzbrukumus parasti ir grūti atklāt un pret tiem aizsargāties, jo darbiniekiem nav jāiefiltrējas tīklā. Turklāt daži darbinieki var netīši inficēt tīklu ar ļaunprātīgu programmatūru, kad viņi pievieno USB ierīces ar ļaunprātīgu programmatūru.

Tīkla uzbrukumu mazināšana

Apskatīsim dažus pasākumus, ko varat veikt, lai izveidotu barjeru, kas nodrošinās ievērojamu drošības pakāpi tīkla uzbrukumu mazināšanai.

Operētājsistēmas līmenī programmatūras pakotņu atjaunināšana aizlāps visas esošās ievainojamības, kas var pakļaut jūsu sistēmai hakeru uzsākto ekspluatāciju risku.

Papildus tīkla ugunsmūriem, kas parasti nodrošina pirmo aizsardzības līniju pret ielaušanos, varat ieviest arī uz resursdatora balstītu ugunsmūri, piemēram, UFW ugunsmūri. Šīs ir vienkāršas, taču efektīvas ugunsmūra lietojumprogrammas, kas nodrošina papildu drošības līmeni, filtrējot tīkla trafiku, pamatojoties uz noteikumu kopumu.

Ja darbojas pakalpojumi, kas netiek aktīvi izmantoti, atspējojiet tos. Tas palīdz samazināt uzbrukuma virsmu un atstāj uzbrucējam minimālas iespējas izmantot un atrast nepilnības.

Tajā pašā rindā jūs izmantojat tīkla skenēšanas rīku, piemēram, Nmap, lai skenētu un pārbaudītu visus atvērtos portus. Ja ir atvērti nevajadzīgi porti, apsveriet iespēju tos bloķēt ugunsmūrī.

TCP aptinēji ir uz resursdatora balstīti ACL (piekļuves kontroles saraksti), kas ierobežo piekļuvi tīkla pakalpojumiem, pamatojoties uz noteikumu kopumu, piemēram, IP adresēm. TCP iesaiņotāji atsaucas uz šādiem resursdatora failiem, lai noteiktu, kur klientam tiks piešķirta vai liegta piekļuve tīkla pakalpojumam.

  • /etc/hosts.allow
  • /etc/hosts.deny

Daži punkti, kas jāņem vērā:

  1. Noteikumi tiek lasīti no augšas uz leju. Vispirms tika piemērota pirmā atbilstības kārtula konkrētajam pakalpojumam. Ņemiet vērā, ka secībai ir ārkārtīgi liela nozīme.
  2. Vispirms tiek lietoti kārtulas failā /etc/hosts.allow, un tām ir prioritāte pār kārtulu, kas definēta failā /etc/hosts.deny. Tas nozīmē, ka, ja failā /etc/hosts.allow ir atļauta piekļuve tīkla pakalpojumam, piekļuves liegšana tam pašam pakalpojumam failā /etc/hosts.deny tiks ignorēta vai ignorēta.
  3. Ja pakalpojuma kārtulas neeksistē nevienā no resursdatora failiem, piekļuve pakalpojumam tiek piešķirta pēc noklusējuma.
  4. Izmaiņas, kas veiktas abos resursdatora failos, tiek ieviestas nekavējoties, nerestartējot pakalpojumus.

Iepriekšējās tēmās mēs apskatījām VPN izmantošanu, lai uzsāktu attālo piekļuvi Linux serverim, īpaši publiskā tīklā. VPN šifrē visus datus, ar kuriem apmainās starp serveri un attālajiem saimniekiem, un tas novērš iespēju, ka saziņa tiks noklausīta.

Infrastruktūras pārraudzība, izmantojot tādus rīkus kā fail2ban, lai aizsargātu serveri no brutālā spēka uzbrukumiem.

[Jums varētu patikt arī: 16 noderīgi joslas platuma uzraudzības rīki, lai analizētu tīkla lietojumu operētājsistēmā Linux]

Linux arvien vairāk kļūst par hakeru mērķi, jo pieaug tā popularitāte un izmantošana. Tāpēc ir saprātīgi instalēt drošības rīkus, lai skenētu sistēmu sakņu komplektiem, vīrusiem, Trojas zirgiem un jebkāda veida ļaunprātīgai programmatūrai.

Ir populāri atvērtā pirmkoda risinājumi, piemēram, chkrootkit, lai pārbaudītu, vai jūsu sistēmā nav nekādu sakņu komplektu pazīmju.

Apsveriet iespēju segmentēt savu tīklu VLAN (virtuālajos lokālajos tīklos). Tas tiek darīts, izveidojot apakštīklus tajā pašā tīklā, kas darbojas kā atsevišķi tīkli. Tīkla segmentēšana ievērojami ierobežo pārkāpuma ietekmi uz vienu zonu, un hakeriem ir daudz grūtāk piekļūt citiem apakštīkliem.

Ja jūsu tīklā ir bezvadu maršrutētāji vai piekļuves punkti, pārliecinieties, vai tie izmanto jaunākās šifrēšanas tehnoloģijas, lai samazinātu uzbrukuma risku.

Tīkla drošība ir milzīga tēma, kas ietver pasākumu veikšanu tīkla aparatūras sadaļā, kā arī uz resursdatora balstītu politiku ieviešanu operētājsistēmā, lai pievienotu aizsardzības slāni pret ielaušanos. Izklāstītie pasākumi ievērojami uzlabos jūsu sistēmas drošību pret tīkla uzbrukuma vektoriem.