Kako preveriti delovanje omrežja, varnost in odpravljanje težav v Linuxu - 12. del

Zvočna analiza računalniškega omrežja se začne z razumevanjem, katera orodja so na voljo za izvedbo naloge, kako izbrati prave (-e) za vsak korak in nenazadnje, kje začeti.

To je zadnji del serije LFCE ( Linux Foundation Certified Engineer ), tukaj bomo pregledali nekaj dobro znanih orodij za pregled zmogljivosti in povečanje varnosti omrežja in kaj storiti, ko se stvari ne odvijajo po pričakovanjih.

Upoštevajte, da se ta seznam ne zdi celovit, zato vas prosimo, da to objavo komentirate z obrazcem na dnu, če želite dodati še en uporaben pripomoček, ki bi ga morda pogrešali.

Ena prvih stvari, ki jih mora sistemski skrbnik vedeti o vsakem sistemu, je, katere storitve se izvajajo in zakaj. S temi informacijami je pametno, da onemogočite vse, ki niso nujno potrebni, in se izognete gostovanju preveč strežnikov v isti fizični napravi.

Na primer, morate onemogočiti strežnik FTP , če ga vaše omrežje ne potrebuje (mimogrede, obstajajo bolj varni načini za skupno rabo datotek prek omrežja). Poleg tega se izogibajte spletnemu strežniku in strežniku baz podatkov v istem sistemu. Če ena komponenta postane ogrožena, tvegajo, da bodo ogroženi tudi ostali.

ss se uporablja za izpis statistike vtičnic in prikazuje informacije, podobne netstatu, čeprav lahko prikaže več informacij o TCP in stanju kot druga orodja. Poleg tega je v man netstat naveden kot zamenjava za netstat, ki je zastarel.

Vendar se bomo v tem članku osredotočili samo na informacije, povezane z varnostjo omrežja.

Vse storitve, ki se izvajajo na njihovih privzetih vratih (npr. Http na 80, mysql na 3306), so označene z njihovimi imeni. Drugi (tukaj zakriti zaradi varovanja zasebnosti) so prikazani v številčni obliki.

# ss -t -a

Prvi stolpec prikazuje stanje TCP , drugi in tretji pa količino podatkov, ki so trenutno v čakalni vrsti za sprejem in prenos. Četrti in peti stolpec prikazujeta izvorno in ciljno vtičnico vsake povezave.
V stranski opombi boste morda želeli preveriti RFC 793, da osvežite spomin o možnih stanjih TCP, ker morate preveriti tudi število in stanje odprtih povezav TCP, da se seznanite z napadi (D) DoS.

# ss -t -o

V zgornjem izhodu lahko vidite, da obstajata 2 vzpostavljeni SSH povezavi. Če opazite vrednost drugega polja časovnika :, boste v prvi povezavi opazili vrednost 36 minut. Toliko časa bo poslano do naslednje sonde za ohranitev.

Ker gre za povezavo, ki jo ohranjamo živo, lahko varno domnevate, da gre za neaktivno povezavo in tako lahko po ugotovitvi njegovega PID ubije postopek.

Kar se tiče druge povezave, lahko vidite, da se trenutno uporablja (kot je prikazano na).

Recimo, da želite filtrirati povezave TCP po vtičnici. S stališča strežnika morate preveriti povezave, kjer so izvorna vrata 80.

# ss -tn sport = :80

Kaže v..

Optično branje vrat je pogosta tehnika, ki jo crakerji uporabljajo za prepoznavanje aktivnih gostiteljev in odprtih vrat v omrežju. Ko je ranljivost odkrita, jo izkoristijo za dostop do sistema.

Pametni sysadmin mora preveriti, kako njegove sisteme vidijo tujci, in se prepričati, da ničesar ne prepušča naključju, tako da jih pogosto pregleduje. To se imenuje\" pregledovanje obrambnih vrat ".

Z naslednjim ukazom lahko preberete, katera vrata so odprta v vašem sistemu ali na oddaljenem gostitelju:

# nmap -A -sS [IP address or hostname]

Zgornji ukaz bo skeniral gostitelja za odkrivanje OS in različice , informacij o vratih in poti poti ( -A ). Nazadnje, -sS pošlje TCP SYN skeniranje, s čimer prepreči, da bi nmap dokončal 3-smerno TCP rokovanje in tako običajno ne pušča dnevnikov na ciljnem računalniku.

Preden nadaljujete z naslednjim primerom, upoštevajte, da skeniranje vrat ni nezakonita dejavnost. Kaj je nezakonito, je uporaba rezultatov v zlonamerne namene.

Na primer, izhod zgornjega ukaza, zagnanega proti glavnemu strežniku lokalne univerze, vrne naslednje (zaradi kratkosti je prikazan le del rezultata):

Kot lahko vidite, smo odkrili več nepravilnosti, o katerih bi se morali dobro sporočiti sistemskim skrbnikom na tej lokalni univerzi.

Ta posebna operacija iskanja vrat ponuja vse informacije, ki jih lahko dobite tudi z drugimi ukazi, kot so:

# nmap -p [port] [hostname or address]

# nmap -A [hostname or address]

Optično preberete lahko tudi več vrat (obseg) ali podomrežij, kot sledi:

# nmap -p 21,22,80 192.168.0.0/24 

Opomba: Zgornji ukaz skenira vrata 21, 22 in 80 na vseh gostiteljih v tem segmentu omrežja.

Za nadaljnje podrobnosti o tem, kako izvesti druge vrste skeniranja vrat, lahko preverite na strani z navodili . Nmap je resnično zelo zmogljiv in vsestranski pripomoček za preslikavo omrežij, zato bi ga morali dobro poznati, da bi zaščitili sisteme, za katere ste odgovorni, pred napadi, ki so nastali po zlonamernem pregledu vrat s strani tujcev.