LFCA: Kako izboljšati omrežno varnost Linuxa - 19. del

V vedno povezanem svetu postaja omrežna varnost vedno bolj eno od področij, kjer organizacije vlagajo veliko časa in sredstev. To je zato, ker je omrežje podjetja hrbtenica katere koli IT infrastrukture in povezuje vse strežnike in omrežne naprave. Če bo omrežje prekinjeno, bo organizacija v veliki meri prepuščena hekerjem. Izločiti je mogoče ključne podatke in ukiniti poslovne storitve ter aplikacije.

Omrežna varnost je precej obsežna tema in ima navadno dvostranski pristop. Omrežni skrbniki običajno namestijo omrežne varnostne naprave, kot so požarni zidovi, IDS (sistemi za odkrivanje vdorov) in IPS (sistemi za preprečevanje vdorov) kot prvo obrambno linijo. Čeprav lahko to zagotavlja dostojno raven varnosti, je treba na ravni OS sprejeti nekaj dodatnih korakov, da se preprečijo kakršne koli kršitve.

Na tej točki bi morali biti že seznanjeni s koncepti mreženja, kot so naslavljanje IP ter storitev in protokoli TCP/IP. Morali bi biti tudi na tekočem z osnovnimi varnostnimi koncepti, kot sta nastavitev močnih gesel in nastavitev požarnega zidu.

Preden bomo obravnavali različne korake za zagotovitev varnosti vašega sistema, si najprej oglejmo nekatere pogoste omrežne grožnje.

Kaj je omrežni napad?

Veliko in dokaj zapleteno omrežje podjetja se lahko zanaša na več povezanih končnih točk za podporo poslovanja. Čeprav to lahko zagotavlja potrebno povezljivost za poenostavitev delovnih tokov, predstavlja varnostni izziv. Več prilagodljivosti pomeni širšo pokrajino groženj, ki jo napadalec lahko uporabi za omrežni napad.

Torej, kaj je omrežni napad?

Omrežni napad je nepooblaščen dostop do omrežja organizacije z izključnim namenom dostopa do podatkov in kraje podatkov ter izvajanja drugih hudobnih dejavnosti, kot so uničevanje spletnih mest in poškodovanje aplikacij.

Obstajata dve široki kategoriji omrežnih napadov.

  • Pasivni napad: v pasivnem napadu heker pridobi nepooblaščen dostop do izključno vohunjenja in kraje podatkov, ne da bi jih spremenil ali pokvaril.
  • Aktivni napad: Tu napadalec ne samo infiltrira v omrežje, da bi ukradel podatke, temveč tudi spreminja, briše, kvari ali šifrira podatke in drobi programe ter uničuje delujoče storitve. Resda je to najbolj uničujoč napad.

Vrste omrežnih napadov

Oglejmo si nekaj običajnih omrežnih napadov, ki lahko ogrozijo vaš sistem Linux:

Zagon starih in zastarelih različic programske opreme lahko vaš sistem zlahka ogrozi, kar je predvsem posledica lastnih ranljivosti in zaledja, ki se skrivajo v njem. V prejšnji temi o varnosti podatkov smo videli, kako so hekerji izkoristili ranljivost na portalu za pritožbe strank Equifaxa in privedli do ene najbolj zloglasnih kršitev podatkov.

Zaradi tega je vedno priporočljivo nenehno uporabljati popravke programske opreme z nadgradnjo programske opreme na najnovejše različice.

Človek v srednjem napadu, navadno okrajšan kot MITM, je napad, kjer napadalec prestreže komunikacijo med uporabnikom in aplikacijo ali končno točko. S postavitvijo med zakonitim uporabnikom in aplikacijo lahko napadalec odstrani šifriranje in prisluhne komunikaciji, poslani v in iz nje. To mu omogoča, da pridobi zaupne podatke, kot so poverilnice za prijavo, in druge osebne podatke.

Verjetni cilji takega napada so spletna mesta e-trgovine, podjetja SaaS in finančne aplikacije. Za sprožitev takšnih napadov hekerji uporabljajo orodja za vohanje paketov, ki zajemajo pakete iz brezžičnih naprav. Nato heker vbrizga zlonamerno kodo v izmenjane pakete.

Zlonamerna programska oprema je del zlonamerne programske opreme in obsega širok nabor zlonamernih aplikacij, kot so virusi, trojanski programi, vohunska programska oprema in ransomware. Ko se zlonamerna programska oprema v omrežju širi po različnih napravah in strežnikih.

Posledice so lahko uničujoče, odvisno od vrste zlonamerne programske opreme. Virusi in vohunska programska oprema lahko vohunijo, kradejo in širijo zaupne podatke, kvarijo ali brišejo datoteke, upočasnjujejo omrežje in celo ugrabljajo programe. Ransomware šifrira datoteke, ki postanejo nedostopne, razen če se žrtev ne odkupi z znatnim zneskom.

DDoS napad je napad, pri katerem zlonamerni uporabnik ciljni sistem onemogoči in s tem prepreči uporabnikom dostop do ključnih storitev in aplikacij. Napadalec to doseže z uporabo botnetov, da ciljni sistem preplavi z ogromno količino paketov SYN, zaradi česar je za nekaj časa nedostopen. DDoS-napadi lahko uničijo baze podatkov in spletna mesta.

Nezadovoljni zaposleni s privilegiranim dostopom lahko zlahka ogrozijo sisteme. Takšne napade je običajno težko zaznati in zaščititi, saj zaposlenim ni treba infiltrirati v omrežje. Poleg tega lahko nekateri zaposleni nenamerno okužijo omrežje z zlonamerno programsko opremo, ko priklopijo naprave USB z zlonamerno programsko opremo.

Blažitev omrežnih napadov

Oglejmo si nekaj ukrepov, s katerimi lahko postavite oviro, ki bo zagotovila znatno stopnjo varnosti za ublažitev omrežnih napadov.

Na ravni operacijskega sistema bo posodobitev programskih paketov popravila vse obstoječe ranljivosti, zaradi katerih bo vaš sistem ogrožen zaradi izkoriščanja hekerjev.

Poleg omrežnih požarnih zidov, ki običajno zagotavljajo prvo obrambno črto pred vdori, lahko namestite tudi gostiteljski požarni zid, kot je požarni zid UFW. To so preproste, a učinkovite aplikacije požarnega zidu, ki zagotavljajo dodatno stopnjo varnosti s filtriranjem omrežnega prometa na podlagi sklopa pravil.

Če imate zagnane storitve, ki se ne uporabljajo aktivno, jih onemogočite. To pomaga minimizirati površino napada in napadalec ima na voljo minimalne možnosti za izkoriščanje in iskanje vrzeli.

V isti vrstici uporabljate orodje za omrežno optično branje, kot je Nmap, za iskanje in odkrivanje odprtih vrat. Če so odprta odprtina vrat, jih blokirajte na požarnem zidu.

Ovijalniki TCP so ACL-ji na osnovi gostitelja (seznami za nadzor dostopa), ki omejujejo dostop do omrežnih storitev na podlagi sklopa pravil, kot so naslovi IP. Ovijači TCP se sklicujejo na naslednje gostiteljske datoteke, da določijo, kje bo odjemalec dobil ali zavrnjen dostop do omrežne storitve.

  • /etc/hosts.allow
  • /etc/hosts.deny

Nekaj točk:

  1. Pravila se berejo od zgoraj navzdol. Prvo pravilo ujemanja za določeno storitev se je najprej uporabilo. Upoštevajte, da je vrstni red izjemnega pomena.
  2. Pravila v datoteki /etc/hosts.allow se najprej uporabijo in imajo prednost pred pravilom, definiranim v datoteki /etc/hosts.deny. To pomeni, da če bo dostop do omrežne storitve dovoljen v datoteki /etc/hosts.allow, bo zavrnitev dostopa do iste storitve v datoteki /etc/hosts.deny spregledana ali prezrta.
  3. Če pravila storitve ne obstajajo v nobeni od datotek gostitelja, je dostop do storitve privzeto odobren.
  4. Spremembe obeh gostiteljskih datotek se izvedejo takoj brez ponovnega zagona storitev.

V prejšnjih temah smo obravnavali uporabo omrežja VPN za sprožitev oddaljenega dostopa do strežnika Linux, zlasti prek javnega omrežja. VPN šifrira vse podatke, ki se izmenjujejo med strežnikom in oddaljenimi gostitelji, kar izključuje možnosti, da bi se komunikacija prisluškovala.

Spremljajte svojo infrastrukturo z orodji, kot je fail2ban, da zaščitite strežnik pred napadi bruteforce.

[Morda vam bo všeč tudi: 16 uporabnih orodij za nadzor pasovne širine za analizo uporabe omrežja v Linuxu]

Linux vse bolj postaja tarča hekerjev zaradi vse večje priljubljenosti in uporabe. Kot tak je smotrno namestiti varnostna orodja za pregled sistema za rootkite, viruse, trojanske programe in kakršno koli škodljivo programsko opremo.

Obstajajo priljubljene rešitve odprtega vira, kot je chkrootkit, da preverite, ali obstajajo znaki rootkitov v vašem sistemu.

Razmislite o segmentiranju svojega omrežja v omrežja VLAN (navidezna lokalna omrežja). To se naredi z ustvarjanjem podomrežij v istem omrežju, ki delujejo kot samostojna omrežja. Segmentiranje vašega omrežja močno prispeva k omejevanju vpliva kršitve na eno območje in hekerjem otežuje dostop do drugih podomrežij.

Če imate v svojem omrežju brezžične usmerjevalnike ali dostopne točke, se prepričajte, da uporabljajo najnovejše tehnologije šifriranja, da zmanjšajo tveganje za napade človeka v sredini.

Omrežna varnost je velika tema, ki zajema izvajanje ukrepov na področju omrežne strojne opreme in izvajanje pravilnikov, ki temeljijo na gostiteljih, v operacijskem sistemu za dodajanje zaščitne plasti pred vdori. Opisani ukrepi bodo daleč pri izboljšanju varnosti vašega sistema pred vektorji mrežnega napada.