LFCA: kuidas parandada Linuxi võrgu turvalisust - 19. osa


Alati ühendatud maailmas on võrguturvalisus üha enam üks valdkondi, kuhu organisatsioonid investeerivad palju aega ja ressursse. Seda seetõttu, et ettevõtte võrk on igasuguse IT-infrastruktuuri selgroog ning ühendab kõiki servereid ja võrguseadmeid. Võrgu rikkumise korral jääb organisatsioon häkkerite armu. Olulisi andmeid saab välja filtreerida ning ärikeskseid teenuseid ja rakendusi saab vähendada.

Võrguturvalisus on üsna lai teema ja läheneb tavaliselt kahesuunaliselt. Võrguadministraatorid paigaldavad esimese kaitseliinina tavaliselt võrgu turvaseadmed, näiteks tulemüürid, IDS (sissetungimise tuvastamise süsteemid) ja IPS (sissetungi tõkestamise süsteemid). Kuigi see võib pakkuda korraliku turvakihi, tuleb OS-i tasandil astuda mõningaid täiendavaid samme rikkumiste vältimiseks.

Siinkohal peaksite olema juba tuttav selliste võrgukontseptsioonidega nagu IP-aadressimine ja TCP/IP-teenus ning protokollid. Samuti peaksite olema kursis selliste põhiliste turvakontseptsioonidega nagu tugevate paroolide seadistamine ja tulemüüri seadistamine.

Enne kui käsitleme erinevaid samme teie süsteemi ohutuse tagamiseks, on kõigepealt ülevaade mõnest levinumast võrguohust.

Mis on võrgurünnak?

Suur ja üsna keeruline ettevõttevõrk võib äritegevuse toetamiseks tugineda mitmele ühendatud lõpp-punktile. Ehkki see võib tagada vajaliku ühenduvuse töövoogude sujuvamaks muutmiseks, tekitab see turbeprobleemi. Suurem paindlikkus tähendab laiemat ohumaastikku, mida ründaja saab võrgurünnaku korraldamiseks kasutada.

Mis on võrgurünnak?

Võrgurünnak on volitamata juurdepääs organisatsiooni võrgule, mille ainus eesmärk on pääseda juurde andmetele ja neid varastada ning teha muid alatuid tegevusi, näiteks veebisaitide rikkumine ja rakenduste rikkumine.

Võrgurünnakuid on kahte suurt kategooriat.

  • Passiivne rünnak: passiivse rünnaku korral saab häkker loata juurdepääsu ainult andmete nuhkimisele ja varastamisele, neid muutmata või rikkumata.
  • Aktiivne rünnak: siin ei tungi ründaja mitte ainult andmete varastamiseks võrku, vaid muudab, kustutab, rikub või krüpteerib andmeid, purustab rakendusi ja toob käimasolevad teenused alla. Tõsi, see on kahest rünnakust kõige hävitavam.

Võrgurünnakute tüübid

Vaatame üle mõned levinumad võrgurünnakud, mis võivad teie Linuxi süsteemi ohustada:

Vanade ja aegunud tarkvaraversioonide käitamine võib teie süsteemi hõlpsasti ohtu seada ja see on suuresti selles peituvate loomulike haavatavuste ja tagauste tõttu. Eelmises andmeturbe teemas nägime, kuidas häkkerid kasutasid Equifaxi klientide kaebuste portaali haavatavust ära ja viisid ühe kurikuulsama andmerikkumiseni.

Sel põhjusel on alati soovitatav tarkvaraparandusi pidevalt rakendada, uuendades tarkvararakendused uusimatele versioonidele.

Keskmises rünnakus mees, tavaliselt lühendatult MITM, on rünnak, kus ründaja võtab kasutaja ja rakenduse või lõpp-punkti vahel ühendust. Paigutades end seaduslikuks kasutajaks ja rakenduseks, suudab ründaja krüptimise maha võtta ja pealtkuulatud suhtlus pealt kuulata. See võimaldab tal hankida konfidentsiaalset teavet, näiteks sisselogimisandmeid ja muud isikut tuvastavat teavet.

Sellise rünnaku tõenäoliste sihtmärkide hulka kuuluvad e-kaubanduse saidid, SaaS-i ettevõtted ja finantsrakendused. Selliste rünnakute käivitamiseks kasutavad häkkerid pakettide nuusutamise tööriistu, mis haaravad traadita seadmetest pakette. Seejärel jätkab häkker vahetatavatesse pakettidesse pahatahtlikku koodi.

Pahavara on pahavaratarkvara ja hõlmab paljusid pahatahtlikke rakendusi, nagu viirused, troojalased, nuhkvara ja lunavara. Võrgus olles levib pahavara mitmesugustes seadmetes ja serverites.

Sõltuvalt pahavara tüübist võivad tagajärjed olla laastavad. Viirused ja nuhkvara on võimelised nuhkima, varastama ja väga konfidentsiaalseid andmeid välja filtreerima, faile rikkuma või kustutama, võrku aeglustama ja isegi rakendusi kaaperdama. Lunavara krüpteerib failid, mis on seejärel ligipääsmatud, välja arvatud juhul, kui ohver eraldab olulise summa lunaraha.

DDoS-rünnak on rünnak, kus pahatahtlik kasutaja muudab sihtsüsteemi ligipääsmatuks ja takistab sellega kasutajatel juurdepääsu olulistele teenustele ja rakendustele. Ründaja saavutab selle robotivõrkude abil, et sihtmärgisüsteem üle ujutada tohutute mahtudega SYN-pakettidega, mis muudavad selle lõpuks teatud aja jooksul kättesaamatuks. DDoS-rünnakud võivad tuua alla nii andmebaase kui ka veebisaite.

Privilegeeritud juurdepääsuga rahulolematud töötajad saavad süsteeme hõlpsalt kompromiteerida. Selliseid rünnakuid on tavaliselt raske avastada ja nende eest kaitsta, kuna töötajatel pole vaja võrku sisse tungida. Lisaks võivad mõned töötajad tahtmatult võrku pahavaraga nakatada, kui ühendavad pahavara abil USB-seadmed.

Võrgu rünnakute leevendamine

Vaatame üle mõned meetmed, mida saate võtta, et seada barjäär, mis tagab märkimisväärse turvalisuse võrgurünnakute leevendamiseks.

OS-i tasemel parandatakse tarkvarapakettide värskendamine kõik olemasolevad haavatavused, mis võivad teie süsteemi ohustada häkkerite käivitatud ekspluateerimisega.

Peale võrgu tulemüüride, mis tavaliselt pakuvad esimest kaitseliini sissetungide eest, võite rakendada ka hostipõhise tulemüüri, näiteks UFW tulemüüri. Need on lihtsad, kuid samas tõhusad tulemüürirakendused, mis pakuvad reeglikogumil põhineva võrguliikluse filtreerimise abil täiendavat turvakihti.

Kui teil on töötavaid teenuseid, mida aktiivselt ei kasutata, keelake need. See aitab minimeerida rünnakupinda ja jätab ründajale minimaalsed võimalused võimendamiseks ja lünkade leidmiseks.

Samal real kasutate võrgu skannimise tööriista, näiteks Nmap, et skannida ja uurida avatud porte. Kui on tarbetuid porte, mis on avatud, kaaluge nende tulemüüris blokeerimist.

TCP-ümbrised on hostipõhised ACL-id (pääsukontrolli loendid), mis piiravad juurdepääsu võrguteenustele selliste reeglite alusel nagu IP-aadressid. TCP ümbrised viitavad järgmistele hostifailidele, et teha kindlaks, kus kliendile võrguteenusele juurdepääs antakse või keelatakse.

  • /etc/hosts.allow
  • /etc/hosts.deny

Mõned tähelepanuväärsed punktid:

  1. Reegleid loetakse ülevalt alla. Esmalt rakendati antud teenuse esimest sobitusreeglit. Pange tähele, et järjekord on äärmiselt oluline.
  2. Failis /etc/hosts.allow olevad reeglid rakendatakse kõigepealt ja neil on ülimuslikkus failis /etc/hosts.deny määratletud reegli ees. See tähendab, et kui failis /etc/hosts.allow on juurdepääs võrguteenusele lubatud, siis jäetakse kahe silma vahele või ignoreeritakse failis /etc/hosts.deny samale teenusele juurdepääsu keelamist.
  3. Kui kummaski hostfailis pole teenuseeskirju, antakse vaikimisi juurdepääs teenusele.
  4. Kahes hostifailis tehtud muudatused rakendatakse kohe teenuseid taaskäivitamata.

Oma eelmistes teemades oleme uurinud VPN-i kasutamist kaugjuurdepääsu algatamiseks Linuxi serverile, eriti avaliku võrgu kaudu. VPN krüpteerib kõik serveri ja kaughostide vahel vahetatud andmed ning see välistab side pealtkuulamise võimalused.

Infrastruktuuri jälgimine selliste tööriistadega nagu fail2ban, et kaitsta oma serverit jõhkrate rünnakute eest.

[Samuti võib teile meeldida: 16 kasulikku ribalaiuse jälgimise tööriista võrgu kasutamise analüüsimiseks Linuxis]

Linux on üha suureneva populaarsuse ja kasutamise tõttu muutumas häkkerite sihtmärgiks. Seetõttu on mõistlik installida turbetööriistad süsteemi juurkomplektide, viiruste, Trooja hobuste ja mis tahes pahavara leidmiseks.

Teie süsteemis on juurkomplektide märkide kontrollimiseks populaarseid avatud lähtekoodiga lahendusi, näiteks chkrootkit.

Kaaluge oma võrgu segmenteerimist VLAN-ideks (virtuaalsed kohtvõrgud). Selleks luuakse samasse võrku alamvõrgud, mis toimivad iseseisvate võrkudena. Võrgu segmentimine aitab rikkumise mõju ühe tsooniga piirata ja häkkeritel on palju raskem pääseda teistesse alamvõrkudesse.

Kui teie võrgus on traadita ruutereid või pöörduspunkte, veenduge, et need kasutaksid uusimaid krüptimistehnoloogiaid, et minimeerida rünnakute riski keskel.

Võrguturvalisus on tohutu teema, mis hõlmab võrgu riistvara jaotises meetmete võtmist ja operatsioonisüsteemi hostipõhiste poliitikate rakendamist sissetungimiste eest kaitsva kihi lisamiseks. Esitatud meetmed aitavad teie süsteemi turvalisust võrgurünnakuvektorite vastu palju parandada.