Поиск по сайту:

LFCA: Как улучшить сетевую безопасность Linux – Часть 19

В постоянно подключенном мире сетевая безопасность все чаще становится одной из областей, в которую организации вкладывают много времени и ресурсов. Это связано с тем, что сеть компании является основой любой ИТ-инфраструктуры и соединяет все серверы и сетевые устройства. Если сеть будет взломана, организация в значительной степени окажется во власти хакеров. Важнейшие данные могут быть похищены, а бизнес-ориентированные сервисы и приложения могут быть отключены.

Сетевая безопасность — довольно обширная тема, и обычно она предполагает двусторонний подход. Сетевые администраторы обычно устанавливают устройства сетевой безопасности, такие как межсетевые экраны, IDS (системы обнаружения вторжений) и IPS (системы предотвращения вторжений), в качестве первой линии защиты. Хотя это может обеспечить достойный уровень безопасности, необходимо предпринять некоторые дополнительные шаги на уровне ОС, чтобы предотвратить любые нарушения.

К этому моменту вы уже должны быть знакомы с сетевыми концепциями, такими как IP-адресация, службы и протоколы TCP/IP. Вы также должны быть в курсе основных концепций безопасности, таких как установка надежных паролей и настройка брандмауэра.

Прежде чем мы рассмотрим различные шаги по обеспечению безопасности вашей системы, давайте сначала рассмотрим некоторые распространенные сетевые угрозы.

Что такое сетевая атака?

Большая и довольно сложная корпоративная сеть может полагаться на несколько подключенных конечных точек для поддержки бизнес-операций. Хотя это может обеспечить необходимые возможности подключения для оптимизации рабочих процессов, это создает проблему безопасности. Большая гибкость означает более широкий спектр угроз, который злоумышленник может использовать для начала сетевой атаки.

Итак, что такое сетевая атака?

Сетевая атака — это несанкционированный доступ к сети организации с единственной целью — получить доступ к данным и украсть их, а также выполнить другие гнусные действия, такие как порча веб-сайтов и повреждение приложений.

Существует две большие категории сетевых атак.

  • Пассивная атака. При пассивной атаке хакер получает несанкционированный доступ исключительно для шпионажа и кражи данных, не изменяя и не повреждая их.
  • Активная атака. Злоумышленник не только проникает в сеть для кражи данных, но также изменяет, удаляет, повреждает или шифрует данные, блокирует приложения и выводит из строя работающие службы. По общему признанию, это самая разрушительная из двух атак.

Типы сетевых атак

Давайте рассмотрим некоторые распространенные сетевые атаки, которые могут поставить под угрозу вашу систему Linux:

1. Уязвимости программного обеспечения

Использование старых и устаревших версий программного обеспечения может легко подвергнуть вашу систему риску, и это во многом связано с присущими ей уязвимостями и бэкдорами, которые скрываются в ней. В предыдущей теме о безопасности данных мы видели, как хакеры воспользовались уязвимостью на портале жалоб клиентов Equifax и привели к одной из самых печально известных утечек данных.

Именно по этой причине всегда желательно постоянно применять исправления программного обеспечения, обновляя свои программные приложения до последних версий.

2. Человек посередине атакует

Атака «человек посередине», обычно называемая MITM, — это атака, при которой злоумышленник перехватывает связь между пользователем и приложением или конечной точкой. Позиционируя себя между законным пользователем и приложением, злоумышленник может обойти шифрование и подслушать передаваемые сообщения. Это позволяет ему получать конфиденциальную информацию, такую как учетные данные для входа и другую личную информацию.

Вероятные цели такой атаки включают сайты электронной коммерции, SaaS-бизнес и финансовые приложения. Для запуска таких атак хакеры используют инструменты перехвата пакетов, которые перехватывают пакеты с беспроводных устройств. Затем хакер приступает к внедрению вредоносного кода в пакеты, которыми обмениваются.

3. Вредоносное ПО

Вредоносное ПО представляет собой разновидность вредоносного программного обеспечения и включает в себя широкий спектр вредоносных приложений, таких как вирусы, трояны, шпионские программы и программы-вымогатели, и это лишь некоторые из них. Попав в сеть, вредоносное ПО распространяется по различным устройствам и серверам.

В зависимости от типа вредоносного ПО последствия могут быть разрушительными. Вирусы и шпионское ПО способны шпионить, красть и распространять конфиденциальные данные, повреждать или удалять файлы, замедлять работу сети и даже захватывать приложения. Программа-вымогатель шифрует файлы, делая их недоступными, если жертва не отдаст им значительную сумму выкупа.

4. Распределенные атаки типа «отказ в обслуживании» (DDoS)

DDoS-атака — это атака, при которой злоумышленник делает целевую систему недоступной и тем самым лишает пользователей доступа к важным службам и приложениям. Злоумышленник достигает этого с помощью ботнетов, которые наводняют целевую систему огромными объемами SYN-пакетов, что в конечном итоге делает ее недоступной на определенный период времени. DDoS-атаки могут вывести из строя как базы данных, так и веб-сайты.

5. Внутренние угрозы/недобросовестные сотрудники

Недовольные сотрудники с привилегированным доступом могут легко скомпрометировать системы. Такие атаки обычно сложно обнаружить и защититься от них, поскольку сотрудникам не нужно проникать в сеть. Кроме того, некоторые сотрудники могут непреднамеренно заразить сеть вредоносным ПО, когда подключают USB-устройства с вредоносным ПО.

Смягчение сетевых атак

Давайте рассмотрим несколько мер, которые вы можете предпринять, чтобы поставить барьер, который обеспечит значительную степень безопасности для смягчения сетевых атак.

1. Поддерживайте актуальность программных приложений

На уровне ОС обновление ваших программных пакетов исправит все существующие уязвимости, которые могут подвергнуть вашу систему риску эксплойтов, запущенных хакерами.

Реализация брандмауэра на базе хоста

Помимо сетевых брандмауэров, которые обычно обеспечивают первую линию защиты от вторжений, вы также можете реализовать межсетевой экран на базе хоста, например firewalld и UFW. Это простые, но эффективные приложения брандмауэра, которые обеспечивают дополнительный уровень безопасности путем фильтрации сетевого трафика на основе набора правил.

3. Отключите ненужные вам службы.

Если у вас есть запущенные службы, которые активно не используются, отключите их. Это помогает минимизировать поверхность атаки и оставляет злоумышленнику минимальные возможности для использования и поиска лазеек.

В той же строке вы используете инструмент сетевого сканирования, такой как Nmap, для сканирования и проверки любых открытых портов. Если есть открытые ненужные порты, рассмотрите возможность их блокировки на брандмауэре.

4. Настройте TCP-оболочки

Оболочки TCP — это ACL на основе хоста (списки контроля доступа), которые ограничивают доступ к сетевым службам на основе набора правил, таких как IP-адреса. Оболочки TCP ссылаются на следующие файлы хоста, чтобы определить, где клиенту будет предоставлен или запрещен доступ к сетевой службе.

  • /etc/hosts.allow
  • /etc/hosts.deny

Несколько моментов, на которые следует обратить внимание:

  1. Правила читаются сверху вниз. Первым применяется первое правило соответствия для данной услуги. Обратите внимание, что порядок чрезвычайно важен.
  2. Правила из файла /etc/hosts.allow применяются первыми и имеют приоритет над правилом, определенным в файле /etc/hosts.deny. Это означает, что если доступ к сетевой службе разрешен в файле /etc/hosts.allow, доступ к той же службе запрещен в файле /etc/hosts.deny. будут упущены из виду или проигнорированы.
  3. Если правила службы не существуют ни в одном из хост-файлов, доступ к службе предоставляется по умолчанию.
  4. Изменения, внесенные в два хост-файла, вступают в силу немедленно, без перезапуска служб.

5. Безопасные удаленные протоколы и использование VPN

В наших предыдущих темах мы рассмотрели, как можно защитить протокол SSH, чтобы предотвратить доступ злоумышленников к вашей системе. Не менее важно использовать VPN для инициирования удаленного доступа к серверу Linux, особенно через общедоступную сеть. VPN шифрует все данные, которыми обмениваются сервер и удаленные хосты, и это исключает вероятность подслушивания связи.

6. Круглосуточный мониторинг сети

Мониторинг вашей инфраструктуры с помощью таких инструментов, как WireShark, поможет вам отслеживать и проверять трафик на наличие вредоносных пакетов данных. Вы также можете реализовать Fail2ban, чтобы защитить свой сервер от атак методом перебора.

7. Установите антивирусное программное обеспечение.

Linux все чаще становится целью хакеров из-за его растущей популярности и использования. Поэтому разумно установить инструменты безопасности для сканирования системы на наличие руткитов, вирусов, троянов и любых вредоносных программ.

Существуют популярные решения с открытым исходным кодом, такие как ClamAV, которые эффективно обнаруживают вредоносные программы. Вы также можете рассмотреть возможность установки chkrootkit, чтобы проверить наличие руткитов в вашей системе.

8. Сегментация сети

Рассмотрите возможность сегментирования вашей сети на VLAN (виртуальные локальные сети). Это достигается путем создания в одной сети подсетей, которые действуют как автономные сети. Сегментирование вашей сети во многом ограничивает последствия взлома одной зоной и значительно усложняет хакерам доступ к другим подсетям.

9. Шифрование беспроводных устройств

Если в вашей сети есть беспроводные маршрутизаторы или точки доступа, убедитесь, что они используют новейшие технологии шифрования, чтобы минимизировать риски атак «человек посередине».

Краткое содержание

Сетевая безопасность — это огромная тема, которая включает в себя принятие мер в отношении сетевого оборудования, а также реализацию политик на основе хоста в операционной системе для добавления уровня защиты от вторжений. Описанные меры будут иметь большое значение для повышения безопасности вашей системы от векторов сетевых атак.