LFCA: Hvordan forbedre Linux Network Security - Del 19

I en verden som alltid er tilkoblet, blir nettverkssikkerhet i økende grad et av områdene hvor organisasjoner investerer mye tid og ressurser. Dette er fordi et selskaps nettverk er ryggraden i enhver IT-infrastruktur og kobler sammen alle servere og nettverksenheter. Hvis nettverket brytes, vil organisasjonen stort sett være prisgitt hackerne. Avgjørende data kan eksfiltreres og forretningssentrerte tjenester og applikasjoner kan bli redusert.

Nettverkssikkerhet er et ganske stort tema og tar vanligvis en todelt tilnærming. Nettverksadministratorer vil vanligvis installere nettverkssikkerhetsenheter som brannmurer, IDS (Intrusion Detection Systems) og IPS (Intrusion Prevention Systems) som første forsvarslinje. Selv om dette kan gi et anstendig lag med sikkerhet, må noen ekstra skritt tas på OS-nivå for å forhindre eventuelle brudd.

På dette tidspunktet bør du allerede være kjent med nettverkskonsepter som IP-adressering og TCP/IP-tjenester og protokoller. Du bør også være oppdatert med grunnleggende sikkerhetskonsepter som å sette opp sterke passord og sette opp en brannmur.

Før vi dekker ulike trinn for å sikre sikkerheten til systemet ditt, la oss først ha en oversikt over noen av de vanlige nettverkstruslene.

Hva er et nettverksangrep?

Et stort og ganske komplekst bedriftsnettverk kan stole på flere tilkoblede endepunkter for å støtte forretningsdrift. Selv om dette kan gi den nødvendige tilkoblingen for å strømlinjeforme arbeidsflyter, utgjør det en sikkerhetsutfordring. Mer fleksibilitet oversetter til et bredere trussellandskap som angriperen kan utnytte for å starte et nettverksangrep.

Så, hva er et nettverksangrep?

Et nettverksangrep er uautorisert tilgang til en organisasjons nettverk med det eneste formålet å få tilgang til og stjele data og utføre andre ondsinnede aktiviteter som å ødelegge nettsteder og ødelegge applikasjoner.

Det er to brede kategorier av nettverksangrep.

  • Passivt angrep: I et passivt angrep får hackeren uautorisert tilgang til kun å spionere på og stjele data uten å endre eller ødelegge dem.
  • Aktivt angrep: Her infiltrerer angriperen ikke bare nettverket for å stjele data, men modifiserer, sletter, korrumperer eller krypterer dataene og knuser applikasjoner og ødelegger kjørende tjenester. Dette er riktignok det mest ødeleggende av de to angrepene.

Typer nettverksangrep

La oss gå over noen av de vanlige nettverksangrepene som kan kompromittere Linux-systemet ditt:

1. Programvaresårbarheter

Å kjøre gamle og utdaterte programvareversjoner kan lett sette systemet ditt i fare, og dette er i stor grad på grunn av iboende sårbarheter og bakdører som lurer der. I forrige emne om datasikkerhet så vi hvordan en sårbarhet på kundeklageportalen til Equifax ble utnyttet av hackere og førte til et av de mest beryktede datainnbruddene.

Det er av denne grunn at det alltid er tilrådelig å kontinuerlig bruke programvareoppdateringer ved å oppgradere programvareapplikasjonene til de nyeste versjonene.

2. Mann i midten angriper

En mann i midten angrep, vanligvis forkortet som MITM, er et angrep der en angriper avskjærer kommunikasjon mellom brukeren og applikasjonen eller endepunktet. Ved å posisjonere seg mellom en legitim bruker og applikasjonen, kan angriperen fjerne krypteringen og avlytte kommunikasjonen som sendes til og fra. Dette lar ham hente konfidensiell informasjon som påloggingsinformasjon og annen personlig identifiserbar informasjon.

Sannsynlige mål for et slikt angrep inkluderer e-handelssider, SaaS-bedrifter og finansielle applikasjoner. For å starte slike angrep bruker hackere pakkesniffingsverktøy som fanger opp pakker fra trådløse enheter. Hackeren fortsetter deretter med å injisere ondsinnet kode i pakkene som utveksles.

3. Skadelig programvare

Skadelig programvare er en samling av skadelig programvare og omfatter et bredt spekter av ondsinnede applikasjoner som virus, trojanere, spyware og løsepengeprogramvare for å nevne noen. Når du er inne i et nettverk, sprer skadelig programvare seg på tvers av ulike enheter og servere.

Avhengig av typen skadelig programvare, kan konsekvensene være ødeleggende. Virus og spionprogrammer har muligheten til å spionere, stjele og eksfiltrere svært konfidensielle data, ødelegge eller slette filer, redusere hastigheten på nettverket og til og med kapre programmer. Ransomware krypterer filer som blir utilgjengelige med mindre offeret deler med et betydelig beløp som løsepenger.

4. Distribuerte DDoS-angrep (Denial of Service).

Et DDoS-angrep er et angrep der den ondsinnede brukeren gjør et målsystem utilgjengelig, og ved å gjøre det hindrer brukere i å få tilgang til viktige tjenester og applikasjoner. Angriperen oppnår dette ved å bruke botnett for å oversvømme målsystemet med enorme volumer av SYN-pakker som til slutt gjør det utilgjengelig i en periode. DDoS-angrep kan ødelegge databaser så vel som nettsteder.

5. Interne trusler/useriøse ansatte

Misfornøyde ansatte med privilegert tilgang kan lett kompromittere systemene. Slike angrep er vanligvis vanskelige å oppdage og beskytte mot siden de ansatte ikke trenger å infiltrere nettverket. I tillegg kan noen ansatte utilsiktet infisere nettverket med skadelig programvare når de kobler til USB-enheter med skadelig programvare.

Redusere nettverksangrep

La oss sjekke ut noen få tiltak du kan ta for å sette en barriere som vil gi en betydelig grad av sikkerhet for å redusere nettverksangrep.

1. Hold programvareapplikasjoner oppdatert

På OS-nivå vil oppdatering av programvarepakkene korrigere eventuelle eksisterende sårbarheter som kan sette systemet i fare for utnyttelser lansert av hackere.

Implementer en vertsbasert brannmur

Bortsett fra nettverksbrannmurer som vanligvis gir den første forsvarslinjen mot inntrenging, kan du også implementere en vertsbasert brannmur som brannmur og UFW-brannmur. Dette er enkle, men effektive brannmurapplikasjoner som gir et ekstra lag med sikkerhet ved å filtrere nettverkstrafikk basert på et sett med regler.

3. Deaktiver tjenester du ikke trenger

Hvis du har kjørende tjenester som ikke brukes aktivt, deaktiver dem. Dette bidrar til å minimere angrepsoverflaten og gir angriperen minimale muligheter til å utnytte og finne smutthull.

På samme linje bruker du et nettverksskanningsverktøy som Nmap for å skanne og undersøke etter åpne porter. Hvis det er unødvendige porter som er åpne, bør du vurdere å blokkere dem på brannmuren.

4. Konfigurer TCP Wrappers

TCP-innpakninger er vertsbaserte ACL-er (Access Control Lists) som begrenser tilgang til nettverkstjenester basert på et sett med regler som IP-adresser. TCP-innpakninger refererer til følgende vertsfiler for å avgjøre hvor en klient vil bli gitt eller nektet tilgang til en nettverkstjeneste.

  • /etc/hosts.allow
  • /etc/hosts.deny

Noen punkter å merke seg:

  1. Reglene leses fra topp til bunn. Den første samsvarsregelen for en gitt tjeneste ble brukt først. Vær oppmerksom på at bestillingen er ekstremt avgjørende.
  2. Reglene i filen /etc/hosts.allow brukes først og har forrang over regelen som er definert i filen /etc/hosts.deny. Dette innebærer at hvis tilgang til en nettverkstjeneste er tillatt i filen /etc/hosts.allow, nektes tilgang til den samme tjenesten i filen /etc/hosts.deny vil bli oversett eller ignorert.
  3. Hvis tjenesteregler ikke finnes i noen av vertsfilene, gis tilgang til tjenesten som standard.
  4. Endringer gjort i de to vertsfilene implementeres umiddelbart uten å starte tjenestene på nytt.

5. Sikre eksterne protokoller og bruk VPN

I våre tidligere emner har vi sett på hvordan du kan sikre SSH-protokollen for å avskrekke ondsinnede brukere fra å få tilgang til systemet ditt. Like viktig er bruken av en VPN for å starte ekstern tilgang til Linux-serveren, spesielt over et offentlig nettverk. En VPN krypterer alle dataene som utveksles mellom serveren og eksterne verter, og dette eliminerer sjansene for at kommunikasjonen blir avlyttet.

6. Nettverksovervåking døgnet rundt

Å overvåke infrastrukturen din med verktøy som WireShark vil hjelpe deg med å overvåke og inspisere trafikk for ondsinnede datapakker. Du kan også implementere fail2ban for å sikre serveren din mot bruteforce-angrep.

7. Installer antimalware-programvare

Linux blir i økende grad et mål for hackere på grunn av dens økende popularitet og bruk. Som sådan er det klokt å installere sikkerhetsverktøy for å skanne systemet for rootkits, virus, trojanere og enhver form for skadelig programvare.

Det er populære åpen kildekode-løsninger som ClamAV som er effektive til å oppdage skadelig programvare. Du kan også vurdere å installere chkrootkit for å se etter tegn på rootkits på systemet ditt.

8. Nettverkssegmentering

Vurder å segmentere nettverket ditt i VLAN (Virtual Local Area Networks). Dette gjøres ved å lage subnett på samme nettverk som fungerer som frittstående nettverk. Å segmentere nettverket ditt begrenser virkningen av et brudd til én sone, og gjør det mye vanskeligere for hackere å få tilgang til andre undernettverk.

9. Kryptering av trådløse enheter

Hvis du har trådløse rutere eller tilgangspunkter i nettverket, sørg for at de bruker de nyeste krypteringsteknologiene for å minimere risikoen for man-in-the-midten-angrep.

Sammendrag

Nettverkssikkerhet er et stort tema som omfatter å ta tiltak på nettverksmaskinvaredelen og også implementere vertsbaserte retningslinjer på operativsystemet for å legge til et beskyttende lag mot inntrenging. Tiltakene som er skissert vil gå langt i å forbedre sikkerheten til systemet ditt mot nettverksangrepsvektorer.