Kako revidirati mrežne performanse, sigurnost i rješavanje problema u Linuxu - 12. dio

Ispravna analiza kompjuterske mreže počinje razumijevanjem koji su dostupni alati za obavljanje zadatka, kako odabrati pravi(e) za svaki korak na putu, i na kraju, ali ne i najmanje važno, odakle početi.

Ovo je posljednji dio serije LFCE (Linux Foundation Certified Engineer), ovdje ćemo pregledati neke dobro poznate alate za ispitivanje performansi i povećanje sigurnosti mreže , i šta učiniti kada stvari ne idu kako se očekuje.

Predstavljamo program sertifikacije Linux Foundation

Imajte na umu da ova lista ne pretenduje da bude sveobuhvatna, pa slobodno komentirajte ovu objavu koristeći formu na dnu ako želite dodati još jedan koristan uslužni program koji bi nam mogao nedostajati.

Koje su usluge aktivne i zašto?

Jedna od prvih stvari koje administrator sistema treba da zna o svakom sistemu je koje usluge se pokreću i zašto. S tim informacijama u ruci, mudra je odluka onemogućiti sve one koji nisu striktno neophodni i izbjeći hostovanje previše servera na istoj fizičkoj mašini.

Na primjer, trebate onemogućiti vaš FTP server ako ga vaša mreža ne zahtijeva (usput, postoje sigurniji načini za dijeljenje datoteka preko mreže). Pored toga, trebalo bi da izbegavate da imate veb server i server baze podataka u istom sistemu. Ako jedna komponenta postane ugrožena, rizikuje da će i ostale biti ugrožene.

Ispitivanje utičnice sa ss

ss se koristi za dump statistike utičnice i prikazuje informacije slične netstatu, iako može prikazati više TCP i informacija o stanju od drugih alata. Osim toga, naveden je u man netstat kao zamjena za netstat, koji je zastario.

Međutim, u ovom članku ćemo se fokusirati samo na informacije vezane za sigurnost mreže.

Primjer 1: Prikaz SVE TCP portove (utičnice) koji su otvoreni na našem serveru

Sve usluge koje rade na svojim podrazumevanim portovima (tj. http na 80, mysql na 3306) označene su svojim odgovarajućim imenima. Ostali (ovdje su skriveni iz razloga privatnosti) prikazani su u svom numeričkom obliku.

ss -t -a

Prva kolona prikazuje TCP stanje, dok druga i treća kolona prikazuju količinu podataka koja je trenutno u redu za prijem i prijenos. Četvrti i peti stupac prikazuju izvorne i odredišne utičnice svake veze.
Uz napomenu, možda biste željeli provjeriti RFC 793 da biste osvježili svoje pamćenje o mogućim TCP stanjima jer također morate provjeriti broj i stanje otvorenih TCP veza kako biste postali svjesni (D)DoS napada.

Primjer 2: Prikaz SVIH aktivnih TCP veza sa njihovim tajmerima

ss -t -o

U izlazu iznad, možete vidjeti da postoje 2 uspostavljene SSH veze. Ako primijetite vrijednost drugog polja tajmer:, primijetit ćete vrijednost od 36 minuta u prvoj vezi. To je vrijeme do slanja sljedeće sonde za održavanje aktivnosti.

Budući da je to veza koja se održava živom, možete sa sigurnošću pretpostaviti da je to neaktivna veza i na taj način može ubiti proces nakon što saznate njegov PID.

Što se tiče druge veze, možete vidjeti da se trenutno koristi (kao što je označeno on).

Primjer 3: Filtriranje priključaka po utičnici

Pretpostavimo da želite filtrirati TCP veze prema utičnici. Sa stanovišta servera, morate provjeriti veze na kojima je izvorni port 80.

ss -tn sport = :80

Rezultat je..

Zaštita od skeniranja portova pomoću NMAP-a

Skeniranje portova je uobičajena tehnika koju koriste krekeri za identifikaciju aktivnih hostova i otvorenih portova na mreži. Jednom kada se otkrije ranjivost, ona se iskorištava kako bi se dobio pristup sistemu.

Mudar sistemski administrator mora provjeriti kako njegove ili njene sisteme vide autsajderi i pobrinuti se da ništa nije prepušteno slučaju tako što će ih često revidirati. To se zove “odbrambeno skeniranje portova”.

Primjer 4: Prikaz informacija o otvorenim portovima

Možete koristiti sljedeću naredbu da skenirate koji su portovi otvoreni na vašem sistemu ili na udaljenom hostu:

nmap -A -sS [IP address or hostname]

Gornja komanda će skenirati host za otkrivanje OS i verzije, informacije o portu i traceroute (-A). Konačno, -sS šalje TCP SYN skeniranje, sprečavajući nmap da završi 3-smjerno TCP rukovanje i tako obično ne ostavlja dnevnike na ciljnoj mašini.

Prije nego što nastavite sa sljedećim primjerom, imajte na umu da skeniranje portova nije nezakonita aktivnost. Ono što JE nezakonito je korištenje rezultata u zlonamjerne svrhe.

Na primjer, izlaz gornje naredbe pokrenute na glavnom serveru lokalnog univerziteta vraća sljedeće (samo dio rezultata je prikazan radi kratkoće):

Kao što vidite, otkrili smo nekoliko anomalija koje bi trebalo da uradimo da prijavimo sistem administratorima na ovom lokalnom univerzitetu.

Ova specifična operacija skeniranja portova pruža sve informacije koje se mogu dobiti i drugim naredbama, kao što su:

Primjer 5: Prikaz informacija o određenom portu u lokalnom ili udaljenom sistemu

nmap -p [port] [hostname or address]

Primjer 6: Prikaz traceroute do i pronalaženje verzije usluga i tipa OS, imena hosta

nmap -A [hostname or address]

Primjer 7: Skeniranje nekoliko portova ili hostova istovremeno

Također možete skenirati nekoliko portova (opseg) ili podmreža, kako slijedi:

nmap -p 21,22,80 192.168.0.0/24 

Napomena: da gornja komanda skenira portove 21, 22 i 80 na svim hostovima u tom segmentu mreže.

Možete provjeriti man stranicu za dodatne detalje o tome kako izvršiti druge vrste skeniranja portova. Nmap je zaista vrlo moćan i svestran uslužni program za mapiranje mreže i trebali biste ga dobro upoznati kako biste odbranili sisteme za koje ste odgovorni od napada nastalih nakon zlonamjernog skeniranja portova od strane autsajdera.