LFCA: Kako poboljšati Linux mrežnu sigurnost – 19. dio


U svijetu koji je uvijek povezan, mrežna sigurnost sve više postaje jedno od područja u koje organizacije ulažu mnogo vremena i resursa. To je zato što je mreža kompanije okosnica svake IT infrastrukture i povezuje sve servere i mrežne uređaje. Ako je mreža probijena, organizacija će u velikoj mjeri biti na milosti hakera. Ključni podaci se mogu eksfiltrirati, a usluge i aplikacije usmjerene na poslovanje mogu se srušiti.

Mrežna sigurnost je prilično opsežna tema i obično ima dvosmjerni pristup. Mrežni administratori obično instaliraju mrežne sigurnosne uređaje kao što su zaštitni zidovi, IDS (sistemi za otkrivanje upada) i IPS (sistemi za prevenciju upada) kao prvu liniju odbrane. Iako ovo može pružiti pristojan nivo sigurnosti, potrebno je poduzeti neke dodatne korake na nivou OS-a kako bi se spriječilo bilo kakvo kršenje.

U ovom trenutku, već biste trebali biti upoznati sa konceptima umrežavanja kao što su IP adresiranje i TCP/IP usluge i protokoli. Također biste trebali biti u toku s osnovnim sigurnosnim konceptima kao što su postavljanje jakih lozinki i postavljanje zaštitnog zida.

Prije nego što pokrijemo različite korake kako bismo osigurali sigurnost vašeg sistema, hajde da prvo napravimo pregled nekih uobičajenih mrežnih prijetnji.

Šta je mrežni napad?

Velika i prilično složena mreža preduzeća može se oslanjati na više povezanih krajnjih tačaka za podršku poslovnih operacija. Iako ovo može pružiti potrebnu povezanost za pojednostavljenje tokova posla, predstavlja sigurnosni izazov. Više fleksibilnosti prevodi se u širi pejzaž prijetnji koje napadač može iskoristiti da pokrene mrežni napad.

Dakle, šta je mrežni napad?

Mrežni napad je neovlašteni pristup mreži organizacije s jedinom svrhom pristupa i krađe podataka i obavljanja drugih podlih aktivnosti kao što su nanošenje oštećenja web stranicama i oštećivanje aplikacija.

Postoje dvije široke kategorije mrežnih napada.

  • Pasivni napad: U pasivnom napadu, haker dobija neovlašćeni pristup samo da špijunira i krade podatke bez da ih modifikuje ili ošteti.
  • Aktivni napad: Ovdje napadač ne samo da se infiltrira u mrežu kako bi ukrao podatke, već i modificira, briše, korumpira ili šifrira podatke i ruši aplikacije i ruši pokrenute usluge. Doduše, ovo je najrazorniji od dva napada.

Vrste mrežnih napada

Pogledajmo neke od uobičajenih mrežnih napada koji mogu ugroziti vaš Linux sistem:

1. Softverske ranjivosti

Pokretanje starih i zastarjelih verzija softvera može lako dovesti vaš sistem u opasnost, a to je uglavnom zbog inherentnih ranjivosti i backdoor-a koji se kriju u njemu. U prethodnoj temi o sigurnosti podataka vidjeli smo kako su hakeri iskoristili ranjivost na portalu za žalbe korisnika Equifaxa i doveli do jedne od najozloglašenijih povreda podataka.

Iz tog razloga je uvijek preporučljivo stalno primjenjivati softverske zakrpe nadogradnjom softverskih aplikacija na najnovije verzije.

2. Čovjek u sredini napada

Čovjek u sredini napada, obično skraćeno MITM, je napad u kojem napadač presreće komunikaciju između korisnika i aplikacije ili krajnje točke. Pozicionirajući se između legitimnog korisnika i aplikacije, napadač je u mogućnosti da skine šifriranje i prisluškuje komunikaciju koja se šalje ka i iz nje. To mu omogućava da dohvati povjerljive informacije kao što su vjerodajnice za prijavu i druge lične informacije.

Vjerovatne mete takvog napada uključuju web stranice e-trgovine, SaaS kompanije i finansijske aplikacije. Da bi pokrenuli takve napade, hakeri koriste alate za njuškanje paketa koji hvataju pakete s bežičnih uređaja. Haker zatim nastavlja sa ubrizgavanjem zlonamjernog koda u pakete koji se razmjenjuju.

3. Malware

Zlonamjerni softver je portmantea zlonamjernog softvera i uključuje širok spektar zlonamjernih aplikacija kao što su virusi, trojanci, špijunski softver i ransomware da spomenemo samo neke. Jednom u mreži, zlonamjerni softver se širi na različite uređaje i servere.

Ovisno o vrsti zlonamjernog softvera, posljedice mogu biti razorne. Virusi i špijunski softver imaju sposobnost špijuniranja, krađe i eksfiltriranja visoko povjerljivih podataka, oštećenja ili brisanja datoteka, usporavanja mreže, pa čak i otmice aplikacija. Ransomware šifrira datoteke koje se zatim prikazuju nedostupnima osim ako žrtva ne izdvoji značajan iznos kao otkupninu.

4. Distribuirani napadi uskraćivanja usluge (DDoS).

DDoS napad je napad u kojem zlonamjerni korisnik čini ciljni sistem nedostupnim i na taj način sprječava korisnike da pristupe ključnim servisima i aplikacijama. Napadač to postiže koristeći botnetove kako bi preplavio ciljni sistem ogromnim količinama SYN paketa koji ga na kraju čine nedostupnim na određeno vrijeme. DDoS napadi mogu uništiti baze podataka kao i web stranice.

5. Interne prijetnje/lažni zaposleni

Nezadovoljni zaposleni sa privilegovanim pristupom mogu lako kompromitovati sisteme. Takve napade je obično teško otkriti i zaštititi od njih jer zaposleni ne moraju da se infiltriraju u mrežu. Osim toga, neki zaposlenici mogu nenamjerno zaraziti mrežu zlonamjernim softverom kada priključe USB uređaje sa zlonamjernim softverom.

Ublažavanje mrežnih napada

Pogledajmo nekoliko mjera koje možete poduzeti da postavite barijeru koja će pružiti značajan stepen sigurnosti za ublažavanje mrežnih napada.

1. Održavajte softverske aplikacije ažurnim

Na nivou OS-a, ažuriranje softverskih paketa će zakrpiti sve postojeće ranjivosti koje mogu dovesti vaš sistem u opasnost od eksploatacije koju su pokrenuli hakeri.

Implementirajte zaštitni zid baziran na hostu

Osim mrežnih zaštitnih zidova koji obično pružaju prvu liniju odbrane od upada, također možete implementirati zaštitni zid baziran na hostu kao što su firewall i UFW firewall. Ovo su jednostavne, ali efikasne aplikacije zaštitnog zida koje pružaju dodatni sloj sigurnosti filtriranjem mrežnog prometa na osnovu skupa pravila.

3. Onemogućite usluge koje vam nisu potrebne

Ako imate pokrenute usluge koje se ne koriste aktivno, onemogućite ih. Ovo pomaže da se minimizira površina napada i ostavlja napadaču minimalne mogućnosti za korištenje i pronalaženje rupa.

U istoj liniji koristite alat za mrežno skeniranje kao što je Nmap za skeniranje i ispitivanje svih otvorenih portova. Ako su otvoreni nepotrebni portovi, razmislite o njihovom blokiranju na zaštitnom zidu.

4. Konfigurirajte TCP omote

TCP omoti su ACL-ovi zasnovani na hostu (Liste kontrole pristupa) koji ograničavaju pristup mrežnim uslugama na osnovu skupa pravila kao što su IP adrese. TCP omoti upućuju na sljedeće host fajlove kako bi odredili gdje će klijentu biti odobren ili odbijen pristup mrežnoj usluzi.

  • /etc/hosts.allow
  • /etc/hosts.deny

Treba napomenuti nekoliko tačaka:

  1. Pravila se čitaju od vrha do dna. Prvo se pravilo podudaranja za datu uslugu prvo primjenjuje. Imajte na umu da je redoslijed izuzetno važan.
  2. Pravila u datoteci /etc/hosts.allow se prvo primjenjuju i imaju prednost nad pravilom definiranim u datoteci /etc/hosts.deny. To znači da ako je pristup mrežnoj usluzi dozvoljen u datoteci /etc/hosts.allow, da se zabranjuje pristup istoj usluzi u datoteci /etc/hosts.deny će biti zanemarena ili zanemarena.
  3. Ako pravila usluge ne postoje ni u jednoj od host datoteka, pristup servisu se odobrava po defaultu.
  4. Promjene napravljene na dva host fajla se implementiraju odmah bez ponovnog pokretanja usluga.

5. Osigurajte udaljene protokole i koristite VPN

U našim prethodnim temama pogledali smo kako možete osigurati SSH protokol kako biste spriječili zlonamjerne korisnike od pristupa vašem sistemu. Jednako važna je upotreba VPN-a za pokretanje udaljenog pristupa Linux serveru, posebno preko javne mreže. VPN šifrira sve podatke koji se razmjenjuju između servera i udaljenih hostova i to eliminira šanse da se komunikacija prisluškuje.

6. Neprekidno praćenje mreže

Nadgledanje vaše infrastrukture pomoću alata kao što je WireShark pomoći će vam da nadgledate i pregledate promet na zlonamjerne pakete podataka. Također možete implementirati fail2ban da zaštitite svoj server od bruteforce napada.

7. Instalirajte Antimalware softver

Linux sve više postaje meta hakera zbog svoje sve veće popularnosti i upotrebe. Kao takav, razumno je instalirati sigurnosne alate za skeniranje sistema za rootkite, viruse, trojance i bilo koji način zlonamjernog softvera.

Postoje popularna rješenja otvorenog koda kao što je ClamAV koja su efikasna u otkrivanju zlonamjernog softvera. Također možete razmotriti instaliranje chkrootkit-a kako biste provjerili ima li znakova rootkita na vašem sistemu.

8. Segmentacija mreže

Razmislite o segmentiranju vaše mreže u VLAN (virtuelne lokalne mreže). To se radi kreiranjem podmreža na istoj mreži koje djeluju kao samostalne mreže. Segmentiranje vaše mreže uveliko ograničava uticaj proboja na jednu zonu i otežava hakerima pristup drugim podmrežama.

9. Šifriranje bežičnih uređaja

Ako imate bežične usmjerivače ili pristupne točke u vašoj mreži, uvjerite se da koriste najnovije tehnologije šifriranja kako biste smanjili rizike od napada čovjeka u sredini.

Sažetak

Mrežna sigurnost je ogromna tema koja obuhvata preduzimanje mera na sekciji mrežnog hardvera, kao i implementaciju politika zasnovanih na hostu na operativnom sistemu kako bi se dodao zaštitni sloj protiv upada. Navedene mjere će uvelike poboljšati sigurnost vašeg sistema od vektora mrežnog napada.