LFCA: Kako poboljšati mrežnu sigurnost Linuxa – 19. dio

U svijetu koji je stalno povezan, mrežna sigurnost sve više postaje jedno od područja u koje organizacije ulažu mnogo vremena i resursa. To je zato što je mreža tvrtke okosnica svake IT infrastrukture i povezuje sve poslužitelje i mrežne uređaje. Ako je mreža probijena, organizacija će uglavnom biti prepuštena na milost i nemilost hakerima. Ključni podaci mogu biti eksfiltrirani, a poslovne usluge i aplikacije mogu se srušiti.

Mrežna sigurnost prilično je opsežna tema i obično ima dvosmjerni pristup. Mrežni administratori obično će instalirati mrežne sigurnosne uređaje kao što su vatrozidi, IDS (sustavi za otkrivanje upada) i IPS (sustavi za sprječavanje upada) kao prvu liniju obrane. Iako ovo može pružiti pristojan sloj sigurnosti, potrebno je poduzeti neke dodatne korake na razini OS-a kako bi se spriječile bilo kakve povrede.

U ovom trenutku već biste trebali biti upoznati s konceptima umrežavanja kao što su IP adresiranje i TCP/IP usluga i protokoli. Također biste trebali biti u toku s osnovnim sigurnosnim konceptima kao što su postavljanje jakih lozinki i postavljanje vatrozida.

Prije nego što pokrijemo različite korake kako bismo osigurali sigurnost vašeg sustava, dajmo prvo pregled nekih od uobičajenih mrežnih prijetnji.

Što je mrežni napad?

Velika i prilično složena mreža poduzeća može se oslanjati na više povezanih krajnjih točaka za podršku poslovnim operacijama. Iako ovo može pružiti potrebnu povezanost za pojednostavljenje tijeka rada, predstavlja sigurnosni izazov. Više fleksibilnosti dovodi do šireg okruženja prijetnji koje napadač može iskoristiti za pokretanje mrežnog napada.

Dakle, što je mrežni napad?

Mrežni napad je neovlašteni pristup mreži organizacije s jedinom svrhom pristupa i krađe podataka te izvođenja drugih opakih aktivnosti kao što je narušavanje web stranica i kvarenje aplikacija.

Postoje dvije široke kategorije mrežnih napada.

  • Pasivni napad: U pasivnom napadu, haker dobiva neovlašteni pristup kako bi isključivo špijunirao i ukrao podatke bez njihove izmjene ili oštećenja.
  • Aktivni napad: Ovdje napadač ne samo da se infiltrira u mrežu kako bi ukrao podatke, već također modificira, briše, oštećuje ili šifrira podatke i uništava aplikacije, te sruši pokrenute usluge. Doduše, ovo je najrazorniji od ta dva napada.

Vrste mrežnih napada

Pogledajmo neke od uobičajenih mrežnih napada koji mogu ugroziti vaš Linux sustav:

1. Ranjivosti softvera

Pokretanje starih i zastarjelih verzija softvera može lako dovesti vaš sustav u opasnost, a to je uglavnom zbog inherentnih ranjivosti i stražnjih vrata koja vrebaju u njemu. U prethodnoj temi o sigurnosti podataka vidjeli smo kako su hakeri iskoristili ranjivost portala za pritužbe kupaca tvrtke Equifax i doveli do jedne od najzloglasnijih povreda podataka.

Zbog toga je uvijek preporučljivo stalno primjenjivati softverske zakrpe nadogradnjom softverskih aplikacija na najnovije verzije.

2. Čovjek u sredini napada

Napad čovjek u sredini, obično skraćeno MITM, je napad u kojem napadač presreće komunikaciju između korisnika i aplikacije ili krajnje točke. Pozicionirajući se između legitimnog korisnika i aplikacije, napadač je u mogućnosti skinuti enkripciju i prisluškivati komunikaciju poslanu do i od. To mu omogućuje da dohvati povjerljive informacije kao što su vjerodajnice za prijavu i druge osobne informacije.

Vjerojatne mete takvog napada uključuju stranice e-trgovine, SaaS tvrtke i financijske aplikacije. Kako bi pokrenuli takve napade, hakeri koriste alate za njuškanje paketa koji hvataju pakete s bežičnih uređaja. Haker zatim nastavlja s ubacivanjem zlonamjernog koda u pakete koji se razmjenjuju.

3. Malware

Zlonamjerni softver je portmanteao zlonamjernog softvera i uključuje širok raspon zlonamjernih aplikacija kao što su virusi, trojanci, spyware i ransomware da spomenemo neke. Jednom kada uđe u mrežu, zlonamjerni softver se širi preko raznih uređaja i poslužitelja.

Ovisno o vrsti zlonamjernog softvera, posljedice mogu biti razorne. Virusi i špijunski softver imaju sposobnost špijuniranja, krađe i eksfiltracije vrlo povjerljivih podataka, oštećivanja ili brisanja datoteka, usporavanja mreže, pa čak i otmice aplikacija. Ransomware kriptira datoteke čineći ih nedostupnima osim ako žrtva ne dobije značajan iznos otkupnine.

4. Distribuirani napadi uskraćivanja usluge (DDoS).

DDoS napad je napad u kojem zlonamjerni korisnik ciljni sustav čini nedostupnim i na taj način onemogućuje korisnicima pristup ključnim servisima i aplikacijama. Napadač to postiže korištenjem botneta za preplavljivanje ciljanog sustava ogromnim količinama SYN paketa koji ga na kraju čine nedostupnim neko vrijeme. DDoS napadi mogu srušiti baze podataka kao i web stranice.

5. Unutarnje prijetnje/Nevaljali zaposlenici

Nezadovoljni zaposlenici s povlaštenim pristupom mogu lako ugroziti sustave. Takve je napade obično teško otkriti i zaštititi od njih budući da se zaposlenici ne moraju infiltrirati u mrežu. Osim toga, neki zaposlenici mogu nenamjerno zaraziti mrežu zlonamjernim softverom kada priključe USB uređaje sa zlonamjernim softverom.

Ublažavanje mrežnih napada

Pogledajmo nekoliko mjera koje možete poduzeti kako biste postavili barijeru koja će pružiti značajan stupanj sigurnosti za ublažavanje mrežnih napada.

1. Održavajte ažurirane softverske aplikacije

Na razini OS-a, ažuriranje vaših softverskih paketa zakrpat će sve postojeće ranjivosti koje bi vaš sustav mogle izložiti opasnosti od eksploatacija koje su pokrenuli hakeri.

Implementirajte vatrozid temeljen na hostu

Osim mrežnih vatrozida koji obično pružaju prvu liniju obrane od upada, također možete implementirati vatrozid temeljen na hostu kao što su vatrozid i UFW vatrozid. Ovo su jednostavne, ali učinkovite vatrozidne aplikacije koje pružaju dodatni sloj sigurnosti filtriranjem mrežnog prometa na temelju skupa pravila.

3. Onemogućite usluge koje vam ne trebaju

Ako imate pokrenute usluge koje se ne koriste aktivno, onemogućite ih. To pomaže minimizirati površinu napada i ostavlja napadaču minimalne mogućnosti za iskorištavanje i pronalaženje rupa u zakonu.

U istom retku koristite alat za skeniranje mreže kao što je Nmap za skeniranje i traženje otvorenih portova. Ako postoje nepotrebni portovi koji su otvoreni, razmislite o njihovom blokiranju na vatrozidu.

4. Konfigurirajte TCP Wrappers

TCP omotači su ACL-ovi (Liste kontrole pristupa) koji ograničavaju pristup mrežnim uslugama na temelju skupa pravila kao što su IP adrese. TCP omotači upućuju na sljedeće host datoteke kako bi odredili gdje će klijentu biti odobren ili odbijen pristup mrežnoj usluzi.

  • /etc/hosts.allow
  • /etc/hosts.deny

Imajte na umu nekoliko točaka:

  1. Pravila se čitaju odozgo prema dolje. Prvo se primijenilo prvo odgovarajuće pravilo za određenu uslugu. Imajte na umu da je redoslijed izuzetno bitan.
  2. Pravila u datoteci /etc/hosts.allow primjenjuju se prva i imaju prednost nad pravilom definiranim u datoteci /etc/hosts.deny. Ovo implicira da ako je pristup mrežnoj usluzi dopušten u datoteci /etc/hosts.allow, uskraćivanje pristupa istoj usluzi u datoteci /etc/hosts.deny će biti zanemareni ili ignorirani.
  3. Ako pravila usluge ne postoje ni u jednoj od datoteka glavnog računala, pristup usluzi dopušten je prema zadanim postavkama.
  4. Promjene unesene u dvije host datoteke implementiraju se odmah bez ponovnog pokretanja usluga.

5. Osigurajte udaljene protokole i koristite VPN

U našim prethodnim temama, pogledali smo kako možete osigurati SSH protokol da odvratite zlonamjerne korisnike od pristupa vašem sustavu. Jednako je važno korištenje VPN-a za pokretanje udaljenog pristupa Linux poslužitelju, posebno preko javne mreže. VPN šifrira sve podatke koji se razmjenjuju između poslužitelja i udaljenih računala i to eliminira šanse da se komunikacija prisluškuje.

6. Danonoćno praćenje mreže

Praćenje vaše infrastrukture pomoću alata kao što je WireShark pomoći će vam da nadzirete i provjerite promet za zlonamjerne pakete podataka. Također možete implementirati fail2ban da zaštitite svoj poslužitelj od bruteforce napada.

7. Instalirajte antimalware softver

Linux sve više postaje meta hakera zbog svoje sve veće popularnosti i upotrebe. Stoga je mudro instalirati sigurnosne alate za skeniranje sustava u potrazi za rootkitima, virusima, trojancima i svim vrstama zlonamjernog softvera.

Postoje popularna opensource rješenja kao što je ClamAV koja su učinkovita u otkrivanju zlonamjernog softvera. Također možete razmisliti o instaliranju chkrootkita da provjerite postoje li znakovi rootkita na vašem sustavu.

8. Segmentacija mreže

Razmislite o segmentiranju vaše mreže u VLAN (virtualne lokalne mreže). To se postiže stvaranjem podmreža na istoj mreži koje djeluju kao samostalne mreže. Segmentiranje vaše mreže uvelike pomaže u ograničavanju utjecaja proboja na jednu zonu i znatno otežava hakerima pristup drugim podmrežama.

9. Šifriranje bežičnih uređaja

Ako imate bežične usmjerivače ili pristupne točke u svojoj mreži, provjerite koriste li najnovije tehnologije šifriranja kako biste smanjili rizike od napada čovjeka u sredini.

Sažetak

Mrežna sigurnost velika je tema koja obuhvaća poduzimanje mjera na dijelu mrežnog hardvera i također implementaciju pravila temeljenih na hostu na operativnom sustavu kako bi se dodao zaštitni sloj protiv upada. Navedene mjere uvelike će doprinijeti poboljšanju sigurnosti vašeg sustava od vektora mrežnih napada.