Kako revidirati rad mreže, sigurnost i rješavanje problema u Linuxu - 12. dio

Kvalitetna analiza računalne mreže počinje razumijevanjem dostupnih alata za obavljanje zadatka, kako odabrati pravi(e) za svaki korak na putu, i na kraju, ali ne manje važno, gdje započeti.

Ovo je posljednji dio serije LFCE (Linux Foundation Certified Engineer), ovdje ćemo pregledati neke dobro poznate alate za ispitivanje performansi i povećanje sigurnosti mreže , i što učiniti kada stvari ne idu kako se očekuje.

Predstavljamo certifikacijski program Linux Foundation

Imajte na umu da ovaj popis ne pretendira biti sveobuhvatan, stoga slobodno komentirajte ovaj post pomoću obrasca na dnu ako želite dodati još jedan koristan uslužni program koji nam možda nedostaje.

Koje usluge rade i zašto?

Jedna od prvih stvari koje administrator sustava mora znati o svakom sustavu je koje su usluge pokrenute i zašto. S tim informacijama u ruci, mudra je odluka onemogućiti sve one koji nisu strogo potrebni i izbjegavati hosting previše poslužitelja na istom fizičkom računalu.

Na primjer, trebate onemogućiti svoj FTP poslužitelj ako ga vaša mreža ne zahtijeva (usput, postoje sigurnije metode za dijeljenje datoteka preko mreže). Osim toga, trebali biste izbjegavati imati web poslužitelj i poslužitelj baze podataka u istom sustavu. Ako jedna komponenta postane ugrožena, ostale su u opasnosti da također budu ugrožene.

Istraživanje veza utičnica sa ss

ss se koristi za ispis statistike utičnice i prikazuje informacije slične netstatu, iako može prikazati više TCP i informacija o stanju nego drugi alati. Osim toga, naveden je u man netstat kao zamjena za netstat, koji je zastario.

Međutim, u ovom ćemo se članku usredotočiti samo na informacije koje se odnose na mrežnu sigurnost.

Primjer 1: Prikaz SVIH TCP portova (socketa) koji su otvoreni na našem poslužitelju

Sve usluge koje rade na svojim zadanim portovima (tj. http na 80, mysql na 3306) označene su svojim imenima. Ostali (ovdje skriveni zbog privatnosti) prikazani su u svom numeričkom obliku.

ss -t -a

Prvi stupac prikazuje TCP stanje, dok drugi i treći stupac prikazuju količinu podataka koji su trenutno u redu za prijem i prijenos. Četvrti i peti stupac prikazuju izvorne i odredišne utičnice svake veze.
S druge strane, možda biste željeli provjeriti RFC 793 da osvježite pamćenje o mogućim TCP stanjima jer također morate provjeriti broj i stanje otvorenih TCP veza kako biste postali svjesni (D)DoS napada.

Primjer 2: Prikaz SVIH aktivnih TCP veza s njihovim mjeračima vremena

ss -t -o

U gornjem izlazu možete vidjeti da postoje 2 uspostavljene SSH veze. Ako primijetite vrijednost drugog polja timera:, primijetit ćete vrijednost od 36 minuta u prvoj vezi. To je vrijeme do slanja sljedeće sonde za održavanje aktivnosti.

Budući da se radi o vezi koja se održava na životu, možete sa sigurnošću pretpostaviti da je to neaktivna veza i stoga možete prekinuti proces nakon što saznate njegov PID.

Što se tiče druge veze, možete vidjeti da se trenutno koristi (kao što je označeno uključenim).

Primjer 3: Filtriranje veza prema utičnici

Pretpostavimo da želite filtrirati TCP veze prema utičnici. Sa stajališta poslužitelja, trebate provjeriti veze gdje je izvorni port 80.

ss -tn sport = :80

Kao rezultat toga..

Zaštita od skeniranja portova s NMAP-om

Skeniranje portova je uobičajena tehnika koju koriste krekeri za identifikaciju aktivnih hostova i otvaranje portova na mreži. Nakon što se otkrije ranjivost, ona se iskorištava kako bi se dobio pristup sustavu.

Mudar sistemski administrator treba provjeriti kako njegove ili njezine sustave vide osobe izvana i pobrinuti se da ništa nije prepušteno slučaju čestim revizijama. To se zove “obrambeno skeniranje portova”.

Primjer 4: Prikaz informacija o otvorenim portovima

Možete koristiti sljedeću naredbu za skeniranje koji su portovi otvoreni na vašem sustavu ili na udaljenom hostu:

nmap -A -sS [IP address or hostname]

Gornja naredba skenirat će host radi otkrivanja OS i verzije, informacija o portu i traceroute (-A). Na kraju, -sS šalje TCP SYN skeniranje, sprječavajući nmap da dovrši trosmjerno TCP rukovanje i stoga obično ne ostavlja zapisnike na ciljnom računalu.

Prije nego što nastavite sa sljedećim primjerom, imajte na umu da skeniranje priključaka nije nezakonita aktivnost. Ono što JE nezakonito je korištenje rezultata u zlonamjerne svrhe.

Na primjer, izlaz gornje naredbe pokrenute na glavnom poslužitelju lokalnog sveučilišta vraća sljedeće (samo dio rezultata prikazan je radi sažetosti):

Kao što vidite, otkrili smo nekoliko anomalija koje bismo trebali prijaviti administratorima sustava na ovom lokalnom sveučilištu.

Ova specifična operacija skeniranja porta pruža sve informacije koje se također mogu dobiti drugim naredbama, kao što su:

Primjer 5: Prikaz informacija o određenom priključku u lokalnom ili udaljenom sustavu

nmap -p [port] [hostname or address]

Primjer 6: Prikaz traceroutea do, i pronalaženje verzije usluga i tipa OS-a, naziva hosta

nmap -A [hostname or address]

Primjer 7: Skeniranje nekoliko portova ili hostova istovremeno

Također možete skenirati nekoliko portova (raspon) ili podmreža, kako slijedi:

nmap -p 21,22,80 192.168.0.0/24 

Napomena: Gornja naredba skenira portove 21, 22 i 80 na svim hostovima u tom segmentu mreže.

Možete provjeriti man stranicu za daljnje pojedinosti o tome kako izvršiti druge vrste skeniranja priključaka. Nmap je doista vrlo moćan i svestran uslužni program za mrežno mapiranje i trebali biste biti vrlo dobro upoznati s njim kako biste obranili sustave za koje ste odgovorni od napada nastalih nakon zlonamjernog skeniranja porta od strane vanjskih korisnika.