🐧 LFCA: Как улучшить сетевую безопасность

Мануал

Итак, мы продолжаем цикл статей по LFCA:

Cетевая безопасность все больше становится одной из областей, в которую организации вкладывают много времени и ресурсов.

Это связано с тем, что сеть компании является основой любой ИТ-инфраструктуры и соединяет все серверы и сетевые устройства.

Если сеть будет взломана, организация будет в значительной степени во власти хакеров.

Важные данные могут быть похищены, а бизнес-ориентированные сервисы и приложения могут быть отключены.

Сетевая безопасность – довольно обширная тема и обычно требует двустороннего подхода.

Сетевые администраторы обычно устанавливают устройства сетевой безопасности, такие как межсетевые экраны, IDS (системы обнаружения вторжений) и IPS (системы предотвращения вторжений) в качестве первой линии защиты. Хотя это может обеспечить приличный уровень безопасности, необходимо предпринять некоторые дополнительные шаги на уровне ОС, чтобы предотвратить любые нарушения.

На этом этапе вы уже должны быть знакомы с такими сетевыми концепциями, как IP-адресация, а также службы и протоколы TCP/IP.

Вы также должны быть в курсе основных концепций безопасности, таких как установка надежных паролей и настройка брандмауэра.

Прежде чем мы рассмотрим различные шаги по обеспечению безопасности вашей системы, давайте сначала рассмотрим некоторые из распространенных сетевых угроз.

Что такое сетевая атака?

Большая и довольно сложная корпоративная сеть может полагаться на несколько подключенных конечных точек для поддержки бизнес-операций

Хотя это может обеспечить необходимые возможности подключения для оптимизации рабочих процессов, это создает угрозу безопасности.

Большая гибкость означает более широкий ландшафт угроз, который злоумышленник может использовать для запуска сетевой атаки.

Итак, что такое сетевая атака?

Сетевая атака – это несанкционированный доступ к сети организации с единственной целью – получить доступ и украсть данные, а также выполнить другие гнусные действия, такие как повреждение веб-сайтов и повреждение приложений.

Есть две широкие категории сетевых атак.

  • Пассивная атака: при пассивной атаке хакер получает несанкционированный доступ исключительно для слежки и кражи данных без их изменения или повреждения.
  • Активная атака: здесь злоумышленник не только проникает в сеть для кражи данных, но также изменяет, удаляет, повреждает или шифрует данные, разрушает приложения и останавливает работающие службы.

Типы сетевых атак

Давайте рассмотрим некоторые из распространенных сетевых атак, которые могут поставить под угрозу вашу систему Linux:

1. Уязвимости программного обеспечения

Запуск старых и устаревших версий программного обеспечения может легко подвергнуть вашу систему риску, и это во многом связано с внутренними уязвимостями и скрытыми бэкдорами.

По этой причине всегда рекомендуется постоянно применять исправления программного обеспечения, обновляя свои программные приложения до последних версий.

2. MITM

Атака «человек по середине», обычно сокращенно MITM, – это атака, при которой злоумышленник перехватывает связь между пользователем и приложением или конечной точкой.

Позиционируя себя между законным пользователем и приложением, злоумышленник может отключить шифрование и подслушивать сообщения, отправляемые туда и оттуда.

Это позволяет ему получать конфиденциальную информацию, такую ​​как учетные данные для входа и другую личную информацию.

Вероятные цели такой атаки это обычно сайты электронной коммерции, SaaS-бизнес и финансовые приложения.

Для запуска таких атак хакеры используют инструменты перехвата пакетов, которые перехватывают пакеты с беспроводных устройств.

Затем хакер вводит вредоносный код в обмениваемые пакеты.

3. Вредоносное ПО

Вредоносное ПО представляет собой набор вредоносных программ и включает в себя широкий спектр вредоносных приложений, таких как вирусы, трояны, шпионское ПО и программы-вымогатели, и это лишь некоторые из них.

Попав внутрь сети, вредоносное ПО распространяется на различные устройства и серверы.

В зависимости от типа вредоносного ПО последствия могут быть разрушительными. Вирусы и шпионское ПО могут шпионить, красть и перехватывать очень конфиденциальные данные, повреждать или удалять файлы, замедлять работу сети и даже захватывать приложения. Программа-вымогатель шифрует файлы, которые затем становятся недоступными, если жертва не предоставит значительную сумму в качестве выкупа.

4. Распределенные атаки типа “отказ в обслуживании” (DDoS).

DDoS-атака – это атака, при которой злоумышленник делает целевую систему недоступной и тем самым предотвращает доступ пользователей к важным службам и приложениям.

Злоумышленник достигает этого с помощью ботнетов, которые наводняют целевую систему огромными объемами SYN-пакетов, что в конечном итоге делает ее недоступной в течение определенного периода времени.

DDoS-атаки могут вывести из строя базы данных, а также веб-сайты.

5. Внутренние угрозы/несанкционированный доступ сотрудников

Недовольные сотрудники с привилегированным доступом могут легко сломать систему.

Такие атаки обычно сложно обнаружить и защитить, поскольку сотрудникам не нужно проникать в сеть.

Кроме того, некоторые сотрудники могут непреднамеренно заразить сеть вредоносным ПО при подключении USB-устройств с вредоносным ПО.

Митигация сетевых атак

Давайте рассмотрим несколько мер, которые вы можете предпринять, чтобы поставить барьер, который обеспечит значительный уровень безопасности для предотвращения возможных сетевых атак.

1. Своевременно обновляйте программные приложения

Обновление ваших программных пакетов исправит все существующие уязвимости, которые могут подвергнуть вашу систему риску взлома, запущенного хакерами.

2. Реализовать межсетевой экран на основе хоста

Помимо сетевых брандмауэров, которые обычно обеспечивают первую линию защиты от вторжений, вы также можете реализовать брандмауэр на основе хоста, такой как firewalld и брандмауэр UFW.

Это простые, но эффективные брандмауэры, которые обеспечивают дополнительный уровень безопасности за счет фильтрации сетевого трафика на основе набора правил.

3. Отключите службы, которые вам не нужны.

Если у вас есть запущенные службы, которые активно не используются, отключите их.

Это помогает минимизировать поверхность атаки и оставляет злоумышленнику минимальные возможности для использования и поиска лазеек.

Вы можете использовать инструмент сетевого сканирования, такой как Nmap, для сканирования и проверки любых открытых портов.

Если открыты ненужные порты, подумайте о том, чтобы заблокировать их на брандмауэре.

4. Настройте TCP врапперы

Врапперы TCP – это списки ACL (списки контроля доступа) на основе хоста, которые ограничивают доступ к сетевым службам на основе набора правил, таких как IP-адреса.

Врапперы ссылаются на следующие файлы хоста, чтобы определить, где клиенту будет предоставлен или запрещен доступ к сетевой службе.

  • /etc/hosts.allow
  • /etc/hosts.deny

Несколько замечаний:

  • Правила читаются сверху вниз. Первое правило сопоставления для данной службы применяется первым. Обратите внимание, что порядок чрезвычайно важен.
  • Правила в файле /etc/hosts.allow применяются первыми и имеют приоритет над правилом, определенным в файле /etc/hosts.deny. Это означает, что если доступ к сетевой службе разрешен в файле /etc/hosts.allow, запрет доступа к той же службе в файле /etc/hosts.deny будет пропущен или проигнорирован.
  • Если правила службы не существуют ни в одном из файлов хоста, доступ к службе предоставляется по умолчанию.
  • Изменения, внесенные в оба файла хоста, вступают в силу немедленно, без перезапуска служб.

5. Безопасные удаленные протоколы и использование VPN

В наших предыдущих разделах мы рассмотрели, как можно защитить протокол SSH, чтобы предотвратить доступ злонамеренных пользователей к вашей системе.

Не менее важно использование VPN для инициирования удаленного доступа к серверу Linux, особенно через общедоступную сеть.

VPN шифрует все данные, которыми обмениваются сервер и удаленные хосты, и это исключает вероятность перехвата пакетов.

6. Круглосуточный мониторинг сети.

Мониторинг вашей инфраструктуры с помощью таких инструментов, как WireShark, поможет вам отслеживать и проверять трафик на предмет вредоносных пакетов данных.

Вы также можете реализовать fail2ban или crowdsec, чтобы защитить свой сервер от атак брутфорса

7. Установите программное обеспечение для защиты от вредоносных программ.

Linux все чаще становится мишенью для хакеров из-за его растущей популярности и использования.

Поэтому разумно установить инструменты безопасности для сканирования системы на наличие руткитов, вирусов, троянов и любых вредоносных программ.

Существуют популярные решения с открытым исходным кодом, такие как ClamAV, которые эффективно обнаруживают вредоносные программы.

Вы также можете рассмотреть возможность установки chkrootkit, чтобы проверить наличие каких-либо признаков руткитов в вашей системе.

8. Сегментация сети.

Рассмотрите возможность сегментации вашей сети на VLAN (виртуальные локальные сети).

Это делается путем создания подсетей в той же сети, которые действуют как автономные сети.

Сегментирование вашей сети имеет большое значение для ограничения воздействия взлома одной зоной и усложняет хакерам доступ через другие подсети.

9. Шифрование беспроводных устройств.

Если в вашей сети есть беспроводные маршрутизаторы или точки доступа, убедитесь, что они используют новейшие технологии шифрования, чтобы минимизировать риски атак типа «MITM».

 

Добавить комментарий