LFCA Como melhorar a segurança da rede Linux - Parte 19

Em um mundo sempre conectado, a segurança da rede está se tornando cada vez mais uma das áreas em que as organizações investem muito tempo e recursos. Isso ocorre porque a rede de uma empresa é a espinha dorsal de qualquer infraestrutura de TI e conecta todos os servidores e dispositivos de rede. Se a rede for violada, a organização estará praticamente à mercê dos hackers. Dados cruciais podem ser exfiltrados e serviços e aplicativos centrados em negócios podem ser reduzidos.

A segurança da rede é um tópico bastante vasto e geralmente adota uma abordagem dupla. Os administradores de rede geralmente instalam dispositivos de segurança de rede, como firewalls, IDs (Sistemas de Detecção de Intrusão) e IPS (Sistemas de Prevenção de Intrusão) como a primeira linha de defesa. Embora isso possa fornecer uma camada decente de segurança, algumas medidas extras precisam ser tomadas no nível do sistema operacional para evitar violações.

Neste ponto, você já deve estar familiarizado com os conceitos de rede, como endereçamento IP e serviço e protocolos TCP/IP. Você também deve estar atualizado com conceitos básicos de segurança, como configurar senhas fortes e configurar um firewall.

Antes de cobrirmos várias etapas para garantir a segurança do seu sistema, vamos primeiro ter uma visão geral de algumas das ameaças de rede comuns.

O que é um ataque de rede?

Uma rede corporativa grande e bastante complexa pode contar com vários pontos de extremidade conectados para apoiar operações de negócios. Embora isso possa fornecer a conectividade necessária para otimizar os fluxos de trabalho, ela representa um desafio de segurança. Mais flexibilidade se traduz em um cenário mais amplo de ameaças que o invasor pode alavancar para lançar um ataque de rede.

Então, o que é um ataque de rede?

Um ataque de rede é um acesso não autorizado à rede de uma organização com o único objetivo de acessar e roubar dados e executar outras atividades nefastas, como desfigurar sites e correção de aplicativos.

Existem duas categorias amplas de ataques de rede.

• Ataque passivo: Em um ataque passivo, o hacker ganha acesso não autorizado para espionar e roubar dados sem modificar ou corromper.
• Ataque ativo: Aqui, o invasor não apenas se infiltra na rede para roubar dados, mas também modificar, exclui, corrompe ou criptografa os dados e esmaga aplicativos e reduz os serviços em execução. É certo que este é o mais devastador dos dois ataques.

Tipos de ataques de rede

Vamos analisar alguns dos ataques de rede comuns que podem comprometer seu sistema Linux:

1. Vulnerabilidades de software

Executar versões antigas e desatualizadas de software pode facilmente colocar seu sistema em risco, e isso ocorre em grande parte por causa de vulnerabilidades e backdoors inerentes que se escondem. No tópico anterior sobre segurança de dados, vimos como uma vulnerabilidade no portal de reclamação do cliente de Equifax foi explorada por hackers e levou a uma das violações de dados mais infames.

É por esse motivo que é sempre aconselhável aplicar constantemente patches de software, atualizando seus aplicativos de software para as versões mais recentes.

2. Homem nos ataques do meio

Um homem no ataque intermediário, comumente abreviado como MITM, é um ataque em que um invasor intercepta a comunicação entre o usuário e o aplicativo ou terminal. Ao se posicionar entre um usuário legítimo e o aplicativo, o invasor é capaz de retirar a criptografia e escutar a comunicação enviada de e para e de. Isso permite que ele recupere informações confidenciais, como credenciais de login e outras informações de identificação pessoal.

Provavelmente metas de tal ataque incluem sites de comércio eletrônico, empresas de SaaS e aplicativos financeiros. Para lançar esses ataques, os hackers aproveitam as ferramentas de cheirar pacotes que capturam pacotes de dispositivos sem fio. O hacker então passa a injetar código malicioso nos pacotes que estão sendo trocados.

3. Malware

Malware é um portmanteau de software malicioso e compreende uma ampla gama de aplicações maliciosas, como vírus, trojans, spyware e ransomware para mencionar alguns. Uma vez dentro de uma rede, o malware se propaga em vários dispositivos e servidores.

Dependendo do tipo de malware, as consequências podem ser devastadoras. Vírus e spyware têm a capacidade de espionar, roubar e exfiltrar dados altamente confidenciais, corrupção ou exclusão de arquivos, desacelerando a rede e até aplicativos de sequestrar. Ransomware criptografa arquivos renderizando então inacessíveis, a menos que a vítima peça com uma quantia substancial como resgate.

4. Ataques de negação de serviço distribuídos (DDoS)

Um ataque de DDoS é um ataque em que o usuário malicioso torna um sistema de destino inacessível e, ao fazê -lo. O invasor realiza isso usando botnets para inundar o sistema alvo com enormes volumes de pacotes SIN que o tornam inacessível por um período de tempo. Os ataques de DDoS podem reduzir os bancos de dados, bem como sites.

5. Ameaças internas / funcionários desonestos

Funcionários descontentes com acesso privilegiado podem comprometer facilmente os sistemas. Tais ataques geralmente são difíceis de detectar e proteger, pois os funcionários não precisam se infiltrar na rede. Além disso, alguns funcionários podem infectar sem querer a rede com malware quando conectam dispositivos USB com malware.

Mitigando ataques de rede

Vamos verificar algumas medidas que você pode tomar para colocar uma barreira que fornecerá um grau considerável de segurança para mitigar ataques de rede.

1. Mantenha os aplicativos de software atualizados

No nível do sistema operacional, a atualização de seus pacotes de software corrigirá quaisquer vulnerabilidades existentes que possam colocar seu sistema em risco de explorações lançadas por hackers.

Implementar um firewall baseado em host

Além dos firewalls de rede que geralmente fornecem a primeira linha de defesa contra invasões, você também pode implementar um firewall baseado em host, como firewalld e ufw firewall. São aplicativos de firewall simples, porém eficazes, que fornecem uma camada extra de segurança, filtrando o tráfego da rede com base em um conjunto de regras.

3. Desative os serviços que você não precisa

Se você tem serviços em execução que não são usados ​​ativamente, desative -os. Isso ajuda a minimizar a superfície de ataque e deixa o atacante com opções mínimas para alavancar e encontrar brechas.

Na mesma linha, você usa uma ferramenta de digitalização de rede, como o NMAP, para digitalizar e investigar qualquer portas abertas. Se houver portos desnecessários abertos, considere bloqueá -los no firewall.

4. Configure as embalagens do TCP

Os invólucros de TCP são ACLs baseados em hospedeiros (listas de controle de acesso) que restringem o acesso a serviços de rede com base em um conjunto de regras como endereços IP. Os Wrappers do TCP fazem referência aos seguintes arquivos do host para determinar onde um cliente será concedido ou negado acesso a um serviço de rede.

• /etc/hosts.permitir
• /etc/hosts.negar

Alguns pontos a serem observados:

1. As regras são lidas de cima para baixo. A primeira regra correspondente para um determinado serviço aplicado primeiro. Observe que o pedido é extremamente crucial.
2. As regras no /etc/hosts.permitir o arquivo é aplicado primeiro e tem precedência sobre a regra definida no /etc/hosts.negar arquivo. Isso implica que se o acesso a um serviço de rede for permitido no /etc/hosts.permitir arquivo, negando o acesso ao mesmo serviço no /etc/hosts.negar O arquivo será esquecido ou ignorado.
3. Se as regras de serviço não existirem em nenhum dos arquivos do host, o acesso ao serviço é concedido por padrão.
4. Alterações feitas nos dois arquivos host são implementadas imediatamente sem reiniciar os serviços.

5. Protocolos remotos seguros e use VPN

Em nossos tópicos anteriores, analisamos como você pode proteger o protocolo SSH para impedir usuários maliciosos de acessar seu sistema. Igualmente importante é o uso de uma VPN para iniciar o acesso remoto ao servidor Linux, especialmente em uma rede pública. Um VPN criptografa todos os dados trocados entre o servidor e os hosts remotos, e isso elimina as chances de a comunicação ser feita.

6. Monitoramento de rede 24 horas por dia

Monitorando sua infraestrutura com ferramentas como o Wireshark ajudará você a monitorar e inspecionar o tráfego para pacotes de dados maliciosos. Você também pode implementar o Fail2Ban para proteger seu servidor de ataques da Bruteforce.

[Você também pode gostar: 16 ferramentas úteis de monitoramento de largura de banda para analisar o uso da rede no Linux]

7. Instale o software Antimalware

Linux está cada vez mais se tornando um alvo para hackers devido à sua crescente popularidade e uso. Como tal, é prudente instalar ferramentas de segurança para digitalizar o sistema em busca de rootkits, vírus, troianos e qualquer maneira de malware.

Existem soluções populares OpenSource, como o CLAMAV, que são eficientes na detecção de um malware de afastamento. Você também pode considerar a instalação do chkrootkit para verificar se há sinais de rootkits no seu sistema.

8. Segmentação de rede

Considere segmentar sua rede em VLANs (redes de área local virtual). Isso é feito criando sub-redes na mesma rede que atuam como redes independentes. Segmentar sua rede ajuda bastante a limitar o impacto de uma brecha a uma zona e dificulta o acesso aos hackers para acessar outras sub -redes de sub -redes.

9. Criptografando dispositivos sem fio

Se você possui roteadores sem fio ou pontos de acesso em sua rede, verifique se eles estão usando as mais recentes tecnologias de criptografia para minimizar os riscos de ataques de homem no meio.

Resumo

A segurança da rede é um tópico enorme que abrange tomando medidas na seção de hardware da rede e também implementando políticas baseadas em host no sistema operacional para adicionar uma camada de proteção contra intrusões. As medidas descritas ajudarão bastante a melhorar a segurança do seu sistema contra vetores de ataque de rede.