Com auditar el rendiment de la xarxa, la seguretat i la resolució de problemes a Linux - Part 12
Una anàlisi sòlida d'una xarxa d'ordinadors comença per comprendre quines són les eines disponibles per realitzar la tasca, com escollir-ne les adequades per a cada pas del camí i, finalment, però no menys important, per on començar.
Aquesta és l'última part de la sèrie LFCE (Linux Foundation Certified Engineer), aquí revisarem algunes eines conegudes per examinar el rendiment i augmentar la seguretat d'una xarxa. , i què fer quan les coses no surten com s'esperava.
Tingueu en compte que aquesta llista no pretén ser exhaustiva, així que no dubteu a comentar aquesta publicació mitjançant el formulari que hi ha a la part inferior si voleu afegir una altra utilitat útil que podríem trobar a faltar.
Una de les primeres coses que un administrador del sistema ha de saber sobre cada sistema és quins serveis s'executen i per què. Amb aquesta informació a la mà, és una decisió sàvia desactivar tots aquells que no són estrictament necessaris i evitar allotjar massa servidors a la mateixa màquina física.
Per exemple, heu de desactivar el vostre servidor FTP si la vostra xarxa no en requereix cap (per cert, hi ha mètodes més segurs per compartir fitxers a través d'una xarxa). A més, hauríeu d'evitar tenir un servidor web i un servidor de bases de dades al mateix sistema. Si un component es veu compromès, la resta també corre el risc de quedar-se compromès.
ss s'utilitza per abocar les estadístiques de socket i mostra informació similar a netstat, tot i que pot mostrar més informació sobre TCP i estat que altres eines. A més, apareix a man netstat com a substitut de netstat, que està obsolet.
Tanmateix, en aquest article ens centrarem només en la informació relacionada amb la seguretat de la xarxa.
Tots els serveis que s'executen als seus ports predeterminats (és a dir, http a 80, mysql a 3306) s'indiquen amb els seus noms respectius. Altres (enfosquits aquí per motius de privadesa) es mostren en forma numèrica.
# ss -t -a
La primera columna mostra l'estat TCP, mentre que la segona i la tercera columna mostren la quantitat de dades que es troben actualment a la cua per a la recepció i la transmissió. La quarta i la cinquena columnes mostren els endolls d'origen i de destinació de cada connexió.
A banda, és possible que vulgueu comprovar RFC 793 per refrescar la memòria sobre possibles estats TCP perquè també heu de comprovar el nombre i l'estat de les connexions TCP obertes per tal de prendre consciència dels atacs (D)DoS.
# ss -t -o
A la sortida anterior, podeu veure que hi ha 2 connexions SSH establertes. Si observeu el valor del segon camp de temporitzador:, notareu un valor de 36 minuts a la primera connexió. Aquesta és la quantitat de temps fins que s'enviarà la següent sonda Keepalive.
Com que es tracta d'una connexió que es manté viva, podeu suposar amb seguretat que és una connexió inactiva i, per tant, podeu acabar amb el procés després de descobrir el seu PID.
Pel que fa a la segona connexió, podeu veure que s'està utilitzant actualment (tal com s'indica a on).
Suposem que voleu filtrar les connexions TCP per socket. Des del punt de vista del servidor, heu de comprovar si hi ha connexions on el port d'origen sigui 80.
# ss -tn sport = :80
Resultant en..
L'exploració de ports és una tècnica comuna utilitzada pels crackers per identificar els hosts actius i els ports oberts en una xarxa. Un cop descoberta una vulnerabilitat, s'explota per accedir al sistema.
Un administrador de sistemes savi ha de comprovar com veuen els seus sistemes els usuaris externs i assegurar-se que res es deixa a l'atzar auditant-los amb freqüència. Això s'anomena \escaneig de port defensiu.
Podeu utilitzar l'ordre següent per analitzar quins ports estan oberts al vostre sistema o en un host remot:
# nmap -A -sS [IP address or hostname]
L'ordre anterior escanejarà l'amfitrió per a la detecció de SO i versió, informació del port i traceroute (-A). Finalment, -sS envia una exploració TCP SYN, evitant que nmap completi l'enllaç de TCP de 3 vies i, per tant, normalment no deixi registres a la màquina de destinació.
Abans de continuar amb el següent exemple, tingueu en compte que l'exploració de ports no és una activitat il·legal. El que ÉS il·legal és utilitzar els resultats amb un propòsit maliciós.
Per exemple, la sortida de l'ordre anterior executada contra el servidor principal d'una universitat local retorna el següent (només es mostra una part del resultat per motius de brevetat):
Com podeu veure, hem descobert diverses anomalies que hauríem de fer bé en informar als administradors del sistema d'aquesta universitat local.
Aquesta operació específica d'exploració de ports proporciona tota la informació que també es pot obtenir mitjançant altres ordres, com ara:
# nmap -p [port] [hostname or address]
# nmap -A [hostname or address]
També podeu escanejar diversos ports (interval) o subxarxes, de la següent manera:
# nmap -p 21,22,80 192.168.0.0/24
Nota: que l'ordre anterior escaneja els ports 21, 22 i 80 a tots els amfitrions d'aquest segment de xarxa.
Podeu consultar la pàgina de manual per obtenir més detalls sobre com realitzar altres tipus d'exploració de ports. Nmap és, de fet, una utilitat de mapeador de xarxa molt potent i versàtil, i hauríeu de conèixer-la molt bé per defensar els sistemes dels quals sou responsable dels atacs originats després d'una exploració de ports maliciós per part de persones alienes.