LFCA: Com millorar la seguretat de la xarxa Linux - Part 19

En un món sempre connectat, la seguretat de la xarxa s'està convertint cada cop més en una de les àrees on les organitzacions inverteixen una gran quantitat de temps i recursos. Això es deu al fet que la xarxa d'una empresa és la columna vertebral de qualsevol infraestructura informàtica i connecta tots els servidors i dispositius de xarxa. Si es trenca la xarxa, l'organització estarà pràcticament a mercè dels pirates informàtics. Es poden extreure dades crucials i es poden eliminar serveis i aplicacions centrats en l'empresa.

La seguretat de la xarxa és un tema força ampli i normalment té un enfocament de dues vessants. Els administradors de xarxa solen instal·lar dispositius de seguretat de xarxa com ara tallafocs, IDS (sistemes de detecció d'intrusions) i IPS (sistemes de prevenció d'intrusions) com a primera línia de defensa. Tot i que això pot proporcionar una capa de seguretat decent, cal fer alguns passos addicionals a nivell del sistema operatiu per evitar qualsevol incompliment.

En aquest punt, ja hauríeu d'estar familiaritzat amb conceptes de xarxa com ara l'adreçament IP i el servei i protocols TCP/IP. També hauríeu d'estar al dia amb els conceptes bàsics de seguretat, com ara la configuració de contrasenyes fortes i la configuració d'un tallafoc.

Abans de cobrir diversos passos per garantir la seguretat del vostre sistema, primer tinguem una visió general d'algunes de les amenaces habituals de la xarxa.

Què és un atac a la xarxa?

Una xarxa empresarial gran i bastant complexa pot dependre de diversos punts finals connectats per donar suport a les operacions empresarials. Tot i que això pot proporcionar la connectivitat necessària per racionalitzar els fluxos de treball, suposa un repte de seguretat. Més flexibilitat es tradueix en un panorama d'amenaces més ampli que l'atacant pot aprofitar per llançar un atac de xarxa.

Aleshores, què és un atac a la xarxa?

Un atac a la xarxa és un accés no autoritzat a la xarxa d'una organització amb l'únic propòsit d'accedir i robar dades i realitzar altres activitats nefastes, com ara desfigurar llocs web i danyar aplicacions.

Hi ha dues grans categories d'atacs a la xarxa.

  • Atac passiu: en un atac passiu, el pirata informàtic obté accés no autoritzat només per espiar i robar dades sense modificar-les ni corrompre-les.
  • Atac actiu: en aquest cas, l'atacant no només s'infiltra a la xarxa per robar dades, sinó que també modifica, elimina, corromp o xifra les dades i aixafa les aplicacions i elimina els serveis en execució. És cert que aquest és el més devastador dels dos atacs.

Tipus d'atacs a la xarxa

Anem a repassar alguns dels atacs comuns de xarxa que poden comprometre el vostre sistema Linux:

L'execució de versions de programari antigues i obsoletes pot posar en risc el vostre sistema fàcilment, i això es deu en gran part a les vulnerabilitats inherents i a les portes del darrere que s'hi amaguen. En el tema anterior sobre seguretat de dades, vam veure com una vulnerabilitat del portal de reclamacions dels clients d'Equifax va ser explotada pels pirates informàtics i va provocar una de les infraccions de dades més infames.

És per aquest motiu que sempre és recomanable aplicar constantment pegats de programari actualitzant les aplicacions de programari a les últimes versions.

Un atac d'home al mig, comunament abreujat com a MITM, és un atac en què un atacant intercepta la comunicació entre l'usuari i l'aplicació o punt final. En situar-se entre un usuari legítim i l'aplicació, l'atacant pot eliminar el xifratge i escoltar la comunicació enviada cap a i des de. Això li permet recuperar informació confidencial, com ara credencials d'inici de sessió i altra informació d'identificació personal.

Els objectius probables d'aquest atac inclouen llocs de comerç electrònic, empreses SaaS i aplicacions financeres. Per llançar aquests atacs, els pirates informàtics aprofiten les eines de rastreig de paquets que capturen paquets de dispositius sense fil. Aleshores, el pirata informàtic procedeix a injectar codi maliciós als paquets que s'intercanvien.

El programari maliciós és un conjunt de programari maliciós i inclou una àmplia gamma d'aplicacions malicioses com ara virus, troians, programari espia i programari ransom per esmentar-ne alguns. Un cop dins d'una xarxa, el programari maliciós es propaga per diversos dispositius i servidors.

Depenent del tipus de programari maliciós, les conseqüències poden ser devastadores. Els virus i el programari espia tenen la capacitat d'espiar, robar i exfiltrar dades altament confidencials, corrompre o suprimir fitxers, alentir la xarxa i fins i tot segrestar aplicacions. El ransomware xifra els fitxers que es fan inaccessibles, tret que la víctima es trobi amb una quantitat substancial com a rescat.

Un atac DDoS és un atac en què l'usuari maliciós fa inaccessible un sistema objectiu i, en fer-ho, evita que els usuaris accedeixin a serveis i aplicacions crucials. L'atacant ho aconsegueix utilitzant botnets per inundar el sistema objectiu amb enormes volums de paquets SYN que finalment el fan inaccessible durant un període de temps. Els atacs DDoS poden fer caure bases de dades i llocs web.

Els empleats descontents amb accés privilegiat poden posar en perill els sistemes fàcilment. Aquests atacs solen ser difícils de detectar i protegir, ja que els empleats no necessiten infiltrar-se a la xarxa. A més, alguns empleats poden infectar la xarxa sense voler amb programari maliciós quan connecten dispositius USB amb programari maliciós.

Mitigació d'atacs a la xarxa

Vegem algunes mesures que podeu prendre per posar una barrera que proporcioni un grau considerable de seguretat per mitigar els atacs a la xarxa.

A nivell del sistema operatiu, l'actualització dels vostres paquets de programari corregeix qualsevol vulnerabilitat existent que pugui posar el vostre sistema en risc d'explotacions llançades per pirates informàtics.

A part dels tallafocs de xarxa que solen proporcionar la primera línia de defensa contra les intrusions, també podeu implementar un tallafocs basat en host, com ara el tallafoc UFW. Es tracta d'aplicacions tallafocs senzilles però efectives que proporcionen una capa addicional de seguretat filtrant el trànsit de xarxa en funció d'un conjunt de regles.

Si teniu serveis en execució que no s'utilitzen activament, desactiveu-los. Això ajuda a minimitzar la superfície d'atac i deixa a l'atacant amb opcions mínimes per aprofitar i trobar llacunes.

En la mateixa línia, utilitzeu una eina d'escaneig de xarxa com Nmap per escanejar i investigar els ports oberts. Si hi ha ports innecessaris oberts, penseu a bloquejar-los al tallafoc.

Els embolcalls TCP són ACL (llistes de control d'accés) basades en l'amfitrió que restringeixen l'accés als serveis de xarxa en funció d'un conjunt de regles com ara les adreces IP. Els embolcalls TCP fan referència als fitxers d'amfitrió següents per determinar on se li concedirà o es denegarà l'accés a un client a un servei de xarxa.

  • /etc/hosts.allow
  • /etc/hosts.deny

Alguns punts a tenir en compte:

  1. Les regles es llegeixen de dalt a baix. Primer s'ha aplicat la primera regla de concordança per a un servei determinat. Tingueu en compte que l'ordre és extremadament crucial.
  2. Les regles del fitxer /etc/hosts.allow s'apliquen primer i tenen prioritat sobre la regla definida al fitxer /etc/hosts.deny. Això implica que si es permet l'accés a un servei de xarxa al fitxer /etc/hosts.allow, es passarà per alt o ignorarà la denegació d'accés al mateix servei al fitxer /etc/hosts.deny.
  3. Si no existeixen regles de servei en cap dels fitxers d'amfitrió, l'accés al servei es concedeix de manera predeterminada.
  4. Els canvis fets als dos fitxers d'amfitrió s'implementen immediatament sense reiniciar els serveis.

En els nostres temes anteriors, hem analitzat l'ús d'una VPN per iniciar l'accés remot al servidor Linux, especialment a través d'una xarxa pública. Una VPN xifra totes les dades intercanviades entre el servidor i els amfitrions remots i això elimina les possibilitats que la comunicació sigui escoltada.

Superviseu la vostra infraestructura amb eines com fail2ban per protegir el vostre servidor dels atacs de força bruta.

[També us pot agradar: 16 eines útils de control de l'ample de banda per analitzar l'ús de la xarxa a Linux]

Linux s'està convertint cada cop més en un objectiu per als pirates informàtics a causa de la seva creixent popularitat i ús. Per tant, és prudent instal·lar eines de seguretat per escanejar el sistema a la recerca de rootkits, virus, troians i qualsevol tipus de programari maliciós.

Hi ha solucions populars de codi obert, com ara chkrootkit, per comprovar si hi ha indicis de rootkits al vostre sistema.

Penseu en segmentar la vostra xarxa en VLAN (Xarxes d'àrea local virtual). Això es fa creant subxarxes a la mateixa xarxa que actuen com a xarxes autònomes. La segmentació de la vostra xarxa limita en gran mesura l'impacte d'una violació a una zona i fa que sigui molt més difícil que els pirates informàtics accedeixin a altres subxarxes.

Si teniu encaminadors sense fil o punts d'accés a la vostra xarxa, assegureu-vos que utilitzen les últimes tecnologies d'encriptació per minimitzar els riscos d'atacs de l'home del mig.

La seguretat de la xarxa és un tema enorme que inclou prendre mesures a la secció de maquinari de xarxa i també implementar polítiques basades en l'amfitrió al sistema operatiu per afegir una capa protectora contra les intrusions. Les mesures descrites ajudaran en gran mesura a millorar la seguretat del vostre sistema contra vectors d'atac a la xarxa.