LFCA: Linuxin verkkoturvallisuuden parantaminen – Osa 19


Jatkuvasti yhdistetyssä maailmassa verkkoturvallisuudesta on tulossa yhä useammin yksi alueista, joihin organisaatiot investoivat paljon aikaa ja resursseja. Tämä johtuu siitä, että yrityksen verkko on minkä tahansa IT-infrastruktuurin selkäranka ja yhdistää kaikki palvelimet ja verkkolaitteet. Jos verkko rikotaan, organisaatio on melko lailla hakkereiden armoilla. Tärkeät tiedot voidaan poistaa ja liiketoimintakeskeiset palvelut ja sovellukset kaataa.

Verkkoturvallisuus on melko laaja aihe, ja siinä on yleensä kaksitahoinen lähestymistapa. Verkonvalvojat asentavat yleensä verkon suojalaitteita, kuten palomuurit, IDS (Intrusion Detection Systems) ja IPS (Intrusion Prevention Systems), ensimmäiseksi puolustuslinjaksi. Vaikka tämä saattaa tarjota kunnollisen suojaustason, käyttöjärjestelmätasolla on suoritettava joitain lisätoimenpiteitä rikkomusten estämiseksi.

Tässä vaiheessa sinun pitäisi jo tuntea verkkokäsitteet, kuten IP-osoitteet ja TCP/IP-palvelut ja -protokollat. Sinun tulisi myös olla ajan tasalla perusturvakäsitteiden kanssa, kuten vahvojen salasanojen määrittäminen ja palomuurin määrittäminen.

Ennen kuin käsittelemme erilaisia vaiheita järjestelmän turvallisuuden varmistamiseksi, katsotaanpa ensin yleisiä verkkouhkia.

Mikä on verkkohyökkäys?

Suuri ja melko monimutkainen yritysverkko voi tukeutua useisiin toisiinsa yhdistettyihin päätepisteisiin liiketoiminnan tukena. Vaikka tämä saattaa tarjota tarvittavat liitännät työnkulkujen virtaviivaistamiseen, se asettaa turvallisuushaasteen. Lisää joustavuutta tarkoittaa laajempaa uhkakuvaa, jota hyökkääjä voi hyödyntää käynnistääkseen verkkohyökkäyksen.

Joten mikä on verkkohyökkäys?

Verkkohyökkäys on luvaton pääsy organisaation verkkoon, jonka ainoana tarkoituksena on päästä käsiksi ja varastaa tietoja ja suorittaa muita ilkeitä toimintoja, kuten turmella verkkosivustoja ja korruptoida sovelluksia.

Verkkohyökkäyksiä on kaksi laajaa luokkaa.

  • Passiivinen hyökkäys: Passiivisessa hyökkäyksessä hakkeri saa luvattoman pääsyn vain vakoilemaan ja varastaakseen tietoja muokkaamatta tai korruptoimatta niitä.
  • Aktiivinen hyökkäys: Tässä hyökkääjä ei vain tunkeudu verkkoon varastaakseen tietoja, vaan myös muuttaa, poistaa, turmelee tai salaa tietoja ja murskaa sovelluksia sekä kaataa käynnissä olevat palvelut. Kieltämättä tämä on tuhoisin kahdesta hyökkäyksestä.

Verkkohyökkäystyypit

Käydään läpi joitakin yleisiä verkkohyökkäyksiä, jotka voivat vaarantaa Linux-järjestelmän:

1. Ohjelmiston haavoittuvuudet

Vanhojen ja vanhentuneiden ohjelmistoversioiden käyttäminen voi helposti vaarantaa järjestelmäsi, ja tämä johtuu suurelta osin siinä piilevistä haavoittuvuuksista ja takaovista. Edellisessä tietoturva-aiheessa näimme, kuinka hakkerit käyttivät hyväkseen Equifaxin asiakasvalitusportaalin haavoittuvuutta ja johti yhteen surullisen kuuluisimmista tietomurroista.

Tästä syystä on aina suositeltavaa asentaa ohjelmistokorjauksia jatkuvasti päivittämällä ohjelmistosovelluksesi uusimpiin versioihin.

2. Mies keskellä -hyökkäykset

Miehellä keskellä -hyökkäys, yleisesti lyhennettynä MITM, on hyökkäys, jossa hyökkääjä katkaisee viestintä käyttäjän ja sovelluksen tai päätepisteen välillä. Asetumalla laillisen käyttäjän ja sovelluksen väliin, hyökkääjä voi poistaa salauksen ja salakuunnella lähetettävää viestintää. Näin hän voi hakea luottamuksellisia tietoja, kuten kirjautumistietoja ja muita henkilökohtaisesti tunnistettavia tietoja.

Tällaisen hyökkäyksen todennäköisiä kohteita ovat verkkokauppasivustot, SaaS-yritykset ja rahoitussovellukset. Tällaisten hyökkäysten käynnistämiseksi hakkerit hyödyntävät pakettien haistelutyökaluja, jotka sieppaavat paketteja langattomista laitteista. Tämän jälkeen hakkeri ruiskuttaa haitallista koodia vaihdettaviin paketteihin.

3. Haittaohjelmat

Haittaohjelmat ovat haittaohjelmien portti, ja se sisältää laajan valikoiman haitallisia sovelluksia, kuten viruksia, troijalaisia, vakoiluohjelmia ja kiristysohjelmia muutamia mainitakseni. Verkon sisällä haittaohjelmat leviävät eri laitteissa ja palvelimissa.

Haittaohjelman tyypistä riippuen seuraukset voivat olla tuhoisia. Virukset ja vakoiluohjelmat pystyvät vakoilemaan, varastamaan ja suodattamaan erittäin luottamuksellisia tietoja, vahingoittamaan tai poistamaan tiedostoja, hidastamaan verkkoa ja jopa kaappaamaan sovelluksia. Ransomware salaa tiedostot, jotka muuttuvat käyttökelvottomiksi, ellei uhri jaa huomattavaa määrää lunnaita.

4. Hajautetut palvelunestohyökkäykset (DDoS).

DDoS-hyökkäys on hyökkäys, jossa pahantahtoinen käyttäjä tekee kohdejärjestelmää mahdottomaksi ja estää siten käyttäjiä pääsemästä tärkeisiin palveluihin ja sovelluksiin. Hyökkääjä saavuttaa tämän käyttämällä bottiverkkoja tulviikseen kohdejärjestelmään valtavia määriä SYN-paketteja, jotka lopulta tekevät siitä käyttökelvottoman tietyksi ajaksi. DDoS-hyökkäykset voivat kaataa tietokantoja ja verkkosivustoja.

5. Sisäiset uhat/Rogue-työntekijät

Tyytymättömät työntekijät, joilla on etuoikeutettu käyttöoikeus, voivat helposti vaarantaa järjestelmiä. Tällaisia hyökkäyksiä on yleensä vaikea havaita ja niiltä suojautua, koska työntekijöiden ei tarvitse tunkeutua verkkoon. Lisäksi jotkut työntekijät voivat tahattomasti saastuttaa verkon haittaohjelmilla, kun he liittävät USB-laitteita, joissa on haittaohjelmia.

Verkkohyökkäysten lieventäminen

Katsotaanpa muutamia toimenpiteitä, joilla voit asettaa esteen, joka tarjoaa huomattavan suojan verkkohyökkäysten vähentämiseksi.

1. Pidä ohjelmistosovellukset ajan tasalla

Käyttöjärjestelmätasolla ohjelmistopakettien päivittäminen korjaa kaikki olemassa olevat haavoittuvuudet, jotka voivat vaarantaa järjestelmäsi hakkereiden käynnistämillä hyväksikäytöillä.

Ota käyttöön isäntäpohjainen palomuuri

Verkkopalomuurien lisäksi, jotka yleensä tarjoavat ensimmäisen suojalinjan tunkeutumisia vastaan, voit myös ottaa käyttöön isäntäpohjaisen palomuurin, kuten palomuurin ja UFW-palomuurin. Nämä ovat yksinkertaisia mutta tehokkaita palomuurisovelluksia, jotka tarjoavat ylimääräisen suojakerroksen suodattamalla verkkoliikennettä sääntöjen perusteella.

3. Poista tarpeettomat palvelut käytöstä

Jos käytössäsi on palveluita, joita ei käytetä aktiivisesti, poista ne käytöstä. Tämä auttaa minimoimaan hyökkäyspinnan ja jättää hyökkääjälle mahdollisimman vähän vaihtoehtoja hyödyntää ja löytää porsaanreikiä.

Samalla rivillä käytät verkkoskannaustyökalua, kuten Nmap, avoimien porttien skannaamiseen ja etsimiseen. Jos tarpeettomia portteja on auki, harkitse niiden estämistä palomuurissa.

4. Määritä TCP-kääreet

TCP-kääreet ovat isäntäpohjaisia ACL-luetteloita ( Access Control Lists ), jotka rajoittavat pääsyä verkkopalveluihin sääntöjen, kuten IP-osoitteiden, perusteella. TCP-kääreet viittaavat seuraaviin isäntätiedostoihin määrittääkseen, missä asiakkaalle myönnetään tai evätään pääsy verkkopalveluun.

  • /etc/hosts.allow
  • /etc/hosts.deny

Muutama huomioitava seikka:

  1. Säännöt luetaan ylhäältä alas. Tietyn palvelun ensimmäinen vastaavuussääntö otettiin käyttöön ensin. Huomaa, että järjestys on erittäin tärkeä.
  2. /etc/hosts.allow-tiedoston sääntöjä sovelletaan ensin ja ne ovat etusijalla /etc/hosts.deny-tiedostossa määritettyyn sääntöön nähden. Tämä tarkoittaa, että jos pääsy verkkopalveluun sallitaan /etc/hosts.allow-tiedostossa, pääsy samaan palveluun estetään tiedostossa /etc/hosts.deny. jätetään huomiotta tai huomiotta.
  3. Jos palvelusääntöjä ei ole kummassakaan isäntätiedostossa, palvelun käyttöoikeus myönnetään oletusarvoisesti.
  4. Kahteen isäntätiedostoon tehdyt muutokset otetaan käyttöön välittömästi ilman palveluiden uudelleenkäynnistystä.

5. Suojaa etäprotokollat ja käytä VPN:ää

Aiemmissa aiheissamme olemme tarkastelleet, kuinka voit suojata SSH-protokollan estääksesi haitallisia käyttäjiä pääsemästä järjestelmääsi. Yhtä tärkeää on VPN:n käyttö Linux-palvelimen etäkäytön aloittamiseen erityisesti julkisen verkon kautta. VPN salaa kaikki palvelimen ja etäisäntien välillä vaihdetut tiedot ja tämä eliminoi mahdollisuudet, että viestiä kuunnellaan.

6. Ympärivuorokautinen verkon valvonta

Infrastruktuurin valvonta WireSharkin kaltaisilla työkaluilla auttaa sinua valvomaan ja tarkastamaan liikennettä haitallisten tietopakettien varalta. Voit myös ottaa käyttöön fail2banin suojataksesi palvelimesi bruteforce-hyökkäyksiltä.

7. Asenna haittaohjelmien torjuntaohjelmisto

Linuxista on tulossa yhä enemmän hakkereiden kohde sen kasvavan suosion ja käytön vuoksi. Sellaisenaan on järkevää asentaa suojaustyökaluja rootkit-ohjelmien, virusten, troijalaisten ja kaikenlaisten haittaohjelmien varalta.

On olemassa suosittuja avoimen lähdekoodin ratkaisuja, kuten ClamAV, jotka ovat tehokkaita haittaohjelmien torjunnassa. Voit myös harkita chkrootkitin asentamista tarkistaaksesi, onko järjestelmässäsi merkkejä rootkitistä.

8. Verkon segmentointi

Harkitse verkon segmentoimista VLAN-verkkoihin (Virtual Local Area Networks). Tämä tehdään luomalla samaan verkkoon aliverkkoja, jotka toimivat erillisinä verkkoina. Verkon segmentointi auttaa rajoittamaan rikkomisen vaikutukset yhdelle vyöhykkeelle ja vaikeuttaa hakkereiden pääsyä muiden aliverkkojen läpi.

9. Langattomien laitteiden salaus

Jos verkossasi on langattomia reitittimiä tai tukiasemia, varmista, että ne käyttävät uusimpia salaustekniikoita minimoimaan välimieshyökkäysten riskit.

Yhteenveto

Verkkoturvallisuus on valtava aihe, joka sisältää toimenpiteiden toteuttamisen verkkolaitteisto-osiossa ja myös isäntäpohjaisten käytäntöjen toteuttamisen käyttöjärjestelmässä suojakerroksen lisäämiseksi tunkeutumisia vastaan. Esitetyillä toimenpiteillä voidaan parantaa järjestelmäsi suojausta verkkohyökkäysvektoreita vastaan.