Vyhledávání na webu

Jak auditovat výkon sítě, zabezpečení a odstraňování problémů v Linuxu – část 12

Řádná analýza počítačové sítě začíná pochopením toho, jaké jsou dostupné nástroje k provedení úkolu, jak vybrat ty správné pro každý krok cesty a v neposlední řadě, kde začít.

Toto je poslední část série LFCE (Linux Foundation Certified Engineer), zde si prohlédneme některé známé nástroje ke zkoumání výkonu a zvýšení bezpečnosti sítě. a co dělat, když věci nejdou podle očekávání.

Představujeme certifikační program Linux Foundation

Upozorňujeme, že tento seznam nepředstírá, že je vyčerpávající, takže pokud byste chtěli přidat další užitečný nástroj, který by nám mohl chybět, můžete tento příspěvek okomentovat pomocí formuláře níže.

Jaké služby fungují a proč?

Jednou z prvních věcí, které musí správce systému vědět o každém systému, je, jaké služby jsou spuštěny a proč. S těmito informacemi v ruce je moudrým rozhodnutím zakázat všechny ty, které nejsou nezbytně nutné, a vyhýbat se hostování příliš mnoha serverů na stejném fyzickém počítači.

Například musíte deaktivovat svůj FTP server, pokud jej vaše síť nevyžaduje (mimochodem existují bezpečnější metody sdílení souborů přes síť). Kromě toho byste se měli vyvarovat používání webového serveru a databázového serveru ve stejném systému. Pokud dojde ke kompromitaci jedné součásti, hrozí, že bude kompromitován i zbytek.

Zkoumání soketových spojení s ss

ss se používá k výpisu statistik soketů a zobrazuje informace podobné netstatu, i když dokáže zobrazit více informací o TCP a stavu než jiné nástroje. Navíc je uveden v man netstat jako náhrada za netstat, který je zastaralý.

V tomto článku se však zaměříme pouze na informace související se zabezpečením sítě.

Příklad 1: Zobrazení VŠECH TCP portů (soketů), které jsou otevřené na našem serveru

Všechny služby běžící na jejich výchozích portech (tj. http na 80, mysql na 3306) jsou označeny svými příslušnými názvy. Ostatní (zde skryty z důvodu ochrany osobních údajů) jsou zobrazeny v číselné podobě.

ss -t -a

První sloupec zobrazuje stav TCP, zatímco druhý a třetí sloupec zobrazuje množství dat, která jsou aktuálně ve frontě pro příjem a přenos. Čtvrtý a pátý sloupec zobrazuje zdrojové a cílové zásuvky každého připojení.
Na okraj, možná budete chtít zkontrolovat RFC 793, abyste si osvěžili paměť o možných stavech TCP, protože také potřebujete zkontrolovat počet a stav otevřených TCP spojení, abyste si byli vědomi (D)DoS útoků.

Příklad 2: Zobrazení VŠECH aktivních TCP spojení s jejich časovači
ss -t -o

Ve výše uvedeném výstupu můžete vidět, že existují 2 navázaná připojení SSH. Pokud si všimnete hodnoty druhého pole timer:, všimnete si hodnoty 36 minut při prvním připojení. To je doba, po kterou bude odeslána další sonda pro udržení života.

Vzhledem k tomu, že se jedná o připojení, které je udržováno naživu, můžete bezpečně předpokládat, že se jedná o neaktivní připojení, a proto můžete proces po zjištění jeho PID zabít.

Pokud jde o druhé připojení, můžete vidět, že se aktuálně používá (jak je označeno on).

Příklad 3: Filtrování připojení podle zásuvky

Předpokládejme, že chcete filtrovat TCP spojení podle soketu. Z pohledu serveru musíte zkontrolovat připojení, kde je zdrojový port 80.

ss -tn sport = :80

Což má za následek..

Ochrana před skenováním portů pomocí NMAP

Skenování portů je běžná technika používaná crackery k identifikaci aktivních hostitelů a otevřených portů v síti. Jakmile je zranitelnost objevena, je zneužita k získání přístupu do systému.

Moudrý sysadmin potřebuje zkontrolovat, jak jeho nebo její systémy vidí lidé zvenčí, a ujistit se, že není nic ponecháno náhodě tím, že je často kontroluje. To se nazývá „defenzivní skenování portů“.

Příklad 4: Zobrazení informací o otevřených portech

Následující příkaz můžete použít ke skenování, které porty jsou otevřené ve vašem systému nebo ve vzdáleném hostiteli:

nmap -A -sS [IP address or hostname]

Výše uvedený příkaz prohledá hostitele na zjištění OS a verze, informace o portu a traceroute (-A). Nakonec -sS odešle sken TCP SYN, čímž zabrání nmapu dokončit 3-cestný TCP handshake a na cílovém počítači tak obvykle nezanechá žádné protokoly.

Než budete pokračovat s dalším příkladem, mějte prosím na paměti, že skenování portů není nezákonná činnost. Co JE nelegální, je použití výsledků pro škodlivé účely.

Například výstup výše uvedeného příkazu spuštěného proti hlavnímu serveru místní univerzity vrátí následující (kvůli stručnosti je zobrazena pouze část výsledku):

Jak můžete vidět, objevili jsme několik anomálií, které bychom měli nahlásit správcům systému na této místní univerzitě.

Tato specifická operace skenování portů poskytuje všechny informace, které lze získat také jinými příkazy, jako jsou:

Příklad 5: Zobrazení informací o konkrétním portu v místním nebo vzdáleném systému
nmap -p [port] [hostname or address]
Příklad 6: Zobrazení traceroute a zjištění verze služeb a typu OS, názvu hostitele
nmap -A [hostname or address]
Příklad 7: Skenování několika portů nebo hostitelů současně

Můžete také skenovat několik portů (rozsah) nebo podsítí, a to následovně:

nmap -p 21,22,80 192.168.0.0/24

Poznámka: Výše uvedený příkaz kontroluje porty 21, 22 a 80 na všech hostitelích v daném segmentu sítě.

Další podrobnosti o provádění jiných typů skenování portů naleznete na manové stránce. Nmap je skutečně velmi výkonný a všestranný nástroj pro mapování sítě a měli byste s ním být velmi dobře obeznámeni, abyste mohli bránit systémy, za které zodpovídáte, před útoky vzniklými po škodlivém skenování portů cizími osobami.