Revisão de segurança de rede para linux

Trabalhando em Linux, você deve estar familiarizado com alguns mecanismos de segurança. UMA análise de rede de segurança

concentra-se em avaliar os mecanismos de segurança em cada uma das seguintes áreas:

  • Prevenção: Configurar um firewall, permitir a filtragem de pacotes, desative inetd desnecessários ou serviços xinetd, desativar os serviços de Internet desnecessários, use o TCP wrappers para controle de acesso, e usar SSH para logins remotos seguros.

  • Detecção: Use detecção de intrusão de rede e registros do sistema de captura.

  • Resposta: Desenvolver procedimentos de resposta a incidentes.

Alguns passos fundamentais na avaliação da segurança de rede são descritos aqui.

Serviços iniciados pelo inetd ou xinetd

Dependendo da sua distribuição, o inetd ou xinetd servidor pode ser configurado para iniciar alguns serviços de Internet, como Telnet e FTP. A decisão de ativar alguns desses serviços depende de fatores tais como a forma como o sistema se conecta à Internet e como o sistema está sendo usado.

Normalmente você pode desligar mais inetd e xinetd serviços por comentando a linha - basta colocar um sinal de libra (#) no início da linha.

Se você estiver usando xinetd, é possível ver quais serviços estão desligados, verificando os arquivos de configuração na /etc/xinetd.d diretório para todos os arquivos de configuração que têm um desativar = yes linha. (A linha não conta se ele está comentado, que é indicado por um caractere # no início da linha.)

Você pode adicionar uma desativar = yes linha para o arquivo de configuração de qualquer serviço que você deseja desativar.

Além disso, verifique os seguintes arquivos para quaisquer controles de acesso utilizados com o inetd ou xinetd Serviços:

Video: Segurança em Linux - Gerenciamento de Logs

  • /etc/hosts.allow lista de hosts autorizados a acessar serviços específicos.

  • /etc/hosts.deny Listas anfitriões negado o acesso aos serviços.

serviços autônomos



Muitos serviços, tais como apache ou httpd (Servidor web) e enviar correio (Servidor de correio), inicia automaticamente no momento da inicialização, assumindo que eles estão configurados para começar dessa maneira.

Em algumas distribuições, você pode usar o chkconfig comando para verificar qual destes servidores independentes são definidos para iniciar em vários níveis de execução. Tipicamente, a maioria dos sistemas de iniciar-se a nível de execução 3 (para o login de texto) ou 5 (para autenticação gráfica).

Portanto, o que importa é o cenário para os servidores de níveis 3 e 5. Para visualizar a lista de servidores, tipo chkconfig -list | Mais. Quando você faz uma auto-avaliação da sua segurança de rede e descobrir que alguns servidores não deve ser execução, você pode desligá-los para os níveis de execução 3 e 5, digitando chkconfig -level 35 Nome do Serviço fora, Onde Nome do Serviço é o nome do serviço que você deseja desativar.

Em algumas distribuições, você pode usar uma ferramenta GUI para ver quais serviços estão ativados e funcionando em qualquer nível de execução. Com o YaST, por exemplo, clique em Sistema no lado esquerdo da janela e clique em Editor de Nível de Execução no lado direito da janela.

Quando você auditar a segurança da rede, fazer uma nota de todos os servidores que estão ligados - e, em seguida, tentar determinar se eles devem realmente estar on, de acordo com o que você sabe sobre o sistema.

Video: ��Curso Linux Iptables + Squid + Firewall - Aula 10 - Configurando Proxy autenticado aulaEAD.com

A decisão de ativar um determinado serviço depende de como é usado o sistema (por exemplo, como um servidor web ou como um sistema desktop) e como ele é conectado à Internet (por exemplo, através de um firewall ou diretamente).

Teste de penetração

Um teste de penetração é a melhor maneira de dizer quais serviços são realmente rodando em um sistema Linux. Os testes de penetração envolve a tentar obter acesso ao seu sistema a partir da perspectiva de um atacante. Normalmente, você executar este teste de um sistema na Internet e tentar quebrar ou, no mínimo, ter acesso a serviços em execução no seu sistema Linux.

Um aspecto do teste de penetração é ver quais portas estão abertas no seu sistema Linux. o número da porta é simplesmente um número que identifica conexões de rede TCP / IP para o sistema. A tentativa de conectar a uma porta só terá sucesso se um servidor estiver em execução, ou “ouvir”, nessa porta. Uma porta é considerado aberto se um servidor responde quando um pedido de conexão para essa porta chega.

O primeiro passo no teste de penetração é a realização de uma verificação da porta. O termo varredura de portas descreve o processo automatizado de tentar se conectar a cada número da porta para ver se uma resposta válida volta. Muitas ferramentas automatizadas disponíveis pode executar a varredura de porta - você pode instalar e usar uma ferramenta de verificação de porta popular chamado nmap.

Depois de realizar uma varredura de portas, você sabe quais portas estão abertas e podem ser exploradas. Nem todos os servidores têm problemas de segurança, mas muitos servidores têm vulnerabilidades conhecidas. Uma porta aberta fornece um cracker uma maneira de atacar seu sistema através de um dos servidores.

Na verdade, você pode usar ferramentas automatizadas chamados scanners de vulnerabilidade para identificar as vulnerabilidades que existem em seu sistema.

Se seu sistema Linux está conectado diretamente à Internet (através de DSL ou cable modem) ou através de um firewall, utilize a porta-digitalização e ferramentas de vulnerabilidade de varredura para descobrir se você tem quaisquer buracos em suas defesas.


Publicações relacionadas