LFCA Cómo mejorar la seguridad de la red de Linux - Parte 19

En un mundo siempre conectado, la seguridad de la red se está convirtiendo cada vez más en una de las áreas en las que las organizaciones invierten una gran cantidad de tiempo y recursos. Esto se debe a que la red de una empresa es la columna vertebral de cualquier infraestructura de TI y conecta todos los servidores y dispositivos de red. Si se infringe la red, la organización estará a merced de los hackers. Los datos cruciales se pueden exfiltrarse y se pueden reducir los servicios y aplicaciones centrados en el negocio.

La seguridad de la red es un tema bastante vasto y generalmente adopta un enfoque de dos puntas. Los administradores de la red generalmente instalarán dispositivos de seguridad de red como firewalls, IDS (sistemas de detección de intrusos) e IPS (sistemas de prevención de intrusos) como la primera línea de defensa. Si bien esto puede proporcionar una capa decente de seguridad, se deben tomar algunos pasos adicionales en el nivel del sistema operativo para evitar que hay violaciones.

En este punto, ya debe estar familiarizado con los conceptos de redes, como el direccionamiento IP y el servicio TCP/IP y los protocolos. También debe estar al día con conceptos de seguridad básicos, como configurar contraseñas seguras y configurar un firewall.

Antes de cubrir varios pasos para garantizar la seguridad de su sistema, primero tengamos una visión general de algunas de las amenazas de red comunes.

¿Qué es un ataque de red??

Una red empresarial grande y bastante compleja puede depender de múltiples puntos finales conectados para admitir operaciones comerciales. Si bien esto puede proporcionar la conectividad requerida para optimizar los flujos de trabajo, plantea un desafío de seguridad. Más flexibilidad se traduce en un panorama de amenazas más amplio que el atacante puede aprovechar para lanzar un ataque de red.

Entonces, ¿qué es un ataque de red??

Un ataque de la red es el acceso no autorizado a la red de una organización con el único propósito de acceder y robar datos y realizar otras actividades nefastas, como desfigurar sitios web y aplicaciones corruptas.

Hay dos categorías generales de ataques de redes.

• Ataque pasivo: En un ataque pasivo, el hacker gana acceso no autorizado para espiar y robar datos sin modificarlo o corromperlo.
• Ataque activo: Aquí, el atacante no solo se infiltra en la red para robar datos, sino que también modifica, elimina, corrompe o encripta los datos y aplica aplicaciones, y reduce los servicios de ejecución. Es cierto que este es el más devastador de los dos ataques.

Tipos de ataques de red

Revisemos algunos de los ataques de red comunes que pueden comprometer su sistema Linux:

1. Vulnerabilidades de software

La ejecución de versiones de software antiguas y obsoletas puede poner en riesgo fácilmente su sistema, y ​​esto se debe en gran parte a vulnerabilidades inherentes y a la parte trasera que acechan en él. En el tema anterior sobre seguridad de datos, vimos cómo los piratas informáticos explotaron una vulnerabilidad en el portal de quejas de los clientes de Equifax y condujeron a una de las infames infames de datos de datos.

Es por esta razón que siempre es aconsejable aplicar constantemente parches de software actualizando sus aplicaciones de software a las últimas versiones.

2. Hombre en los ataques intermedios

Un hombre en el ataque medio, comúnmente abreviado como MITM, es un ataque en el que un atacante intercepta la comunicación entre el usuario y la aplicación o punto final. Al posicionarse entre un usuario legítimo y la aplicación, el atacante puede despojar el cifrado y escuchar la comunicación enviada desde y hacia. Esto le permite recuperar información confidencial, como credenciales de inicio de sesión y otra información de identificación personal.

Los objetivos probables de dicho ataque incluyen sitios de comercio electrónico, negocios SaaS y aplicaciones financieras. Para lanzar tales ataques, los piratas informáticos aprovechan las herramientas de olpulsión de paquetes que capturan paquetes de dispositivos inalámbricos. El hacker luego procede a inyectar código malicioso en los paquetes que se están intercambiando.

3. Malware

El malware es un portmanteau de software malicioso y comprende una amplia gama de aplicaciones maliciosas como virus, troyanos, spyware y ransomware, por mencionar algunas. Una vez dentro de una red, el malware se propaga a través de varios dispositivos y servidores.

Dependiendo del tipo de malware, las consecuencias pueden ser devastadoras. Los virus y el spyware tienen la capacidad de espiar, robar y exfiltrar datos altamente confidenciales, corromper o eliminar archivos, ralentizar la red e incluso secuestrar aplicaciones. El ransomware encripta los archivos que son inaccesibles a menos que la víctima se repite con una cantidad sustancial como rescate.

4. Ataques de denegación de servicio distribuido (DDoS)

Un ataque DDoS es un ataque en el que el usuario malicioso hace que un sistema objetivo sea inaccesible, y al hacerlo evita que los usuarios accedan a servicios y aplicaciones cruciales. El atacante logra esto utilizando botnets para inundar el sistema objetivo con enormes volúmenes de paquetes SYN que finalmente lo hacen inaccesible por un período de tiempo. Los ataques DDoS pueden derribar bases de datos y sitios web.

5. Amenazas internas / empleados deshonestos

Los empleados descontentos con acceso privilegiado pueden comprometer fácilmente los sistemas. Tales ataques suelen ser difíciles de detectar y proteger ya que los empleados no necesitan infiltrarse en la red. Además, algunos empleados pueden infectar involuntariamente la red con malware cuando conectan dispositivos USB con malware.

Ataques de redes de red

Veamos algunas medidas que puede tomar para poner una barrera que proporcionará un grado considerable de seguridad para mitigar los ataques de la red.

1. Mantenga las aplicaciones de software actualizadas

En el nivel del sistema operativo, la actualización de sus paquetes de software parchará cualquier vulnerabilidad existente que pueda poner a su sistema en riesgo de exploits lanzados por hackers.

Implementar un firewall basado en el host

Además de los firewalls de red que generalmente proporcionan la primera línea de defensa contra las intrusiones, también puede implementar un firewall basado en el host como Firewalld y UFW Firewall. Estas son aplicaciones de firewall simples pero efectivas que proporcionan una capa adicional de seguridad al filtrar el tráfico de red basado en un conjunto de reglas.

3. Deshabilitar los servicios que no necesita

Si tiene servicios de ejecución que no se usan activamente, desactívelos. Esto ayuda a minimizar la superficie de ataque y deja al atacante con opciones mínimas para aprovechar y encontrar lagunas.

En la misma línea, utiliza una herramienta de escaneo de red como NMAP para escanear y investigar para cualquier puerto abierto. Si hay puertos innecesarios abiertos, considere bloquearlos en el firewall.

4. Configurar envoltorios TCP

Los envoltorios TCP son ACL basados ​​en host (listas de control de acceso) que restringen el acceso a los servicios de red en función de un conjunto de reglas como las direcciones IP. Los envoltorios TCP hacen referencia a los siguientes archivos de host para determinar dónde se le otorgará o negará el acceso a un cliente a un servicio de red.

• /etc/huéspedes.permitir
• /etc/huéspedes.denegar

Algunos puntos a tener en cuenta:

1. Las reglas se leen de arriba a abajo. La primera regla coincidente para un servicio determinado aplicado primero. Tenga en cuenta que el pedido es extremadamente crucial.
2. Las reglas en el /etc/huéspedes.permitir El archivo se aplica primero y tome prioridad sobre la regla definida en el /etc/huéspedes.denegar archivo. Esto implica que si el acceso a un servicio de red está permitido en el /etc/huéspedes.permitir archivo, negar el acceso al mismo servicio en el /etc/huéspedes.denegar el archivo se pasará por alto o se ignorará.
3. Si las reglas de servicio no existen en ninguno de los archivos de host, el acceso al servicio se otorga por defecto.
4. Los cambios realizados en los dos archivos de host se implementan inmediatamente sin reiniciar los servicios.

5. Asegurar protocolos remotos y usar VPN

En nuestros temas anteriores, hemos analizado cómo puede asegurar el protocolo SSH para disuadir a los usuarios maliciosos de acceder a su sistema. Igualmente importante es el uso de una VPN para iniciar el acceso remoto al servidor Linux, especialmente en una red pública. Una VPN encripta todos los datos intercambiados entre el servidor y los hosts remotos y esto elimina las posibilidades de que la comunicación se acerque.

6. Monitoreo de red de 24 horas

Monitorear su infraestructura con herramientas como Wireshark lo ayudará a monitorear e inspeccionar el tráfico para paquetes de datos maliciosos. También puede implementar fail2ban para asegurar su servidor de los ataques de Bruteforce.

[También puede gustar: 16 herramientas de monitoreo de ancho de banda útiles para analizar el uso de la red en Linux]

7. Instalar software de antimalware

Linux se está convirtiendo cada vez más en un objetivo para los piratas informáticos debido a su creciente popularidad y uso. Como tal, es prudente instalar herramientas de seguridad para escanear el sistema de raíces, virus, troyanos y cualquier forma de malware.

Hay soluciones populares de OpenSource, como clamav, que son eficientes para detectar un malware de protección contra. También puede considerar instalar chkrootkit para verificar cualquier signo de rootkits en su sistema.

8. Segmentación de red

Considere segmentar su red en VLAN (redes de área local virtual). Esto se hace creando subredes en la misma red que actúan como redes independientes. La segmentación de su red es muy útil para limitar el impacto de una violación en una zona y hace que sea mucho más difícil para los hackers acceder a otras subredes de Traverse.

9. Cifrenando dispositivos inalámbricos

Si tiene enrutadores inalámbricos o puntos de acceso en su red, asegúrese de que estén utilizando las últimas tecnologías de cifrado para minimizar los riesgos de los ataques de hombre en el medio.

Resumen

La seguridad de la red es un tema enorme que abarca las medidas en la sección de hardware de la red y también implementa políticas basadas en host en el sistema operativo para agregar una capa protectora contra las intrusiones. Las medidas descritas contribuirán en gran medida a mejorar la seguridad de su sistema contra los vectores de ataque de la red.