Rede de revisão de segurança para Linux

Trabalhando em Linux, você deve estar familiarizado com alguns mecanismos de segurança. UMA avaliação de rede de segurança

centra-se na avaliação dos mecanismos de segurança em cada um dos seguintes domínios:

  • Prevenção: Configurar um firewall, habilite a filtragem de pacotes, desative inetd desnecessários ou serviços xinetd, desativar os serviços de Internet desnecessários, use o TCP wrappers para controle de acesso, e usar SSH para logins remotas seguras.

  • Detecção: Use detecção de intrusão de rede e registros do sistema de captura.

  • Resposta: Desenvolver procedimentos de resposta a incidentes.

Alguns passos-chave na avaliação da segurança de rede são descritos aqui.

Serviços iniciados pelo inetd ou xinetd

Dependendo da sua distribuição, o inetd ou xinetd servidor pode ser configurado para iniciar alguns serviços de Internet, como Telnet e FTP. A decisão de ativar alguns desses serviços depende de fatores tais como a forma como o sistema se conecta à Internet e como o sistema está sendo usado.

Normalmente você pode desligar mais inetd e xinetd serviços por comentando a linha - basta colocar um sinal de libra (#) no início da linha.

Se você estiver usando xinetd, é possível ver quais serviços estão desligados, verificando os arquivos de configuração na /etc/xinetd.d diretório para todos os arquivos de configuração que têm um desativar = yes linha. (A linha não conta se é comentado para fora, o que é indicado por um caractere # no início da linha.)

Você pode adicionar um desativar = yes linha para o arquivo de configuração de qualquer serviço que você deseja desativar.

Além disso, verifique os seguintes arquivos para quaisquer controles de acesso utilizados com o inetd ou xinetd Serviços:

  • /etc/hosts.allow lista de hosts autorizados a aceder a serviços específicos.

  • /etc/hosts.deny Listas de anfitriões negado o acesso aos serviços.

serviços autônomos

Muitos serviços, tais como apache ou httpd (Servidor web) e enviar correio (Servidor de email), iniciar automaticamente no momento da inicialização, assumindo que eles estão configurados para começar dessa maneira.

Em algumas distribuições, você pode usar o chkconfig comando para verificar qual destes servidores independentes são definidos para iniciar em vários níveis de execução. Normalmente, a maioria dos sistemas de arranque no nível de execução 3 (para login de texto) ou 5 (para login gráfico).

Portanto, o que importa é o cenário para os servidores de níveis 3 e 5. Para visualizar a lista de servidores, digite chkconfig --list | Mais. Quando você faz uma auto-avaliação da sua segurança de rede e descobrir que alguns servidores não deve estar em execução, você pode desligá-los para os níveis de execução 3 e 5, digitando chkconfig --level 35 Nome do Serviço fora, Onde Nome do Serviço é o nome do serviço que você deseja desativar.

Em algumas distribuições, você pode usar uma ferramenta GUI para ver quais serviços estão ativados e funcionando em qualquer nível de execução. Com o YaST, por exemplo, clique em Sistema no lado esquerdo da janela e clique em Editor de Nível de Execução no lado direito da janela.

Quando você auditar a segurança da rede, fazer uma nota de todos os servidores que estão ligados - e, em seguida, tentar determinar se eles devem realmente estar on, de acordo com o que você sabe sobre o sistema.

A decisão de ativar um serviço particular depende de como o sistema é utilizado (por exemplo, como um servidor web ou como um sistema desktop) e como ele é conectado à Internet (por exemplo, através de um firewall ou diretamente).

teste de penetração

Um teste de penetração é a melhor maneira de dizer quais serviços são realmente rodando em um sistema Linux. Os testes de penetração envolve a tentar obter acesso ao seu sistema a partir da perspectiva de um atacante. Normalmente, você executar este teste de um sistema na Internet e tentar quebrar ou, no mínimo, ter acesso a serviços em execução no seu sistema Linux.

Um aspecto do teste de penetração é para ver quais portas estão abertas no seu sistema Linux. o número da porta é simplesmente um número que identifica as conexões de rede TCP / IP para o sistema. A tentativa de conectar a uma porta bem-sucedida somente se um servidor estiver em execução ou # 147-escuta, # 148- nessa porta. Uma porta é considerado para ser aberto, se um servidor responde quando um pedido de ligação para essa porta chega.

O primeiro passo para testes de penetração é realizar uma varredura de portas. O termo varredura de portas descreve o processo automatizado de tentar se conectar a cada número da porta para ver se uma resposta válida volta. Muitas ferramentas automatizadas disponíveis pode executar a varredura de porta - você pode instalar e usar uma ferramenta de verificação de porta popular chamado nmap.

Depois de realizar uma verificação da porta, você sabe quais portas estão abertas e podem ser exploradas. Nem todos os servidores têm problemas de segurança, mas muitos servidores têm vulnerabilidades conhecidas. Uma porta aberta fornece um cracker uma forma de atacar seu sistema através de um dos servidores.

Na verdade, você pode usar ferramentas automatizadas chamados scanners de vulnerabilidade para identificar as vulnerabilidades que existem em seu sistema.

Se seu sistema Linux está conectado diretamente à Internet (através de modem DSL ou cabo) ou através de um firewall, use a porta-digitalização e ferramentas de vulnerabilidade de varredura para descobrir se você tem quaisquer buracos em suas defesas.

menu