Explicación detallada de la tecnología de ataque y defensa del servidor para el sistema Linux

Con la expansión de las aplicaciones empresariales de Linux, hay un gran número de servidores de red que utilizan el sistema operativo Linux. El rendimiento de seguridad de los servidores de Linux está recibiendo cada vez más atención. Aquí, la profundidad de los ataques en los servidores de Linux se enumera en niveles y se proponen diferentes soluciones.

La definición de ataque a un servidor Linux es que un ataque es un acto no autorizado diseñado para obstruir, dañar, debilitar o comprometer la seguridad de un servidor Linux. El alcance del ataque puede ser denegado desde el servicio hasta que el servidor Linux esté completamente comprometido y destruido. Hay muchos tipos de ataques en los servidores de Linux. Este artículo explica, desde la perspectiva de la profundidad del ataque, que dividimos los ataques en cuatro niveles.

Attack Level 1: Service Denial of Attack (DoS)

Debido a la proliferación de herramientas de ataque DoS y al hecho de que los defectos de la capa de protocolo seleccionada no pueden cambiarse por un corto tiempo, DoS se ha convertido en una circunstancia. La forma más extensa y difícil de defenderse de los ataques.

Los ataques de denegación de servicio incluyen ataques de denegación de servicio distribuidos, ataques de denegación de servicio distribuidos reflexivos, ataques de denegación de servicio de distribución de DNS y ataques de FTP. La mayoría de los ataques de denegación de servicio conllevan riesgos relativamente bajos, incluso aquellos que pueden hacer que el sistema se reinicie son solo problemas temporales. Este tipo de ataque es muy diferente de aquellos que desean obtener control de la red. Generalmente no afecta la seguridad de los datos, pero el ataque de denegación del servicio durará mucho tiempo y es muy difícil.

Hasta ahora, no hay una manera absoluta de detener tales ataques. Pero esto no significa que debamos estar a la mano. Además de enfatizar la importancia de la protección y protección personal del host, el fortalecimiento de la administración del servidor es una parte muy importante. Asegúrese de instalar el software de verificación y la función de filtrado para verificar la dirección real de la dirección de origen del mensaje. Además, para varias denegaciones de servicio, se pueden tomar las siguientes medidas: desactivar servicios innecesarios, limitar el número de semiconexiones simultáneas que se abren simultáneamente, acortar el tiempo de espera de la semi-unión de Sin y actualizar los parches del sistema a tiempo.

Nivel 2 de ataque: los usuarios locales obtienen acceso de lectura y escritura a sus archivos no autorizados. Los usuarios locales son usuarios que tienen una contraseña en cualquier máquina de la red local y, por lo tanto, tienen un directorio en una unidad. . La cuestión de si los usuarios locales tienen acceso a los permisos de lectura y escritura de sus archivos no autorizados se debe en gran medida a la importancia de los archivos a los que se accede. El acceso arbitrario de cualquier usuario local al directorio de archivos temporales (/tmp) es peligroso, y potencialmente puede establecer un camino hacia el siguiente nivel de ataque.

El método de ataque principal del Nivel 2 es: los piratas informáticos engañan a los usuarios legítimos para que les comuniquen información confidencial o realicen tareas. A veces, los piratas informáticos fingen que los administradores de red envían correos electrónicos a los usuarios y les piden contraseñas para las actualizaciones del sistema.

Los ataques iniciados por usuarios locales casi siempre comienzan con el inicio de sesión remoto. Para los servidores Linux, el mejor enfoque es colocar todas las cuentas de shell en una máquina separada, es decir, solo uno o más servidores a los que se les asigna acceso de shell están registrados. Esto facilita la administración de la administración de registros, la administración del control de acceso, los protocolos de lanzamiento y otros posibles problemas de seguridad. El sistema que almacena el CGI del usuario también debe ser distinguido. Estas máquinas deben estar aisladas en un segmento de red específico, es decir, deben estar rodeadas de enrutadores o conmutadores de red, según la configuración de la red. Su topología debe garantizar que la suplantación de direcciones de hardware no pueda exceder esta sección.

Nivel de ataque 3: los usuarios remotos obtienen permisos de lectura y escritura para archivos privilegiados

Un tercer nivel de ataque puede hacer más que solo verificar la existencia de un archivo en particular, y leer y escribir estos archivos. La razón de esto es que hay algunas debilidades en la configuración del servidor Linux: los usuarios remotos pueden ejecutar un número limitado de comandos en el servidor sin una cuenta válida.

El método de ataque con contraseña es el método de ataque principal en el tercer nivel. La contraseña de daño es el método de ataque más común. El craqueo de contraseñas es un término usado para describir la infiltración de una red, sistema o recurso para desbloquear un recurso protegido por contraseña con o sin herramientas. Los usuarios a menudo ignoran sus contraseñas y las políticas de contraseña son difíciles de implementar. Los hackers tienen múltiples herramientas para vencer las contraseñas protegidas por la tecnología y la sociedad. Principalmente incluyen: ataque de diccionario, ataque híbrido, ataque de fuerza bruta. Una vez que un hacker tiene una contraseña de usuario, tiene los privilegios de muchos usuarios. Adivinar la contraseña se refiere a ingresar manualmente una contraseña normal u obtener una contraseña compilando el original del programa. Algunos usuarios eligen contraseñas simples, como cumpleaños, aniversarios y nombres de cónyuges, pero no siguen las reglas que deben combinarse con letras y números. No toma mucho tiempo para que un hacker adivine un montón de datos de cumpleaños de 8 palabras.

La mejor defensa contra ataques de tercer nivel es controlar estrictamente los privilegios de acceso, usando una contraseña válida.

◆ Incluye principalmente las reglas de que las contraseñas deben mezclarse con letras, números y mayúsculas (porque Linux distingue entre mayúsculas y minúsculas).

◆ El uso de caracteres especiales como "#" o "%" o "$" agrega complejidad. Por ejemplo, use la palabra "countbak" y agregue "# $" (countbak # $) después, para que tenga una contraseña bastante válida.

Nivel de ataque 4: los usuarios remotos obtienen permisos de raíz

El cuarto nivel de ataque se refiere a cosas que nunca deberían suceder. Este es un ataque fatal. Indica que el atacante tiene permisos de administrador, superusuario o administrador en el servidor Linux para leer, escribir y ejecutar todos los archivos. En otras palabras, el atacante tiene control total sobre el servidor Linux y puede apagar completamente o incluso destruir la red en cualquier momento.

Nivel de ataque 4 Las principales formas de ataque son el robo continuo de TCP /IP, la escucha pasiva de canales y la intercepción de paquetes. El robo continuo de TCP /IP, la escucha pasiva de canales y la intercepción de paquetes son métodos para recopilar información importante en la red. A diferencia de los ataques de denegación de servicio, estos métodos tienen una naturaleza más robusta y son más difíciles de descubrir. Un ataque TCP /IP exitoso le permite a un pirata informático bloquear transacciones entre dos grupos, lo que brinda una buena oportunidad para un ataque de hombre en el medio, y luego el pirata informático controlará una o las transacciones de ambas partes sin que la víctima lo note. A través de escuchas pasivas, los piratas informáticos manipularán y registrarán información, entregarán los archivos y encontrarán las amenazas mortales que pueden pasar desde todos los canales disponibles en el sistema de destino. El hacker buscará una combinación de en línea y contraseña para reconocer el canal legítimo de la aplicación. La interceptación de paquetes se refiere a la dirección en el sistema de destino que obliga a un programa de escucha activo a interceptar y cambiar toda o información especial. La información puede ser redirigida a un sistema ilegal para leer y luego devolverse al pirata informático sin cambios.

El robo continuo de TCP /IP es en realidad rastrear la red. Tenga en cuenta que si está seguro de que alguien ha llevado el rastreador a su red, puede encontrar algunas herramientas para la verificación. Esta herramienta se llama Reflectómetro de dominio de tiempo (TDR). TDR mide la propagación y los cambios de las ondas electromagnéticas. Conecte un TDR a la red para detectar dispositivos no autorizados que adquieren datos de la red. Sin embargo, muchas empresas pequeñas y medianas no tienen herramientas tan caras. La mejor manera de prevenir los ataques de sniffer es: [# page _ #] [# page_ #]

1. Topología segura. El rastreador solo puede capturar datos en el segmento de red actual. Esto significa que cuanto más precisa sea la segmentación de la red, menos información podrá recopilar el sniffer.

2. Cifrado de sesión. En lugar de preocuparse por la inhalación de los datos, debe encontrar formas de que el rastreador no sea consciente de los datos detectados.