Con la expansión de las aplicaciones empresariales de Linux, hay un gran número de servidores de red que utilizan el sistema operativo Linux. El rendimiento de seguridad de los servidores de Linux está recibiendo cada vez más atención. Aquí, la profundidad de los ataques en los servidores de Linux se enumera en niveles y se proponen diferentes soluciones. La definición de ataque a un servidor Linux es que un ataque es un acto no autorizado diseñado para obstruir, dañar, debilitar o comprometer la seguridad de un servidor Linux. El alcance del ataque puede ser denegado desde el servicio hasta que el servidor Linux esté completamente comprometido y destruido. Hay muchos tipos de ataques en los servidores de Linux. Este artículo explica, desde la perspectiva de la profundidad del ataque, que dividimos los ataques en cuatro niveles.
Attack Level 1: Service Denial of Attack (DoS)
Debido a la proliferación de las herramientas de ataque DoS y al hecho de que los defectos de la capa de protocolo objetivo no pueden cambiarse por un corto tiempo, DoS se ha convertido en el más extendido y más difícil de prevenir. El modo de ataque. Los ataques de denegación de servicio incluyen ataques de denegación de servicio distribuidos, ataques de denegación de servicio distribuidos reflexivos, ataques de denegación de servicio distribuidos por DNS y ataques de FTP. La mayoría de los ataques de denegación de servicio conllevan riesgos relativamente bajos, incluso aquellos que pueden hacer que el sistema se reinicie son solo problemas temporales. Este tipo de ataque es muy diferente de aquellos que desean obtener control de la red. Generalmente, no afecta la seguridad de los datos, pero el ataque de denegación del servicio durará mucho tiempo y es muy difícil. Hasta ahora, no hay una manera absoluta de detener tales ataques. Sin embargo, esto no significa que debamos estar a la mano. Además de enfatizar la importancia de la protección y protección personal del host, el fortalecimiento de la administración del servidor es una parte muy importante. Asegúrese de instalar el software de verificación y la función de filtrado para verificar la dirección real de la dirección de origen del mensaje. Además, para varias denegaciones de servicio, se pueden tomar las siguientes medidas: desactivar servicios innecesarios, limitar el número de semiconexiones simultáneas abiertas al mismo tiempo, acortar el tiempo de espera de Syn semi-join y actualizar los parches del sistema a tiempo. Nivel 2 de ataque: los usuarios locales obtienen acceso de lectura y escritura a sus archivos no autorizados. Los usuarios locales son usuarios que tienen una contraseña en cualquier máquina de la red local y, por lo tanto, tienen un directorio en una unidad. . La cuestión de si los usuarios locales tienen acceso a los permisos de lectura y escritura de sus archivos no autorizados se debe en gran medida a la importancia de los archivos a los que se accede. El acceso arbitrario de cualquier usuario local al directorio de archivos temporales (/tmp) es peligroso, y potencialmente puede establecer un camino hacia el siguiente nivel de ataque. El principal método de ataque del nivel 2 es: los piratas informáticos engañan a los usuarios legítimos para que les comuniquen información confidencial o realicen tareas. A veces, los piratas informáticos fingen que los administradores de red envían correos electrónicos a los usuarios y les piden contraseñas para actualizar el sistema. Los ataques iniciados por usuarios locales casi siempre comienzan con el inicio de sesión remoto. Para los servidores Linux, el mejor enfoque es colocar todas las cuentas de shell en una máquina separada, es decir, registrarse en solo uno o más servidores a los que se les asigna acceso de shell. Esto facilita la administración de la administración de registros, la administración del control de acceso, los protocolos de lanzamiento y otros posibles problemas de seguridad. El sistema que almacena el CGI del usuario también debe ser distinguido. Estas máquinas deben estar aisladas en un segmento de red específico, es decir, deben estar rodeadas de enrutadores o conmutadores de red según la configuración de la red. Su topología debe garantizar que la suplantación de direcciones de hardware no pueda exceder esta sección. Nivel de ataque 3: los usuarios remotos obtienen acceso de lectura y escritura a archivos privilegiados. El tercer nivel de ataque puede hacer más que solo verificar la existencia de archivos específicos, sino también leer y escribir estos archivos. La razón de esto es que hay algunas debilidades en la configuración del servidor Linux: los usuarios remotos pueden ejecutar un número limitado de comandos en el servidor sin una cuenta válida. El ataque con contraseña es el método de ataque principal en el tercer nivel, y las contraseñas corruptas son el método de ataque más común. El craqueo de contraseñas es un término usado para describir la infiltración de una red, sistema o recurso para desbloquear un recurso protegido por contraseña con o sin herramientas. Los usuarios a menudo ignoran sus contraseñas y las políticas de contraseña son difíciles de implementar. Los piratas informáticos tienen múltiples herramientas para eliminar contraseñas protegidas por la tecnología y la sociedad. Principalmente incluyen: ataque de diccionario, ataque híbrido, ataque de fuerza bruta. Una vez que un hacker tiene una contraseña de usuario, tiene muchos privilegios de usuario. Adivinar la contraseña se refiere a ingresar manualmente una contraseña normal u obtener una contraseña compilando el original del programa. Algunos usuarios eligen contraseñas simples, como cumpleaños, aniversarios y nombres de cónyuges, pero no siguen las reglas que deben combinarse con letras y números. No toma mucho tiempo para que un hacker adivine una cadena de datos de cumpleaños de ocho palabras. La mejor defensa contra ataques de tercer nivel es controlar estrictamente los privilegios de acceso, utilizando una contraseña válida. Incluye principalmente las reglas de que las contraseñas deben mezclarse con letras, números y mayúsculas (porque Linux distingue entre mayúsculas y minúsculas). El uso de caracteres especiales como "#" o "%" o "$" también agrega complejidad. Por ejemplo, use la palabra "countbak" y agregue "# $" (countbak # $) después, para que tenga una contraseña bastante válida.
nivel de ataque de cuatro: el usuario remoto obtener privilegios de root
cuarto nivel de ataque son nunca debería haber sucedido esas cosas, es ataques mortales. Indica que el atacante tiene permisos de administrador, superusuario o administrador en el servidor Linux para leer, escribir y ejecutar todos los archivos. En otras palabras, el atacante tiene control total sobre el servidor Linux y puede apagar completamente o incluso destruir la red en cualquier momento. Los cuatro tipos principales de ataque de nivel de ataque son robo continuo de TCP /IP, escucha pasiva de canales e intercepción de paquetes. El robo continuo de TCP /IP, la escucha pasiva de canales y la intercepción de paquetes son métodos para recopilar información importante en la red. A diferencia de los ataques de denegación de servicio, estos métodos tienen una naturaleza más robusta y son más difíciles de descubrir. Un ataque TCP /IP exitoso le permite a un pirata informático bloquear transacciones entre dos grupos, lo que brinda una buena oportunidad para un ataque de hombre en el medio, y luego el pirata informático puede controlar una o ambas transacciones sin que la víctima lo note. A través de escuchas pasivas, los piratas informáticos manipularán y registrarán información, entregarán los archivos y encontrarán las amenazas mortales que pueden pasar desde todos los canales disponibles en el sistema de destino. El hacker buscará una combinación de en línea y contraseña para reconocer el canal legítimo de la aplicación. La interceptación de paquetes se refiere a la dirección en el sistema de destino que obliga a un programa de escucha activo a interceptar y cambiar toda o información especial. La información puede ser redirigida a un sistema ilegal para leer y luego devolverse al pirata informático sin cambios. El robo continuo de TCP /IP es en realidad un rastreo de la red. Tenga en cuenta que si está seguro de que alguien ha llevado el rastreador a su red, puede encontrar algunas herramientas para la verificación. Esta herramienta se llama Reflectómetro de dominio de tiempo (TDR). TDR mide la propagación y los cambios de las ondas electromagnéticas. Conecte un TDR a la red para detectar dispositivos no autorizados que adquieren datos de la red. Sin embargo, muchas empresas pequeñas y medianas no tienen herramientas tan caras. La mejor manera de prevenir los ataques de sniffer es: 1. Topología segura. El rastreador solo puede capturar datos en el segmento de red actual. Esto significa que cuanto más precisa sea la segmentación de la red, menos información podrá recopilar el sniffer. 2. Cifrado de sesión. No hay necesidad de preocuparse por la detección de datos, sino de encontrar formas para que el rastreador no sea consciente de los datos detectados. La ventaja de este enfoque es obvia: incluso si el atacante rastrea los datos, los datos son inútiles para él. Consejo especial: medidas de contraataque para hacer frente a los ataques Debe prestar especial atención a los ataques que superen el segundo nivel. Porque pueden aumentar constantemente el nivel de ataque para penetrar en el servidor Linux. En este punto, las medidas que podemos tomar son: Primero, haga una copia de seguridad de los datos clave de la empresa. Cambie todas las contraseñas en el sistema y notifique al usuario que busque una nueva contraseña para el administrador del sistema. Aísle el segmento de red para que el comportamiento de ataque solo aparezca en un área pequeña. Permita que el comportamiento continúe. Si es posible, no se apresure a sacar al atacante del sistema y prepárese para el siguiente paso. Registrar todas las acciones y recoger pruebas. La evidencia incluye: archivo de inicio de sesión del sistema, archivo de inicio de sesión de la aplicación, AAA (autenticación, autorización, contabilidad, autenticación, autorización, contabilidad) archivo de inicio de sesión, RADIUS (servicio de usuario de acceso telefónico de autenticación remota), inicio de sesión del elemento de red (registros de elementos de red) , inicio de sesión de firewall, eventos HIDS (IDS basados en host), eventos NIDS (Network Intrusion Detection System), unidades de disco, archivos ocultos, etc. Preste atención al recopilar evidencia: tome fotos antes de mover o desarmar cualquier equipo, siga la regla de dos personas en la investigación y tenga al menos dos personas en la recopilación de información para evitar la manipulación, todos los pasos tomados y Cualquier cambio en los ajustes de configuración debe mantenerse en un lugar seguro. Verifique los permisos de acceso para todos los directorios en el sistema y verifique si Permslist ha sido modificado. Haz varios intentos (utilizando diferentes partes de la red) para identificar la fuente del ataque. Para usar armas legales para combatir actos criminales, se deben retener las pruebas y se necesita tiempo para formarlas. Para hacer esto, debe soportar el impacto del ataque (aunque se pueden tomar algunas medidas de seguridad para garantizar que el ataque no dañe la red). En este caso, no solo debemos tomar algunas medidas legales, sino también pedirle a una compañía de seguridad autorizada que ayude a detener este crimen. La característica más importante de este tipo de operación es obtener evidencia del crimen, encontrar la dirección del perpetrador y proporcionar el registro que tiene. La evidencia recolectada debe ser guardada efectivamente. Al principio se hicieron dos copias, una para la evaluación de la evidencia y la otra para la verificación legal. Después de encontrar la vulnerabilidad del sistema, intente bloquear la vulnerabilidad y realice una prueba de autoataque. La ciberseguridad no es solo un problema técnico, sino un problema social. Las empresas deberían prestar más atención a la seguridad de la red. Si se basan únicamente en herramientas técnicas, se volverán cada vez más pasivas. Solo ejerciendo aspectos sociales y legales para combatir el delito cibernético pueden ser más eficaces. China tiene una clara interpretación judicial de la lucha contra el delito cibernético. Desafortunadamente, la mayoría de las empresas solo prestan atención al papel de la tecnología e ignoran los factores legales y sociales. Este es también el propósito de este artículo. Explicación del nombre: Ataque de denegación de servicio (DoS)
¡DoS es Denegación de servicio, la abreviatura de denegación de servicio, no se puede considerar como el sistema operativo DOS de Microsoft! El ataque DoS impide que la máquina de destino brinde acceso a servicios o recursos. Por lo general, apunta al consumo de recursos del lado del servidor. Al falsificar los datos de solicitud que exceden la capacidad de procesamiento del servidor, el servidor responde al bloqueo, de modo que no se puede responder a la solicitud normal del usuario. Proposito