Defensa jerárquica contra ataques de servidores Linux

Con la expansión de las aplicaciones empresariales de Linux, hay un gran número de servidores de red que utilizan el sistema operativo Linux. El rendimiento de seguridad de los servidores de Linux está recibiendo cada vez más atención. Aquí, la profundidad de los ataques en los servidores de Linux se enumera en niveles y se proponen diferentes soluciones.

La definición de ataque a un servidor Linux es que un ataque es un acto no autorizado diseñado para obstruir, dañar, debilitar o comprometer la seguridad de un servidor Linux. El alcance del ataque puede ser denegado desde el servicio hasta que el servidor Linux esté completamente comprometido y destruido. Hay muchos tipos de ataques en los servidores de Linux. Este artículo explica, desde la perspectiva de la profundidad del ataque, que dividimos los ataques en cuatro niveles.

Contenido

Nivel de ataque 1
Nivel de ataque 2
Nivel de ataque 3
Nivel de ataque 4
Consejo especial: Medidas de contraataque contra ataques

Enlace
Ataque de denegación de servicio (DoS)

Nivel de ataque 1: Denegación de ataque de servicio (DoS)

Debido a la proliferación de herramientas de ataque DoS y las fallas de la capa de protocolo dirigida No se puede cambiar el hecho de que DoS se ha convertido en el método de prevención de ataques más extendido y más difícil.

Los ataques de denegación de servicio incluyen ataques de denegación de servicio distribuidos, ataques de denegación de servicio distribuidos reflexivos, ataques de denegación de servicio de distribución de DNS y ataques de FTP. La mayoría de los ataques de denegación de servicio conllevan riesgos relativamente bajos, incluso aquellos que pueden hacer que el sistema se reinicie son solo problemas temporales. Este tipo de ataque es muy diferente de aquellos que desean obtener control de la red. Generalmente, no afecta la seguridad de los datos, pero el ataque de denegación del servicio durará mucho tiempo y es muy difícil.

Hasta ahora, no hay una manera absoluta de detener tales ataques. Pero esto no significa que debamos estar a la mano. Además de enfatizar la importancia de la protección y protección personal del host, el fortalecimiento de la administración del servidor es una parte muy importante. Asegúrese de instalar el software de verificación y la función de filtrado para verificar la dirección real de la dirección de origen del mensaje. Además, para varias denegaciones de servicio, se pueden tomar las siguientes medidas: desactivar servicios innecesarios, limitar el número de semiconexiones simultáneas que se abren simultáneamente, acortar el tiempo de espera de la semi-unión de Sin y actualizar los parches del sistema a tiempo.

Nivel de ataque 2: los usuarios locales obtienen acceso de lectura y escritura a sus archivos no autorizados.

Los usuarios locales se refieren a las contraseñas en cualquier máquina de la red local y, por lo tanto, en una unidad Hay un usuario en el directorio. La cuestión de si los usuarios locales tienen acceso a los permisos de lectura y escritura de sus archivos no autorizados se debe en gran medida a la importancia de los archivos a los que se accede. El acceso arbitrario de cualquier usuario local al directorio de archivos temporales (/tmp) es peligroso, y potencialmente puede establecer un camino hacia el siguiente nivel de ataque.

El método de ataque principal del Nivel 2 es: los piratas informáticos engañan a los usuarios legítimos para que les comuniquen información confidencial o realicen tareas. A veces, los piratas informáticos fingen que los administradores de red envían correos electrónicos a los usuarios y les piden contraseñas para las actualizaciones del sistema.

Los ataques iniciados por usuarios locales casi siempre comienzan con el inicio de sesión remoto. Para los servidores Linux, el mejor enfoque es colocar todas las cuentas shell en una sola máquina, es decir, registrarse en solo uno o más servidores a los que se les asigna acceso a la shell. Esto facilita la administración de la administración de registros, la administración del control de acceso, los protocolos de lanzamiento y otros posibles problemas de seguridad. El sistema que almacena el CGI del usuario también debe ser distinguido. Estas máquinas deben estar aisladas en un segmento de red específico, es decir, deben estar rodeadas de enrutadores o conmutadores de red, según la configuración de la red. Su topología debe garantizar que la suplantación de direcciones de hardware no pueda exceder esta sección.

Nivel de ataque 3: los usuarios remotos obtienen permisos de lectura y escritura para archivos privilegiados

Un tercer nivel de ataque puede hacer más que solo verificar la existencia de un archivo en particular, y leer y escribir estos archivos. La razón de esto es que hay algunas debilidades en la configuración del servidor Linux: los usuarios remotos pueden ejecutar un número limitado de comandos en el servidor sin una cuenta válida.

El método de ataque con contraseña es el método de ataque principal en el tercer nivel. La contraseña de daño es el método de ataque más común. El craqueo de contraseñas es un término usado para describir la infiltración de una red, sistema o recurso para desbloquear un recurso protegido por contraseña con o sin herramientas. Los usuarios a menudo ignoran sus contraseñas y las políticas de contraseña son difíciles de implementar. Los hackers tienen múltiples herramientas para vencer las contraseñas protegidas por la tecnología y la sociedad. Principalmente incluyen: ataque de diccionario, ataque híbrido, ataque de fuerza bruta. Una vez que un hacker tiene una contraseña de usuario, tiene los privilegios de muchos usuarios. Adivinar la contraseña se refiere a ingresar manualmente una contraseña normal u obtener una contraseña compilando el original del programa. Algunos usuarios eligen contraseñas simples, como cumpleaños, aniversarios y nombres de cónyuges, pero no siguen las reglas que deben combinarse con letras y números. No toma mucho tiempo para que un hacker adivine un montón de datos de cumpleaños de 8 palabras.

La mejor defensa contra ataques de tercer nivel es controlar estrictamente los privilegios de acceso, usando una contraseña válida.

◆ Incluye principalmente las reglas de que las contraseñas deben mezclarse con letras, números y mayúsculas (porque Linux distingue entre mayúsculas y minúsculas).

◆ El uso de caracteres especiales como "#" o "%" o "$" agrega complejidad. Por ejemplo, use la palabra " countbak " y agregue "# $" (countbak # $) después, para que tenga una contraseña bastante válida.

Nivel de ataque 4: los usuarios remotos obtienen permisos de raíz

El cuarto nivel de ataque se refiere a cosas que nunca deberían suceder. Este es un ataque fatal. Indica que el atacante tiene permisos de administrador, superusuario o administrador en el servidor Linux para leer, escribir y ejecutar todos los archivos. En otras palabras, el atacante tiene control total sobre el servidor Linux y puede apagar completamente o incluso destruir la red en cualquier momento.

Nivel de ataque 4 Las principales formas de ataque son el robo continuo de TCP /IP, la escucha pasiva de canales y la intercepción de paquetes. El robo continuo de TCP /IP, la escucha pasiva de canales y la intercepción de paquetes son métodos para recopilar información importante en la red. A diferencia de los ataques de denegación de servicio, estos métodos tienen una naturaleza más robusta y son más difíciles de descubrir. Un ataque TCP /IP exitoso le permite a un pirata informático bloquear transacciones entre dos grupos, lo que brinda una buena oportunidad para un ataque de hombre en el medio, y luego el pirata informático controlará una o las transacciones de ambas partes sin que la víctima lo note. A través de escuchas pasivas, los piratas informáticos manipularán y registrarán información, entregarán los archivos y encontrarán las amenazas mortales que pueden pasar desde todos los canales disponibles en el sistema de destino. El hacker buscará una combinación de en línea y contraseña para reconocer el canal legítimo de la aplicación. La interceptación de paquetes se refiere a la dirección en el sistema de destino que obliga a un programa de escucha activo a interceptar y cambiar toda o información especial. La información puede ser redirigida a un sistema ilegal para leer y luego devolverse al pirata informático sin cambios.

El robo continuo de TCP /IP es en realidad un rastreo de la red. Tenga en cuenta que si está seguro de que alguien ha llevado el rastreador a su red, puede encontrar algunas herramientas para verificarlo. Esta herramienta se llama Reflectómetro de dominio de tiempo (TDR). TDR mide la propagación y los cambios de las ondas electromagnéticas. Conecte un TDR a la red para detectar dispositivos no autorizados que adquieren datos de la red. Sin embargo, muchas empresas pequeñas y medianas no tienen herramientas tan caras. La mejor manera de protegerse contra los ataques sniffer es:

1. Topología segura. El rastreador solo puede capturar datos en el segmento de red actual. Esto significa que cuanto más precisa sea la segmentación de la red, menos información podrá recopilar el sniffer.

2. Cifrado de sesión. En lugar de preocuparse por la inhalación de los datos, debe encontrar formas de que el rastreador no sea consciente de los datos detectados. La ventaja de este enfoque es obvia: incluso si el atacante rastrea los datos, los datos son inútiles para él.

Consejos especiales: medidas de contraataque para ataques

Debe prestar especial atención a los ataques que superen el segundo nivel. Porque pueden aumentar constantemente el nivel de ataque para penetrar en el servidor Linux. En este punto, los contraataques que podemos tomar son:

◆ Primero haga una copia de seguridad de los datos clave importantes de la empresa.

◆ Cambie todas las contraseñas en el sistema y notifique al usuario que encuentre una nueva contraseña para el administrador del sistema.

◆ Aísle el segmento de red para que el comportamiento de ataque solo aparezca en un área pequeña.

◆ Permitir que el comportamiento continúe. Si es posible, no se apresure a sacar al atacante del sistema y prepárese para el siguiente paso.

◆ Registrar todas las acciones y recolectar evidencia. La evidencia incluye: archivo de inicio de sesión del sistema, archivo de inicio de sesión de la aplicación, AAA (autenticación, autorización, contabilidad, autenticación, autorización, contabilidad) archivo de inicio de sesión, RADIUS (servicio de usuario de acceso telefónico de autenticación remota), inicio de sesión del elemento de red (registros de elementos de red) , inicio de sesión de firewall, eventos HIDS (ID de base de host), eventos NIDS (sistema de detección de intrusos de red), unidades de disco, archivos ocultos, etc. Preste atención al recopilar evidencia: tome fotos antes de mover o desarmar cualquier equipo, siga la regla de dos personas en la investigación y tenga al menos dos personas en la recopilación de información para evitar la manipulación de la información; todos los pasos tomados y Cualquier cambio en los ajustes de configuración debe mantenerse en un lugar seguro. Verifique los permisos de acceso para todos los directorios en el sistema y verifique si Permslist ha sido modificado.

◆ Haga varios intentos (utilizando diferentes partes de la red) para identificar la fuente del ataque.

◆ Para usar armas legales para combatir actos delictivos, se deben retener las pruebas, y se necesita tiempo para formarlas. Para hacer esto, debe soportar el impacto del ataque (aunque se pueden tomar algunas medidas de seguridad para garantizar que el ataque no dañe la red). En este caso, no solo debemos tomar algunas medidas legales, sino también pedirle a una compañía de seguridad autorizada que ayude a detener este crimen. La característica más importante de este tipo de operación es obtener evidencia del delito, encontrar la dirección del perpetrador y proporcionar el registro que tiene. La evidencia recolectada debe ser guardada efectivamente. Haga dos copias al principio, una para evaluar la evidencia y la otra para la verificación legal.

◆ Después de encontrar una vulnerabilidad del sistema, intente bloquear la vulnerabilidad y realizar una prueba de autoataque.

La ciberseguridad no es solo un problema técnico, sino un problema social. Las empresas deberían prestar más atención a la seguridad de la red. Si se basan únicamente en herramientas técnicas, se volverán cada vez más pasivas. Solo ejerciendo aspectos sociales y legales para combatir el delito cibernético pueden ser más eficaces. China tiene una clara interpretación judicial de la lucha contra el delito cibernético. Desafortunadamente, la mayoría de las empresas solo prestan atención al papel de la tecnología e ignoran los factores legales y sociales. Este es también el propósito de este artículo.

---------------------------------------------- -------------------------------------

Links

Ataque de denegación de servicio (DoS)

¡DoS es la denegación de servicio, la abreviatura de denegación de servicio, no puede considerarse el sistema operativo DOS de Microsoft! El ataque DoS impide que la máquina de destino brinde acceso a servicios o recursos. Por lo general, apunta al consumo de recursos del lado del servidor. Al falsificar los datos de solicitud que exceden la capacidad de procesamiento del servidor, el servidor responde al bloqueo, de modo que no se puede responder a la solicitud normal del usuario. Proposito