LFCA Comment améliorer la sécurité du réseau Linux - Partie 19

Dans un monde toujours connecté, la sécurité du réseau devient de plus en plus l'un des domaines où les organisations investissent beaucoup de temps et de ressources. En effet. Si le réseau est violé, l'organisation sera à peu près à la merci des pirates. Les données cruciales peuvent être exfiltrées et les services et applications axés sur l'entreprise peuvent être ramenés.

La sécurité du réseau est un sujet assez vaste et adopte généralement une approche à deux volets. Les administrateurs de réseau installent généralement des dispositifs de sécurité du réseau tels que les pare-feu, les ID (systèmes de détection d'intrusion) et les IPS (systèmes de prévention des intrusions) comme première ligne de défense. Bien que cela puisse offrir une couche de sécurité décente, certaines mesures supplémentaires doivent être prises au niveau du système d'exploitation pour éviter toute violation.

À ce stade, vous devriez déjà être familier avec les concepts de réseautage tels que l'adresse IP et le service TCP / IP et les protocoles. Vous devriez également être au courant des concepts de sécurité de base tels que la configuration des mots de passe solides et la configuration d'un pare-feu.

Avant de couvrir diverses étapes pour assurer la sécurité de votre système, ayons d'abord un aperçu de certaines des menaces de réseau communes.

Qu'est-ce qu'une attaque de réseau?

Un réseau d'entreprise large et assez complexe peut s'appuyer sur plusieurs points de terminaison connectés pour soutenir les opérations commerciales. Bien que cela puisse fournir la connectivité requise pour rationaliser les flux de travail, il pose un défi de sécurité. Plus de flexibilité se traduit par un paysage de menace plus large que l'attaquant peut exploiter pour lancer une attaque de réseau.

Alors, qu'est-ce qu'une attaque de réseau?

Une attaque de réseau est un accès non autorisé au réseau d'une organisation dans le seul but d'accéder et de voler des données et d'exécuter d'autres activités néfastes telles que la désamortir des sites Web et les applications corrompues.

Il existe deux grandes catégories d'attaques de réseau.

• Attaque passive: Dans une attaque passive, le pirate gagne un accès non autorisé pour espionner uniquement et voler des données sans les modifier ou les corrompre.
• Attaque active: Ici, l'attaquant infiltre non seulement le réseau pour voler des données, mais modifie également, supprime, corrompt ou crypte les applications de données et écrase, et fait tomber les services en cours d'exécution. Certes, c'est la plus dévastatrice des deux attaques.

Types d'attaques de réseau

Passons en revue certaines des attaques de réseau courantes qui peuvent compromettre votre système Linux:

1. Vulnérabilités logicielles

L'exécution des versions logicielles anciennes et obsolètes peut facilement mettre votre système en danger, et cela est dû en grande partie à des vulnérabilités et des dérives inhérentes qui s'y cachent. Dans le sujet précédent sur la sécurité des données, nous avons vu comment une vulnérabilité sur le portail des plaintes du client d'Equifax a été exploitée par des pirates et a conduit à l'une des violations de données les plus infâmes.

C'est pour cette raison qu'il est toujours conseillé d'appliquer constamment des correctifs logiciels en mettant à niveau vos applications logicielles aux dernières versions.

2. L'homme dans les attaques du milieu

Un homme dans l'attaque moyenne, généralement abrégé sous forme de MITM, est une attaque où un attaquant intercepte la communication entre l'utilisateur et l'application ou le point final. En se positionnant entre un utilisateur légitime et l'application, l'attaquant est capable de dépouiller le cryptage et l'écoute sur la communication envoyée à et depuis. Cela lui permet de récupérer des informations confidentielles telles que les informations d'identification de connexion et d'autres informations personnellement identifiables.

Les cibles probables d'une telle attaque comprennent des sites de commerce électronique, des entreprises SaaS et des applications financières. Pour lancer de telles attaques, les pirates exploitent des outils de reniflement des paquets qui capturent les paquets à partir d'appareils sans fil. Le pirate procède ensuite à injecter du code malveillant dans les paquets en cours d'échange.

3. Malware

Le malware est un Portmanteau de logiciels malveillants et comprend une large gamme d'applications malveillantes telles que les virus, les chevaux de Troie, les logiciels espions et les ransomwares pour en mentionner quelques-uns. Une fois à l'intérieur d'un réseau, les logiciels malveillants se propagent sur divers appareils et serveurs.

Selon le type de malware, les conséquences peuvent être dévastatrices. Les virus et les logiciels espions ont la capacité d'espionnage, de voler et d'exfiltrant des données hautement confidentielles, de corruption ou de supprimer des fichiers, de ralentir le réseau et même de détourner les applications. Ransomware crypt les fichiers de rendu alors inaccessible.

4. Attaques de déni de service distribué (DDOS)

Une attaque DDOS est une attaque où l'utilisateur malveillant rend un système cible inaccessible et, ce faisant, empêche les utilisateurs d'accéder aux services et applications cruciaux. L'attaquant accomplit ceci à l'aide de botnets pour inonder le système cible avec d'énormes volumes de paquets SYM qui le rendent finalement inaccessible pendant une période de temps. Les attaques DDOS peuvent faire baisser les bases de données ainsi que les sites Web.

5. Menaces internes / employés voyous

Les employés mécontents avec un accès privilégié peuvent facilement compromettre les systèmes. De telles attaques sont généralement difficiles à détecter et à protéger contre les employés car les employés n'ont pas besoin d'infiltrer le réseau. De plus, certains employés peuvent infecter involontairement le réseau par des logiciels malveillants lorsqu'ils branchent des appareils USB avec des logiciels malveillants.

Atténuer les attaques de réseau

Voyons quelques mesures que vous pouvez prendre pour mettre une barrière qui offrira un degré de sécurité considérable pour atténuer les attaques de réseau.

1. Gardez les applications logicielles à jour

Au niveau du système d'exploitation, la mise à jour de vos packages logiciels corrigera toutes les vulnérabilités existantes qui pourraient mettre votre système à risque d'exploits lancés par des pirates.

Implémenter un pare-feu basé sur l'hôte

Mis à part les pare-feu réseau qui fournissent généralement la première ligne de défense contre les intrusions, vous pouvez également implémenter un pare-feu basé sur l'hôte tel que le pare-feu et le pare-feu UFW. Ce sont des applications de pare-feu simples mais efficaces qui fournissent une couche supplémentaire de sécurité en filtrant le trafic réseau basé sur un ensemble de règles.

3. Désactiver les services dont vous n'avez pas besoin

Si vous avez des services d'exécution qui ne sont pas activement utilisés, désactivez-les. Cela aide à minimiser la surface d'attaque et laisse l'attaquant avec un minimum d'options pour tirer parti et trouver des lacunes.

Dans la même ligne, vous utilisez un outil de numérisation réseau tel que NMAP pour scanner et sonder pour tous les ports ouverts. S'il y a des ports inutiles qui sont ouverts, envisagez de les bloquer sur le pare-feu.

4. Configurer les emballages TCP

Les emballages TCP sont des ACL basés sur l'hôte (listes de contrôle d'accès) qui restreignent l'accès aux services réseau basés sur un ensemble de règles telles que les adresses IP. Les emballages TCP font référence aux fichiers hôte suivants pour déterminer où un client sera accordé ou refusé l'accès à un service réseau.

• / etc / hôtes.permettre
• / etc / hôtes.refuser

Quelques points à noter:

1. Les règles sont lues de haut en bas. La première règle de correspondance pour un service donné appliqué en premier. Prenez note que la commande est extrêmement cruciale.
2. Les règles dans le / etc / hôtes.permettre les fichiers sont appliqués en premier et prennent la priorité sur la règle définie dans le / etc / hôtes.refuser déposer. Cela implique que si l'accès à un service réseau est autorisé dans le / etc / hôtes.permettre fichier, refusant l'accès au même service dans le / etc / hôtes.refuser Le fichier sera négligé ou ignoré.
3. Si les règles de service n'existent dans aucun des fichiers hôte, l'accès au service est accordé par défaut.
4. Les modifications apportées aux deux fichiers hôtes sont implémentées immédiatement sans redémarrer les services.

5. Protocoles distants sécurisés et utilisez un VPN

Dans nos sujets précédents, nous avons examiné comment vous pouvez sécuriser le protocole SSH pour dissuader les utilisateurs malveillants d'accéder à votre système. L'utilisation d'un VPN est tout aussi important pour inciter l'accès à distance au serveur Linux, en particulier sur un réseau public. Un VPN crypte toutes les données échangées entre le serveur et les hôtes distants, ce qui élimine les chances que la communication écoute.

6. Surveillance du réseau 24h / 24

La surveillance de votre infrastructure avec des outils tels que Wireshark vous aidera à surveiller et à inspecter le trafic pour les paquets de données malveillants. Vous pouvez également implémenter Fail2Ban pour sécuriser votre serveur à partir d'attaques BruteForce.

[Vous pourriez également aimer: 16 outils de surveillance de bande passante utiles pour analyser l'utilisation du réseau dans Linux]

7. Installer un logiciel anti-logiciel

Linux devient de plus en plus une cible pour les pirates en raison de sa popularité et de sa utilisation croissantes. En tant que tel, il est prudent d'installer des outils de sécurité pour scanner le système pour rootkits, virus, chevaux de Troie et toute manière de malware.

Il existe des solutions d'OpenSource populaires telles que Clamav qui sont efficaces pour détecter une étendue de malware. Vous pouvez également envisager d'installer Chkrootkit pour vérifier tous les signes de rootkits sur votre système.

8. Segmentation du réseau

Envisagez de segmenter votre réseau en VLAN (réseaux de zone locale virtuelle). Cela se fait en créant des sous-réseaux sur le même réseau qui agissent comme des réseaux autonomes. Segmenter votre réseau contribue grandement à limiter l'impact d'une violation à une zone et rend beaucoup plus difficile pour les pirates d'accéder à la traversée d'autres sous-réseaux.

9. Cryptage des appareils sans fil

Si vous avez des routeurs sans fil ou des points d'accès dans votre réseau, assurez-vous qu'ils utilisent les dernières technologies de chiffrement pour minimiser les risques des attaques de l'homme au milieu.

Résumé

La sécurité du réseau est un sujet énorme qui englobe la prise de mesures sur la section du matériel réseau et implémentant également les politiques basées sur l'hôte sur le système d'exploitation pour ajouter une couche protectrice contre les intrusions. Les mesures décrites contribueront grandement à améliorer la sécurité de votre système contre les vecteurs d'attaque de réseau.