LFCA: Cómo mejorar la seguridad de la red Linux-Parte 19

LFCA: Cómo mejorar la seguridad de la red Linux-Parte 19

En un mundo siempre conectado, la seguridad de la red se está convirtiendo cada vez más en una de las áreas en las que las organizaciones invierten una gran cantidad de tiempo y recursos. Esto se debe a que la red de una empresa es la columna vertebral de cualquier infraestructura de TI y conecta todos los servidores y dispositivos de red. Si se viola la red, la organización estará prácticamente a merced de los piratas informáticos. Los datos cruciales se pueden filtrar y los servicios y aplicaciones centrados en el negocio se pueden eliminar.

La seguridad de la red es un tema bastante amplio y, por lo general, tiene un enfoque doble. Los administradores de red normalmente instalarán dispositivos de seguridad de red como firewalls, IDS (sistemas de detección de intrusiones) e IPS (sistemas de prevención de intrusiones) como primera línea de defensa. Si bien esto puede proporcionar una capa de seguridad decente, se deben tomar algunos pasos adicionales a nivel del sistema operativo para evitar cualquier infracción.

En este punto, ya debe estar familiarizado con conceptos de redes como el direccionamiento IP y Servicio y protocolos TCP/IP. También debe estar al día con los conceptos básicos de seguridad, como configurar contraseñas seguras y configurar un firewall.

Antes de cubrir varios pasos para garantizar la seguridad de su sistema, primero veamos algunos de las amenazas de red comunes.

¿Qué es un ataque de red?

Una red empresarial grande y bastante compleja puede depender de múltiples puntos finales conectados para respaldar las operaciones comerciales. Si bien esto puede proporcionar la conectividad necesaria para optimizar los flujos de trabajo, plantea un desafío de seguridad. Más flexibilidad se traduce en un panorama de amenazas más amplio que el atacante puede aprovechar para lanzar un ataque de red.

freestar.config.enabled_slots.push

Entonces, ¿qué es un ataque a la red?

Un ataque a la red es el acceso no autorizado a la red de una organización con el único propósito de acceder y robar datos y realizar otras actividades nefastas como desfigurar sitios web y corromper aplicaciones.

Hay dos categorías amplias de ataques a la red.

  • Ataque pasivo. en un ataque pasivo, el hacker obtiene acceso no autorizado para espiar y robar datos únicamente sin modificarlo o corromperlo.
  • Ataque activo. aquí, el atacante no solo se infiltra en la red para robar datos, sino que también modifica, elimina, corrompe o cifra los datos y aplasta las aplicaciones, y baja los servicios en ejecución. Es cierto que este es el más devastador de los dos ataques.

Tipos de ataques de red

Repasemos algunos de los ataques de red comunes que pueden comprometer su sistema Linux:

1. Vulnerabilidades de software

La ejecución de versiones de software antiguas y obsoletas puede fácilmente poner en riesgo su sistema, y ​​esto se debe en gran parte a las vulnerabilidades inherentes y las puertas traseras que acechan allí. En el tema anterior sobre seguridad de datos, vimos cómo una vulnerabilidad en el portal de quejas de clientes de Equifax fue explotada por piratas informáticos y condujo a una de las violaciones de datos más infames.

Es por esta razón que siempre es Es recomendable aplicar constantemente parches de software actualizando las aplicaciones de software a las últimas versiones.

2. Ataques de intermediario

Un ataque de intermediario, comúnmente abreviado como MITM, es un ataque en el que un atacante intercepta la comunicación entre el usuario y la aplicación o el punto final. Al posicionarse entre un usuario legítimo y la aplicación, el atacante puede eliminar el cifrado y espiar la comunicación enviada desde y hacia. Esto le permite recuperar información confidencial, como credenciales de inicio de sesión y otra información de identificación personal.

Los objetivos probables de un ataque de este tipo incluyen sitios de comercio electrónico, empresas SaaS y aplicaciones financieras. Para lanzar tales ataques, los piratas informáticos aprovechan las herramientas de rastreo de paquetes que capturan paquetes de dispositivos inalámbricos. Luego, el hacker procede a inyectar código malicioso en los paquetes que se intercambian.

3. Malware

El malware es un acrónimo de software malicioso y comprende una amplia gama de aplicaciones maliciosas como virus, troyanos, spyware y ransomware para mencionar algunos. Una vez dentro de una red, el malware se propaga a través de varios dispositivos y servidores.

Dependiendo del tipo de malware, las consecuencias pueden ser devastadoras. Los virus y el software espía tienen la capacidad de espiar, robar y exfiltrar datos altamente confidenciales, corromper o eliminar archivos, ralentizar la red e incluso secuestrar aplicaciones. El ransomware cifra los archivos que luego son inaccesibles a menos que la víctima pague una cantidad sustancial como rescate.

4. Ataques distribuidos de denegación de servicio (DDoS)

Un ataque DDoS es un ataque en el que el usuario malintencionado hace que un sistema objetivo sea inaccesible y, al hacerlo, evita que los usuarios accedan a servicios y aplicaciones cruciales. El atacante logra esto utilizando botnets para inundar el sistema de destino con enormes volúmenes de paquetes SYN que, en última instancia, lo vuelven inaccesible durante un período de tiempo. Los ataques DDoS pueden derribar bases de datos y sitios web.

5. Amenazas internas/Empleados deshonestos

Los empleados descontentos con acceso privilegiado pueden fácilmente comprometer los sistemas. Estos ataques suelen ser difíciles de detectar y protegerse, ya que los empleados no necesitan infiltrarse en la red. Además, algunos empleados pueden infectar involuntariamente la red con malware cuando conectan dispositivos USB con malware.

Mitigación de ataques a la red

Veamos algunas medidas que puede tomar para poner una barrera que proporcionará un grado considerable de seguridad para mitigar los ataques a la red.

1. Mantenga las aplicaciones de software actualizadas

A nivel del sistema operativo, la actualización de sus paquetes de software parcheará cualquier vulnerabilidad existente que pueda poner su sistema en riesgo de exploits lanzados por piratas informáticos.

Implemente un cortafuegos basado en host

Aparte de los cortafuegos de red que generalmente proporcionan la primera línea de defensa contra intrusiones, también puede implementar un cortafuegos basado en host como el cortafuegos Firewalld y UFW. Estas son aplicaciones de firewall simples pero efectivas que brindan una capa adicional de seguridad al filtrar el tráfico de red según un conjunto de reglas.

3. Deshabilite los servicios que no necesita

Si tiene servicios en ejecución que no están activos utilizado, desactívelos. Esto ayuda a minimizar la superficie de ataque y deja al atacante con opciones mínimas para aprovechar y encontrar lagunas.

En la misma línea, usa una herramienta de escaneo de red como Nmap para escanear y sondear puertos abiertos. Si hay puertos innecesarios abiertos, considere bloquearlos en el firewall.

4. Configure los envoltorios TCP

Los envoltorios TCP son ACL (listas de control de acceso) basadas en host que restringen el acceso a los servicios de red en función de un conjunto de reglas como direcciones IP. Los envoltorios TCP hacen referencia a los siguientes archivos de host para determinar dónde se le concederá o negará el acceso a un servicio de red a un cliente.

  • /etc/hosts.allow
  • /etc/hosts .deny

Algunos puntos a tener en cuenta:

  1. Las reglas se leen de arriba a abajo. La primera regla de coincidencia para un servicio determinado se aplicó primero. Tenga en cuenta que el orden es extremadamente importante.
  2. Las reglas del archivo /etc/hosts.allow. se aplican primero y tienen prioridad sobre la regla definida en /etc/hosts.deny. archivo. Esto implica que si se permite el acceso a un servicio de red en el archivo /etc/hosts.allow. se niega el acceso al mismo servicio en el archivo /etc/hosts.deny. se pasará por alto o se ignorará.
  3. Si las reglas del servicio no existen en ninguno de los archivos del host, el acceso al servicio se otorga de forma predeterminada.
  4. Los cambios realizados en los dos archivos del host son implementado inmediatamente sin reiniciar los servicios.

5. Protocolos remotos seguros y uso de VPN

En nuestros temas anteriores, hemos visto cómo puede proteger el protocolo SSH para disuadir a los usuarios malintencionados de acceder a su sistema . Igualmente importante es el uso de una VPN para iniciar el acceso remoto al servidor Linux, especialmente a través de una red pública. Una VPN encripta todos los datos intercambiados entre el servidor y los hosts remotos y esto elimina las posibilidades de que la comunicación sea escuchada.

6. Monitoreo de la red las 24 horas del día

Monitorear su infraestructura con herramientas como WireShark ayudará que supervise e inspeccione el tráfico en busca de paquetes de datos maliciosos. También puede implementar fail2ban para proteger su servidor de ataques de fuerza bruta.

[También le puede interesar: 16 herramientas útiles de monitoreo de ancho de banda para analizar el uso de la red en Linux].

7 .Instalar software antimalware

Linux se está convirtiendo cada vez más en un objetivo para los piratas informáticos debido a su creciente popularidad y uso. Como tal, es prudente instalar herramientas de seguridad para escanear el sistema en busca de rootkits, virus, troyanos y cualquier tipo de malware.

Existen soluciones populares de código abierto como ClamAV que son eficientes para detectar un malware que protege . También puede considerar instalar chkrootkit para verificar si hay signos de rootkits en su sistema.

8. Segmentación de red

Considere la posibilidad de segmentar su red en VLAN (redes de área local virtual). Esto se hace creando subredes en la misma red que actúan como redes independientes. Segmentar su red contribuye en gran medida a limitar el impacto de una infracción a una zona y hace que sea mucho más difícil para los piratas informáticos acceder a través de otras subredes.

9. Encriptación de dispositivos inalámbricos

Si tiene enrutadores inalámbricos o puntos de acceso en su red, asegúrese de que estén usando las últimas tecnologías de encriptación para minimizar los riesgos de ataques de intermediario.

Resumen

La seguridad de la red es un tema enorme que abarca la adopción de medidas en la sección de hardware de la red y también la implementación de políticas basadas en host en el sistema operativo para agregar una capa protectora contra intrusiones. Las medidas descritas contribuirán en gran medida a mejorar la seguridad de su sistema contra los vectores de ataque a la red.