Ricerca nel sito web

Come verificare le prestazioni della rete, la sicurezza e la risoluzione dei problemi in Linux - Parte 12

Una valida analisi di una rete di computer inizia con la comprensione di quali sono gli strumenti disponibili per eseguire l'attività, come scegliere quelli giusti per ogni fase del percorso e, ultimo ma non meno importante, da dove cominciare.

Questa è l'ultima parte della serie LFCE (Linux Foundation Certified Engineer), qui esamineremo alcuni strumenti ben noti per esaminare le prestazioni e aumentare la sicurezza di una rete e cosa fare quando le cose non vanno come previsto.

Presentazione del programma di certificazione Linux Foundation

Tieni presente che questo elenco non pretende di essere completo, quindi sentiti libero di commentare questo post utilizzando il modulo in basso se desideri aggiungere un'altra utile utilità che potrebbe mancarci.

Quali servizi sono attivi e perché?

Una delle prime cose che un amministratore di sistema deve sapere su ciascun sistema è quali servizi sono in esecuzione e perché. Con queste informazioni in mano, è una saggia decisione disabilitare tutti quelli che non sono strettamente necessari ed evitare di ospitare troppi server nella stessa macchina fisica.

Ad esempio, devi disabilitare il tuo server FTP se la tua rete non ne richiede uno (ci sono comunque metodi più sicuri per condividere file su una rete). Inoltre, dovresti evitare di avere un server web e un server database nello stesso sistema. Se un componente viene compromesso, anche il resto corre il rischio di essere compromesso.

Indagare sulle connessioni socket con ss

ss viene utilizzato per eseguire il dump delle statistiche del socket e mostra informazioni simili a netstat, sebbene possa visualizzare più informazioni su TCP e stato rispetto ad altri strumenti. Inoltre, è elencato in man netstat come sostituto di netstat, che è obsoleto.

Tuttavia, in questo articolo ci concentreremo solo sulle informazioni relative alla sicurezza della rete.

Esempio 1: visualizzazione di TUTTE le porte TCP (socket) aperte sul nostro server

Tutti i servizi in esecuzione sulle porte predefinite (ad esempio http su 80, mysql su 3306) sono indicati con i rispettivi nomi. Altri (qui oscurati per motivi di privacy) sono mostrati nella loro forma numerica.

ss -t -a

La prima colonna mostra lo stato TCP, mentre la seconda e la terza colonna mostrano la quantità di dati attualmente in coda per la ricezione e la trasmissione. La quarta e la quinta colonna mostrano i socket di origine e di destinazione di ciascuna connessione.
Come nota a margine, potresti voler controllare RFC 793 per rinfrescare la memoria sui possibili stati TCP perché devi anche controllare il numero e lo stato delle connessioni TCP aperte per essere consapevole degli attacchi (D)DoS.

Esempio 2: visualizzazione di TUTTE le connessioni TCP attive con i relativi timer
ss -t -o

Nell'output sopra, puoi vedere che ci sono 2 connessioni SSH stabilite. Se noti il valore del secondo campo di timer:, noterai un valore di 36 minuti nella prima connessione. Questo è il periodo di tempo fino all'invio della successiva sonda keepalive.

Poiché si tratta di una connessione che viene mantenuta attiva, puoi tranquillamente presumere che sia una connessione inattiva e quindi puoi interrompere il processo dopo aver scoperto il suo PID.

Per quanto riguarda la seconda connessione, puoi vedere che è attualmente in uso (come indicato da on).

Esempio 3: filtraggio delle connessioni per socket

Supponiamo di voler filtrare le connessioni TCP per socket. Dal punto di vista del server, è necessario verificare le connessioni in cui la porta di origine è 80.

ss -tn sport = :80

Con il risultato di..

Protezione dalla scansione delle porte con NMAP

La scansione delle porte è una tecnica comune utilizzata dai cracker per identificare gli host attivi e aprire le porte su una rete. Una volta scoperta una vulnerabilità, questa viene sfruttata per ottenere l'accesso al sistema.

Un amministratore di sistema saggio deve verificare come i suoi sistemi vengono visti dagli estranei e assicurarsi che nulla sia lasciato al caso controllandoli frequentemente. Questo si chiama “scansione difensiva delle porte”.

Esempio 4: visualizzazione delle informazioni sulle porte aperte

Puoi utilizzare il seguente comando per scansionare quali porte sono aperte sul tuo sistema o in un host remoto:

nmap -A -sS [IP address or hostname]

Il comando precedente eseguirà la scansione dell'host per il rilevamento del sistema operativo e della versione, informazioni sulla porta e traceroute (-A). Infine, -sS invia una scansione TCP SYN, impedendo a nmap di completare l'handshake TCP a 3 vie e quindi in genere non lascia log sulla macchina di destinazione.

Prima di procedere con il prossimo esempio, tieni presente che la scansione delle porte non è un'attività illegale. Ciò che è illegale è utilizzare i risultati per scopi dannosi.

Ad esempio, l'output del comando precedente eseguito sul server principale di un'università locale restituisce quanto segue (solo una parte del risultato viene mostrata per brevità):

Come puoi vedere, abbiamo scoperto diverse anomalie che faremo bene a segnalare agli amministratori di sistema di questa locale università.

Questa specifica operazione di port scan fornisce tutte le informazioni che possono essere ottenute anche da altri comandi, come ad esempio:

Esempio 5: visualizzazione delle informazioni su una porta specifica in un sistema locale o remoto
nmap -p [port] [hostname or address]
Esempio 6: mostrare traceroute a e scoprire la versione dei servizi, il tipo di sistema operativo e il nome host
nmap -A [hostname or address]
Esempio 7: scansione di più porte o host contemporaneamente

È inoltre possibile eseguire la scansione di più porte (intervallo) o sottoreti, come segue:

nmap -p 21,22,80 192.168.0.0/24

Nota: il comando precedente esegue la scansione delle porte 21, 22 e 80 su tutti gli host in quel segmento di rete.

Puoi controllare la pagina man per ulteriori dettagli su come eseguire altri tipi di scansione delle porte. Nmap è davvero un'utilità di mappatura di rete molto potente e versatile e dovresti conoscerla molto bene per difendere i sistemi di cui sei responsabile dagli attacchi originati dopo una scansione delle porte dannosa da parte di estranei.