Ricerca nel sito web

LFCA: Come migliorare la sicurezza della rete Linux – Parte 19

In un mondo sempre connesso, la sicurezza della rete sta diventando sempre più una delle aree in cui le organizzazioni investono molto tempo e risorse. Questo perché la rete di un’azienda è la spina dorsale di qualsiasi infrastruttura IT e collega tutti i server e i dispositivi di rete. Se la rete viene violata, l’organizzazione sarà praticamente alla mercé degli hacker. I dati cruciali possono essere esfiltrati e i servizi e le applicazioni incentrati sul business possono essere disattivati.

La sicurezza della rete è un argomento piuttosto vasto e solitamente adotta un duplice approccio. Gli amministratori di rete solitamente installano dispositivi di sicurezza di rete come firewall, IDS (sistemi di rilevamento delle intrusioni) e IPS (sistemi di prevenzione delle intrusioni) come prima linea di difesa. Sebbene ciò possa fornire un discreto livello di sicurezza, è necessario adottare alcune misure aggiuntive a livello del sistema operativo per prevenire eventuali violazioni.

A questo punto dovresti già avere familiarità con i concetti di rete come l'indirizzamento IP e il servizio e i protocolli TCP/IP. Dovresti anche essere aggiornato sui concetti di sicurezza di base come l'impostazione di password complesse e l'impostazione di un firewall.

Prima di coprire i vari passaggi per garantire la sicurezza del tuo sistema, diamo prima una panoramica di alcune delle minacce di rete più comuni.

Cos'è un attacco di rete?

Una rete aziendale ampia e piuttosto complessa può fare affidamento su più endpoint connessi per supportare le operazioni aziendali. Sebbene ciò possa fornire la connettività necessaria per semplificare i flussi di lavoro, rappresenta una sfida per la sicurezza. Una maggiore flessibilità si traduce in un panorama di minacce più ampio che l’aggressore può sfruttare per lanciare un attacco di rete.

Quindi, cos’è un attacco di rete?

Un attacco di rete è un accesso non autorizzato alla rete di un’organizzazione con l’unico scopo di accedere e rubare dati ed eseguire altre attività nefaste come deturpare siti Web e corrompere applicazioni.

Esistono due grandi categorie di attacchi di rete.

  • Attacco passivo: in un attacco passivo, l'hacker ottiene l'accesso non autorizzato esclusivamente per spiare e rubare dati senza modificarli o corromperli.
  • Attacco attivo: in questo caso, l'aggressore non solo si infiltra nella rete per rubare dati, ma modifica, elimina, corrompe o crittografa i dati, distrugge le applicazioni e interrompe i servizi in esecuzione. Certo, questo è il più devastante dei due attacchi.

Tipi di attacchi di rete

Esaminiamo alcuni degli attacchi di rete più comuni che possono compromettere il tuo sistema Linux:

1. Vulnerabilità del software

L'esecuzione di versioni software vecchie e obsolete può facilmente mettere a rischio il tuo sistema, e ciò è in gran parte dovuto alle vulnerabilità intrinseche e alle backdoor che si annidano al suo interno. Nel precedente argomento sulla sicurezza dei dati abbiamo visto come una vulnerabilità nel portale dei reclami dei clienti di Equifax sia stata sfruttata dagli hacker e abbia portato a una delle più famigerate violazioni dei dati.

È per questo motivo che è sempre consigliabile applicare costantemente patch software aggiornando le proprie applicazioni software alle versioni più recenti.

2. L'uomo nel mezzo attacca

Un attacco man in the middle, comunemente abbreviato come MITM, è un attacco in cui un utente malintenzionato intercetta la comunicazione tra l'utente e l'applicazione o l'endpoint. Posizionandosi tra un utente legittimo e l'applicazione, l'aggressore è in grado di eliminare la crittografia e intercettare la comunicazione inviata da e verso. Ciò gli consente di recuperare informazioni riservate come credenziali di accesso e altre informazioni di identificazione personale.

I probabili obiettivi di un simile attacco includono siti di e-commerce, aziende SaaS e applicazioni finanziarie. Per lanciare tali attacchi, gli hacker sfruttano strumenti di sniffing dei pacchetti che catturano i pacchetti dai dispositivi wireless. L'hacker procede quindi a inserire codice dannoso nei pacchetti scambiati.

3. Malware

Il malware è una combinazione di software dannoso e comprende un'ampia gamma di applicazioni dannose come virus, trojan, spyware e ransomware, per citarne alcuni. Una volta all'interno di una rete, il malware si propaga su vari dispositivi e server.

A seconda del tipo di malware, le conseguenze possono essere devastanti. Virus e spyware hanno la capacità di spiare, rubare ed esfiltrare dati altamente riservati, corrompere o eliminare file, rallentare la rete e persino dirottare le applicazioni. Il ransomware crittografa i file rendendoli inaccessibili a meno che la vittima non riceva una somma considerevole come riscatto.

4. Attacchi Distributed Denial of Service (DDoS).

Un attacco DDoS è un attacco in cui l'utente malintenzionato rende inaccessibile un sistema di destinazione e così facendo impedisce agli utenti di accedere a servizi e applicazioni cruciali. L'aggressore riesce a farlo utilizzando botnet per inondare il sistema bersaglio con enormi volumi di pacchetti SYN che alla fine lo rendono inaccessibile per un periodo di tempo. Gli attacchi DDoS possono mettere in ginocchio sia database che siti web.

5. Minacce interne/Dipendenti disonesti

I dipendenti scontenti con accesso privilegiato possono facilmente compromettere i sistemi. Tali attacchi sono generalmente difficili da rilevare e da cui proteggersi poiché i dipendenti non hanno bisogno di infiltrarsi nella rete. Inoltre, alcuni dipendenti possono involontariamente infettare la rete con malware quando collegano dispositivi USB contenenti malware.

Mitigare gli attacchi di rete

Diamo un’occhiata ad alcune misure che puoi adottare per erigere una barriera che fornisca un notevole grado di sicurezza per mitigare gli attacchi di rete.

1. Mantieni aggiornate le applicazioni software

A livello del sistema operativo, l'aggiornamento dei pacchetti software risolverà eventuali vulnerabilità esistenti che potrebbero mettere il tuo sistema a rischio di exploit lanciati dagli hacker.

Implementare un firewall basato su host

Oltre ai firewall di rete che solitamente forniscono la prima linea di difesa contro le intrusioni, puoi anche implementare un firewall basato su host come firewalld e UFW firewall. Si tratta di applicazioni firewall semplici ma efficaci che forniscono un ulteriore livello di sicurezza filtrando il traffico di rete in base a una serie di regole.

3. Disattiva i servizi che non ti servono

Se hai servizi in esecuzione che non vengono utilizzati attivamente, disabilitali. Ciò aiuta a ridurre al minimo la superficie di attacco e lascia all’aggressore opzioni minime da sfruttare e trovare scappatoie.

Allo stesso modo, si utilizza uno strumento di scansione di rete come Nmap per scansionare e sondare eventuali porte aperte. Se ci sono porte aperte non necessarie, valuta la possibilità di bloccarle sul firewall.

4. Configurare i wrapper TCP

I wrapper TCP sono ACL basati su host (Elenchi di controllo di accesso) che limitano l'accesso ai servizi di rete in base a una serie di regole come gli indirizzi IP. I wrapper TCP fanno riferimento ai seguenti file host per determinare dove a un client verrà concesso o negato l'accesso a un servizio di rete.

  • /etc/hosts.allow
  • /etc/hosts.deny

Alcuni punti da notare:

  1. Le regole si leggono dall'alto verso il basso. La prima regola di corrispondenza per un determinato servizio è stata applicata per prima. Tieni presente che l'ordine è estremamente cruciale.
  2. Le regole nel file /etc/hosts.allow vengono applicate per prime e hanno la precedenza sulla regola definita nel file /etc/hosts.deny. Ciò implica che se l'accesso a un servizio di rete è consentito nel file /etc/hosts.allow, negare l'accesso allo stesso servizio nel file /etc/hosts.deny verranno trascurati o ignorati.
  3. Se le regole del servizio non esistono in nessuno dei file host, l'accesso al servizio viene concesso per impostazione predefinita.
  4. Le modifiche apportate ai due file host vengono implementate immediatamente senza riavviare i servizi.

5. Proteggi i protocolli remoti e utilizza la VPN

Nei nostri argomenti precedenti, abbiamo esaminato come proteggere il protocollo SSH per scoraggiare gli utenti malintenzionati dall'accedere al tuo sistema. Altrettanto importante è l'uso di una VPN per avviare l'accesso remoto al server Linux, soprattutto su una rete pubblica. Una VPN crittografa tutti i dati scambiati tra il server e gli host remoti e questo elimina la possibilità che la comunicazione venga intercettata.

6. Monitoraggio della rete 24 ore su 24

Monitorare la tua infrastruttura con strumenti come WireShark ti aiuterà a monitorare e ispezionare il traffico per individuare pacchetti di dati dannosi. Puoi anche implementare fail2ban per proteggere il tuo server dagli attacchi di forza bruta.

7. Installa il software antimalware

Linux sta diventando sempre più un bersaglio per gli hacker a causa della sua crescente popolarità e utilizzo. Pertanto, è prudente installare strumenti di sicurezza per scansionare il sistema alla ricerca di rootkit, virus, trojan e qualsiasi tipo di malware.

Esistono soluzioni open source popolari come ClamAV che sono efficienti nel rilevare e allontanare il malware. Puoi anche considerare l'installazione di chkrootkit per verificare eventuali segni di rootkit sul tuo sistema.

8. Segmentazione della rete

Prendi in considerazione la segmentazione della tua rete in VLAN (Virtual Local Area Network). Ciò avviene creando sottoreti sulla stessa rete che fungono da reti autonome. La segmentazione della rete contribuisce notevolmente a limitare l'impatto di una violazione a una zona e rende molto più difficile per gli hacker accedere ad altre sottoreti.

9. Crittografia dei dispositivi wireless

Se disponi di router o punti di accesso wireless nella tua rete, assicurati che utilizzino le tecnologie di crittografia più recenti per ridurre al minimo i rischi di attacchi man-in-the-middle.

Riepilogo

La sicurezza della rete è un argomento vasto che comprende l'adozione di misure sulla sezione hardware di rete e anche l'implementazione di policy basate su host sul sistema operativo per aggiungere un livello protettivo contro le intrusioni. Le misure delineate contribuiranno notevolmente a migliorare la sicurezza del tuo sistema contro i vettori di attacco di rete.