Τρόπος ελέγχου της απόδοσης δικτύου, της ασφάλειας και της αντιμετώπισης προβλημάτων στο Linux - Μέρος 12

Μια ανάλυση ήχου ενός δικτύου υπολογιστών ξεκινά με την κατανόηση των διαθέσιμων εργαλείων για την εκτέλεση της εργασίας, του τρόπου επιλογής των σωστών για κάθε βήμα της διαδρομής και, τέλος, αλλά εξίσου σημαντικό, από πού να ξεκινήσετε.

Αυτό είναι το τελευταίο μέρος της σειράς LFCE (Linux Foundation Certified Engineer), εδώ θα εξετάσουμε μερικά γνωστά εργαλεία για την εξέταση της απόδοσης και την αύξηση της ασφάλειας ενός δικτύου , και τι να κάνετε όταν τα πράγματα δεν πάνε όπως αναμένεται.

Παρουσίαση του προγράμματος πιστοποίησης του Linux Foundation

Λάβετε υπόψη ότι αυτή η λίστα δεν προσποιείται ότι είναι ολοκληρωμένη, γι' αυτό μη διστάσετε να σχολιάσετε αυτήν την ανάρτηση χρησιμοποιώντας τη φόρμα στο κάτω μέρος, εάν θέλετε να προσθέσετε ένα άλλο χρήσιμο βοηθητικό πρόγραμμα που μπορεί να μας λείπει.

Ποιες Υπηρεσίες εκτελούνται και γιατί;

Ένα από τα πρώτα πράγματα που πρέπει να γνωρίζει ένας διαχειριστής συστήματος για κάθε σύστημα είναι ποιες υπηρεσίες εκτελούνται και γιατί. Έχοντας αυτές τις πληροφορίες στο χέρι, είναι μια σοφή απόφαση να απενεργοποιήσετε όλους αυτούς που δεν είναι απολύτως απαραίτητοι και να αποφύγετε τη φιλοξενία πάρα πολλών διακομιστών στην ίδια φυσική μηχανή.

Για παράδειγμα, πρέπει να απενεργοποιήσετε τον διακομιστή FTP εάν το δίκτυό σας δεν χρειάζεται (παρεμπιπτόντως, υπάρχουν πιο ασφαλείς μέθοδοι για κοινή χρήση αρχείων μέσω δικτύου). Επιπλέον, θα πρέπει να αποφύγετε να έχετε έναν διακομιστή web και έναν διακομιστή βάσης δεδομένων στο ίδιο σύστημα. Εάν ένα στοιχείο παραβιαστεί, τα υπόλοιπα διατρέχουν τον κίνδυνο να παραβιαστούν επίσης.

Διερεύνηση συνδέσεων πρίζας με ss

Το ss χρησιμοποιείται για την απόρριψη στατιστικών στοιχείων υποδοχής και εμφανίζει πληροφορίες παρόμοιες με το netstat, αν και μπορεί να εμφανίσει περισσότερες πληροφορίες TCP και κατάστασης από άλλα εργαλεία. Επιπλέον, αναφέρεται στο man netstat ως αντικατάσταση του netstat, το οποίο είναι ξεπερασμένο.

Ωστόσο, σε αυτό το άρθρο θα επικεντρωθούμε στις πληροφορίες που σχετίζονται μόνο με την ασφάλεια δικτύου.

Παράδειγμα 1: Εμφάνιση ΟΛΩΝ των θυρών TCP (υποδοχές) που είναι ανοιχτές στον διακομιστή μας

Όλες οι υπηρεσίες που εκτελούνται στις προεπιλεγμένες θύρες τους (δηλαδή http στο 80, mysql στο 3306) υποδεικνύονται με τα αντίστοιχα ονόματά τους. Άλλα (αποκρύπτονται εδώ για λόγους απορρήτου) εμφανίζονται με την αριθμητική τους μορφή.

ss -t -a

Η πρώτη στήλη εμφανίζει την κατάσταση TCP, ενώ η δεύτερη και η τρίτη στήλη εμφανίζουν τον όγκο των δεδομένων που βρίσκεται αυτή τη στιγμή στην ουρά για λήψη και μετάδοση. Η τέταρτη και η πέμπτη στήλη δείχνουν τις υποδοχές προέλευσης και προορισμού κάθε σύνδεσης.
Σε μια δευτερεύουσα σημείωση, μπορεί να θέλετε να ελέγξετε το RFC 793 για να ανανεώσετε τη μνήμη σας σχετικά με πιθανές καταστάσεις TCP, επειδή πρέπει επίσης να ελέγξετε τον αριθμό και την κατάσταση των ανοιχτών συνδέσεων TCP για να αντιληφθείτε επιθέσεις (D)DoS.

Παράδειγμα 2: Εμφάνιση ΟΛΩΝ των ενεργών συνδέσεων TCP με τους χρονοδιακόπτες τους

ss -t -o

Στην παραπάνω έξοδο, μπορείτε να δείτε ότι υπάρχουν 2 εδραιωμένες συνδέσεις SSH. Εάν παρατηρήσετε την τιμή του δεύτερου πεδίου του χρονόμετρο:, θα παρατηρήσετε μια τιμή 36 λεπτών στην πρώτη σύνδεση. Αυτός είναι ο χρόνος μέχρι να σταλεί η επόμενη ανίχνευση διατήρησης.

Δεδομένου ότι πρόκειται για μια σύνδεση που διατηρείται ζωντανή, μπορείτε να υποθέσετε με ασφάλεια ότι είναι μια ανενεργή σύνδεση και έτσι μπορείτε να σκοτώσετε τη διαδικασία αφού ανακαλύψετε το PID της.

Όσο για τη δεύτερη σύνδεση, μπορείτε να δείτε ότι χρησιμοποιείται αυτήν τη στιγμή (όπως υποδεικνύεται από το on).

Παράδειγμα 3: Φιλτράρισμα συνδέσεων ανά πρίζα

Ας υποθέσουμε ότι θέλετε να φιλτράρετε τις συνδέσεις TCP ανά υποδοχή. Από την πλευρά του διακομιστή, πρέπει να ελέγξετε για συνδέσεις όπου η θύρα πηγής είναι 80.

ss -tn sport = :80

Εχοντας ως αποτέλεσμα..

Προστασία από σάρωση θυρών με NMAP

Η σάρωση θυρών είναι μια κοινή τεχνική που χρησιμοποιείται από τα crackers για τον εντοπισμό ενεργών κεντρικών υπολογιστών και το άνοιγμα θυρών σε ένα δίκτυο. Μόλις ανακαλυφθεί μια ευπάθεια, αξιοποιείται για να αποκτήσει πρόσβαση στο σύστημα.

Ένας σοφός sysadmin πρέπει να ελέγχει πώς τα συστήματά του βλέπουν οι ξένοι και να βεβαιωθεί ότι τίποτα δεν αφήνεται στην τύχη ελέγχοντάς τα συχνά. Αυτό ονομάζεται "αμυντική σάρωση θύρας".

Παράδειγμα 4: Εμφάνιση πληροφοριών σχετικά με ανοιχτές θύρες

Μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή για να σαρώσετε ποιες θύρες είναι ανοιχτές στο σύστημά σας ή σε έναν απομακρυσμένο κεντρικό υπολογιστή:

nmap -A -sS [IP address or hostname]

Η παραπάνω εντολή θα σαρώσει τον κεντρικό υπολογιστή για ανίχνευση OS και έκδοσης, πληροφορίες θύρας και traceroute (-A). Τέλος, το -sS στέλνει μια σάρωση TCP SYN, αποτρέποντας το nmap για την ολοκλήρωση της χειραψίας TCP 3 κατευθύνσεων και έτσι συνήθως δεν αφήνει κανένα αρχείο καταγραφής στο μηχάνημα προορισμού.

Πριν προχωρήσετε στο επόμενο παράδειγμα, έχετε υπόψη σας ότι η σάρωση θυρών δεν είναι παράνομη δραστηριότητα. Αυτό που ΕΙΝΑΙ παράνομο είναι η χρήση των αποτελεσμάτων για κακόβουλο σκοπό.

Για παράδειγμα, η έξοδος της παραπάνω εντολής που εκτελείται στον κύριο διακομιστή ενός τοπικού πανεπιστημίου επιστρέφει τα ακόλουθα (μόνο μέρος του αποτελέσματος εμφανίζεται για λόγους συντομίας):

Όπως μπορείτε να δείτε, ανακαλύψαμε αρκετές ανωμαλίες που θα πρέπει να κάνουμε καλά να αναφέρουμε στους διαχειριστές συστήματος σε αυτό το τοπικό πανεπιστήμιο.

Αυτή η συγκεκριμένη λειτουργία σάρωσης θύρας παρέχει όλες τις πληροφορίες που μπορούν επίσης να ληφθούν με άλλες εντολές, όπως:

Παράδειγμα 5: Εμφάνιση πληροφοριών σχετικά με μια συγκεκριμένη θύρα σε ένα τοπικό ή απομακρυσμένο σύστημα

nmap -p [port] [hostname or address]

Παράδειγμα 6: Εμφάνιση traceroute σε και εύρεση έκδοσης υπηρεσιών και τύπου λειτουργικού συστήματος, όνομα κεντρικού υπολογιστή

nmap -A [hostname or address]

Παράδειγμα 7: Σάρωση πολλών θυρών ή κεντρικών υπολογιστών ταυτόχρονα

Μπορείτε επίσης να σαρώσετε πολλές θύρες (εύρος) ή υποδίκτυα, ως εξής:

nmap -p 21,22,80 192.168.0.0/24 

Σημείωση: ότι η παραπάνω εντολή σαρώνει τις θύρες 21, 22 και 80 σε όλους τους κεντρικούς υπολογιστές σε αυτό το τμήμα δικτύου.

Μπορείτε να ελέγξετε τη σελίδα man για περισσότερες λεπτομέρειες σχετικά με τον τρόπο εκτέλεσης άλλων τύπων σάρωσης θύρας. Το Nmap είναι πράγματι ένα πολύ ισχυρό και ευέλικτο βοηθητικό πρόγραμμα χαρτογράφησης δικτύου και θα πρέπει να το γνωρίζετε πολύ καλά για να προστατεύσετε τα συστήματα για τα οποία είστε υπεύθυνοι από επιθέσεις που προέρχονται από κακόβουλη σάρωση θύρας από ξένους.