Opinión Red-seguridad para linux
Trabajando en Linux, debe estar familiarizado con algunos mecanismos de seguridad. LA opinión red de seguridad
se centra en la evaluación de los mecanismos de seguridad en cada una de las siguientes áreas:Prevención: Configurar un servidor de seguridad, activar el filtrado de paquetes, deshabilitar inetd innecesarios o servicios xinetd, desactive los servicios de Internet que no sean necesarios, utilizar TCP wrappers para el control de acceso, y el uso de SSH para conexiones remotas seguras.
Detección: Utilice la detección de intrusiones de red y los registros del sistema de captura.
Respuesta: Desarrollar procedimientos de respuesta a incidentes.
Algunos pasos clave en la evaluación de la seguridad de la red se describen aquí.
Servicios iniciados por inetd o xinetd
Dependiendo de su distribución, inetd o xinetd servidor puede ser configurado para iniciar algunos servicios de Internet tales como Telnet y FTP. La decisión de convertir en algunos de estos servicios depende de factores tales como la forma en que el sistema se conecta a Internet y cómo se está utilizando el sistema.
Generalmente, usted puede desactivar más inetd y xinetd servicios comentando la línea - sólo ponen un signo de número (#) al principio de la línea.
Si está utilizando xinetd, es posible ver qué servicios están apagado comprobando los archivos de configuración en el /etc/xinetd.d directorio para todos los archivos de configuración que tienen un desactivar = yes la línea. (La línea no cuenta si está comentada, que se indica por el carácter # al principio de la línea.)
Puede agregar un desactivar = yes línea al archivo de configuración de cualquier servicio que desea desactivar.
También puedes ver los siguientes archivos para los controles de acceso se utilizan con el inetd o xinetd servicios:
/etc/hosts.allow listas de anfitriones permitidos para acceder a servicios específicos.
/etc/hosts.deny Listas de los ejércitos les niega el acceso a los servicios.
Servicios independientes
Muchos de los servicios, tales como apache o httpd (servidor web) y enviar correo (servidor de correo), se inician automáticamente en el arranque, suponiendo que están configurados para iniciar ese camino.
En algunas distribuciones, puede utilizar la chkconfig comando para comprobar cuál de estos servidores independientes se fijó para comenzar a distintos niveles de ejecución. Por lo general, la mayoría de los sistemas de puesta en marcha a nivel de ejecución 3 (para el texto de inicio de sesión) o 5 (para login gráfico).
Por lo tanto, lo que importa es el escenario de los servidores en los niveles 3 y 5. Para ver la lista de servidores, el tipo chkconfig --list | Más. Al hacer una autoevaluación de la seguridad de su red y encontrar que algunos servidores no deben estar en ejecución, puede desactivarlas para los niveles de ejecución 3 y 5 escribiendo chkconfig --level 35 Nombre del Servicio apagado, dónde Nombre del Servicio es el nombre del servicio que desea desactivar.
En algunas distribuciones, puede utilizar una herramienta de interfaz gráfica de usuario para ver qué servicios están habilitado y funcionando en cualquier nivel de ejecución. Con YaST, por ejemplo, haga clic en Sistema en la parte izquierda de la ventana y haga clic en Nivel de ejecución del editor en la parte derecha de la ventana.
Al auditar la seguridad de red, tome nota de todos los servidores que están activados - y luego tratar de determinar si debe realmente ser sucesivamente, de acuerdo a lo que sabe sobre el sistema.
La decisión de activar un servicio en particular depende de cómo se utiliza su sistema (por ejemplo, como un servidor web o como un sistema de escritorio) y cómo está conectado a Internet (por ejemplo, a través de un servidor de seguridad o directamente).
Ensayo de penetración
Una prueba de penetración es la mejor manera de saber qué servicios están realmente ejecutando en un sistema Linux. Pruebas de penetración implica tratar de obtener acceso a su sistema desde la perspectiva de un atacante. Por lo general, se realiza esta prueba de un sistema en Internet y tratar de romper en o, como mínimo, tener acceso a servicios que se ejecutan en el sistema Linux.
Un aspecto de las pruebas de penetración es ver qué puertos están abiertos en su sistema Linux. los número de puerto es simplemente un número que identifica las conexiones de red TCP / IP al sistema. El intento de conexión a un puerto tiene éxito sólo si el servidor está en ejecución, o " escucha, " en ese puerto. Un puerto se considera abierta si un servidor responde cuando llega una petición de conexión para ese puerto.
El primer paso en las pruebas de penetración es realizar un escaneo de puertos. El termino escaneo de puertos describe el proceso automatizado de intentar conectarse a cada número de puerto para ver si una respuesta válida regresa. Muchas de las herramientas automatizadas disponibles pueden realizar escaneo de puertos - se puede instalar y utilizar una herramienta de escaneo de puertos popular llamado nmap.
Después de realizar un escaneo de puertos, ya sabes qué puertos están abiertos y podría ser explotado. No todos los servidores tienen problemas de seguridad, pero muchos servidores tienen vulnerabilidades conocidas. Un puerto abierto ofrece una galleta una manera de atacar a su sistema a través de uno de los servidores.
De hecho, puede utilizar herramientas automatizadas llamadas escáneres de vulnerabilidad para identificar las vulnerabilidades que existen en el sistema.
Ya sea que su sistema Linux se conecta a Internet directamente (a través de DSL o módem de cable) oa través de un servidor de seguridad, utilice el puerto de exploración y herramientas de escaneo de vulnerabilidad para averiguar si usted tiene cualquier agujero en sus defensas.