Pesquisa de site

LFCA: Como melhorar a segurança da rede Linux – Parte 19

Num mundo cada vez mais conectado, a segurança das redes está a tornar-se cada vez mais uma das áreas onde as organizações investem muito tempo e recursos. Isso ocorre porque a rede de uma empresa é a espinha dorsal de qualquer infraestrutura de TI e conecta todos os servidores e dispositivos de rede. Se a rede for violada, a organização ficará praticamente à mercê dos hackers. Dados cruciais podem ser exfiltrados e serviços e aplicativos centrados nos negócios podem ser desativados.

A segurança da rede é um tópico bastante vasto e geralmente adota uma abordagem dupla. Os administradores de rede geralmente instalam dispositivos de segurança de rede, como Firewalls, IDS (Sistemas de Detecção de Intrusão) e IPS (Sistemas de Prevenção de Intrusão) como primeira linha de defesa. Embora isso possa fornecer uma camada decente de segurança, algumas etapas extras precisam ser tomadas no nível do sistema operacional para evitar violações.

Neste ponto, você já deve estar familiarizado com conceitos de rede, como endereçamento IP e serviços e protocolos TCP/IP. Você também deve estar atualizado com conceitos básicos de segurança, como configuração de senhas fortes e configuração de firewall.

Antes de abordarmos as várias etapas para garantir a segurança do seu sistema, vamos primeiro ter uma visão geral de algumas das ameaças comuns à rede.

O que é um ataque de rede?

Uma rede empresarial grande e bastante complexa pode contar com vários terminais conectados para dar suporte às operações comerciais. Embora isso possa fornecer a conectividade necessária para agilizar os fluxos de trabalho, representa um desafio de segurança. Mais flexibilidade se traduz em um cenário de ameaças mais amplo que o invasor pode aproveitar para lançar um ataque à rede.

Então, o que é um ataque à rede?

Um ataque de rede é o acesso não autorizado à rede de uma organização com o único propósito de acessar e roubar dados e realizar outras atividades nefastas, como desfigurar sites e corromper aplicativos.

Existem duas grandes categorias de ataques à rede.

  • Ataque Passivo: Em um ataque passivo, o hacker obtém acesso não autorizado para apenas espionar e roubar dados sem modificá-los ou corrompê-los.
  • Ataque Ativo: Aqui, o invasor não apenas se infiltra na rede para roubar dados, mas também modifica, exclui, corrompe ou criptografa os dados e destrói aplicativos, além de desativar serviços em execução. É certo que este é o mais devastador dos dois ataques.

Tipos de ataques de rede

Vejamos alguns dos ataques de rede comuns que podem comprometer seu sistema Linux:

1. Vulnerabilidades de software

A execução de versões de software antigas e desatualizadas pode facilmente colocar seu sistema em risco, e isso se deve em grande parte às vulnerabilidades inerentes e aos backdoors que se escondem neles. No tópico anterior sobre segurança de dados, vimos como uma vulnerabilidade no portal de reclamações de clientes da Equifax foi explorada por hackers e levou a uma das violações de dados mais infames.

É por esta razão que é sempre aconselhável aplicar patches de software constantemente, atualizando seus aplicativos de software para as versões mais recentes.

2. Ataques do homem intermediário

Um ataque man in the middle, comumente abreviado como MITM, é um ataque em que um invasor intercepta a comunicação entre o usuário e o aplicativo ou endpoint. Ao se posicionar entre um usuário legítimo e o aplicativo, o invasor consegue eliminar a criptografia e espionar a comunicação enviada de e para ele. Isso permite que ele recupere informações confidenciais, como credenciais de login e outras informações de identificação pessoal.

Os alvos prováveis de tal ataque incluem sites de comércio eletrônico, empresas SaaS e aplicações financeiras. Para lançar tais ataques, os hackers utilizam ferramentas de detecção de pacotes que capturam pacotes de dispositivos sem fio. O hacker então injeta código malicioso nos pacotes que estão sendo trocados.

3. Malware

Malware é uma maleta de software malicioso e compreende uma ampla gama de aplicativos maliciosos, como vírus, cavalos de Tróia, spyware e ransomware, para mencionar alguns. Uma vez dentro de uma rede, o malware se propaga por vários dispositivos e servidores.

Dependendo do tipo de malware, as consequências podem ser devastadoras. Vírus e spyware têm a capacidade de espionar, roubar e exfiltrar dados altamente confidenciais, corromper ou excluir arquivos, tornar a rede mais lenta e até mesmo sequestrar aplicativos. O ransomware criptografa os arquivos, tornando-os inacessíveis, a menos que a vítima entregue uma quantia substancial como resgate.

4. Ataques distribuídos de negação de serviço (DDoS)

Um ataque DDoS é um ataque em que o usuário mal-intencionado torna um sistema alvo inacessível e, ao fazer isso, impede que os usuários acessem serviços e aplicativos cruciais. O invasor faz isso usando botnets para inundar o sistema alvo com enormes volumes de pacotes SYN que acabam por torná-lo inacessível por um período de tempo. Os ataques DDoS podem derrubar bancos de dados e também sites.

5. Ameaças internas/funcionários desonestos

Funcionários insatisfeitos com acesso privilegiado podem facilmente comprometer os sistemas. Tais ataques são geralmente difíceis de detectar e proteger, uma vez que os funcionários não precisam se infiltrar na rede. Além disso, alguns funcionários podem infectar involuntariamente a rede com malware ao conectar dispositivos USB com malware.

Mitigando ataques à rede

Vejamos algumas medidas que você pode tomar para colocar uma barreira que proporcione um grau considerável de segurança para mitigar ataques à rede.

1. Mantenha os aplicativos de software atualizados

No nível do sistema operacional, a atualização dos seus pacotes de software corrigirá quaisquer vulnerabilidades existentes que possam colocar o seu sistema em risco de explorações lançadas por hackers.

Implementar um firewall baseado em host

Além dos firewalls de rede, que geralmente fornecem a primeira linha de defesa contra invasões, você também pode implementar um firewall baseado em host, como o firewalld e o firewall UFW. São aplicativos de firewall simples, mas eficazes, que fornecem uma camada extra de segurança, filtrando o tráfego de rede com base em um conjunto de regras.

3. Desative serviços desnecessários

Se você tiver serviços em execução que não são usados ativamente, desative-os. Isso ajuda a minimizar a superfície de ataque e deixa o invasor com opções mínimas para aproveitar e encontrar brechas.

Na mesma linha, você usa uma ferramenta de varredura de rede como o Nmap para verificar e investigar quaisquer portas abertas. Se houver portas desnecessárias abertas, considere bloqueá-las no firewall.

4. Configurar wrappers TCP

Wrappers TCP são ACLs (listas de controle de acesso) baseadas em host que restringem o acesso a serviços de rede com base em um conjunto de regras, como endereços IP. Os wrappers TCP fazem referência aos seguintes arquivos de host para determinar onde um cliente receberá ou negará acesso a um serviço de rede.

  • /etc/hosts.allow
  • /etc/hosts.deny

Alguns pontos a serem observados:

  1. As regras são lidas de cima para baixo. A primeira regra de correspondência para um determinado serviço foi aplicada primeiro. Observe que a ordem é extremamente crucial.
  2. As regras no arquivo /etc/hosts.allow são aplicadas primeiro e têm precedência sobre a regra definida no arquivo /etc/hosts.deny. Isto implica que se o acesso a um serviço de rede for permitido no arquivo /etc/hosts.allow, negar acesso ao mesmo serviço no arquivo /etc/hosts.deny será negligenciado ou ignorado.
  3. Se as regras de serviço não existirem em nenhum dos arquivos host, o acesso ao serviço será concedido por padrão.
  4. As alterações feitas nos dois arquivos host são implementadas imediatamente, sem reiniciar os serviços.

5. Protocolos remotos seguros e uso de VPN

Em nossos tópicos anteriores, vimos como você pode proteger o protocolo SSH para impedir que usuários mal-intencionados acessem seu sistema. Igualmente importante é o uso de uma VPN para iniciar o acesso remoto ao servidor Linux, especialmente através de uma rede pública. Uma VPN criptografa todos os dados trocados entre o servidor e hosts remotos e isso elimina as chances de a comunicação ser interceptada.

6. Monitoramento de rede 24 horas por dia

Monitorar sua infraestrutura com ferramentas como WireShark irá ajudá-lo a monitorar e inspecionar o tráfego em busca de pacotes de dados maliciosos. Você também pode implementar o fail2ban para proteger seu servidor contra ataques de força bruta.

7. Instale software antimalware

O Linux está se tornando cada vez mais um alvo para hackers devido à sua crescente popularidade e uso. Como tal, é prudente instalar ferramentas de segurança para verificar o sistema em busca de rootkits, vírus, cavalos de Tróia e qualquer tipo de malware.

Existem soluções populares de código aberto, como o ClamAV, que são eficientes na detecção e na prevenção de malware. Você também pode considerar a instalação do chkrootkit para verificar se há sinais de rootkits em seu sistema.

8. Segmentação de rede

Considere segmentar sua rede em VLANs (Virtual Local Area Networks). Isto é feito criando sub-redes na mesma rede que atuam como redes independentes. Segmentar sua rede ajuda muito a limitar o impacto de uma violação a uma zona e torna muito mais difícil para os hackers acessarem outras sub-redes.

9. Criptografando dispositivos sem fio

Se você tiver roteadores sem fio ou pontos de acesso em sua rede, certifique-se de que eles estejam usando as tecnologias de criptografia mais recentes para minimizar os riscos de ataques man-in-the-middle.

Resumo

A segurança da rede é um tópico enorme que abrange a tomada de medidas na seção de hardware da rede e também a implementação de políticas baseadas em host no sistema operacional para adicionar uma camada protetora contra invasões. As medidas descritas contribuirão muito para melhorar a segurança do seu sistema contra vetores de ataque à rede.