A hálózat teljesítményének, biztonságának és hibaelhárításának ellenőrzése Linux rendszerben – 12. rész

A számítógépes hálózat alapos elemzése azzal kezdődik, hogy megértjük, milyen eszközök állnak rendelkezésre a feladat végrehajtásához, hogyan válasszuk ki a megfelelőt az út egyes lépéseihez, és nem utolsósorban, hol kezdjem.

Ez az LFCE (Linux Foundation Certified Engineer) sorozat utolsó része, itt áttekintünk néhány jól ismert eszközt a hálózat teljesítményének vizsgálatára és biztonságának növelésére. , és mit kell tenni, ha a dolgok nem a várt módon alakulnak.

Bemutatkozik a Linux Foundation Certification Program

Kérjük, vegye figyelembe, hogy ez a lista nem állítja be a teljesség igényét, ezért nyugodtan írjon megjegyzést ehhez a bejegyzéshez az alján található űrlap segítségével, ha további hasznos segédprogramot szeretne hozzáadni, amely hiányozhat.

Milyen szolgáltatások futnak és miért?

Az egyik első dolog, amit a rendszergazdának tudnia kell minden rendszerről, hogy milyen szolgáltatások futnak és miért. Ezen információk birtokában bölcs döntés letiltani mindazokat, amelyek nem feltétlenül szükségesek, és elkerülni, hogy túl sok szervert tároljanak ugyanazon a fizikai gépen.

Például le kell tiltania az FTP-szervert, ha hálózatának nincs szüksége rá (egyébként biztonságosabb módszerek is vannak a fájlok hálózaton keresztüli megosztására). Ezenkívül kerülni kell a webszerver és az adatbázisszerver ugyanabban a rendszerben való használatát. Ha az egyik összetevő sérül, a többi is fennáll annak a veszélye, hogy kompromittálódik.

Socket-kapcsolatok vizsgálata az ss-vel

Az ss a socket statisztikák kiíratására szolgál, és a netstathoz hasonló információkat jelenít meg, bár több TCP- és állapotinformációt tud megjeleníteni, mint más eszközök. Ezenkívül a man netstat listában a netstat helyettesítőjeként szerepel, amely már elavult.

Ebben a cikkben azonban csak a hálózatbiztonsággal kapcsolatos információkra összpontosítunk.

1. példa: A szerverünkön nyitva lévő ÖSSZES TCP-port (socket) megjelenítése

Az alapértelmezett portokon futó összes szolgáltatást (azaz http 80-on, mysql 3306-on) a megfelelő nevük jelzi. A többiek (adatvédelmi okokból itt kitakarva) numerikus formában jelennek meg.

ss -t -a

Az első oszlop a TCP állapotot mutatja, míg a második és a harmadik oszlop a vételre és átvitelre jelenleg sorba állított adatmennyiséget. A negyedik és az ötödik oszlop az egyes kapcsolatok forrás- és célfoglalatait mutatja.
Egy másik megjegyzés, érdemes ellenőrizni az RFC 793-at, hogy frissítse a memóriáját a lehetséges TCP-állapotokról, mert ellenőriznie kell a nyitott TCP-kapcsolatok számát és állapotát is, hogy tudomást szerezzen a (D)DoS-támadásokról.

2. példa: ÖSSZES aktív TCP-kapcsolat megjelenítése időzítőikkel együtt

ss -t -o

A fenti kimeneten láthatja, hogy 2 SSH-kapcsolat létezik. Ha észreveszi az timer: második mezőjének értékét, akkor az első kapcsolatnál 36 perces értéket fog látni. Ennyi idő telik el a következő, életben maradó szonda elküldéséig.

Mivel egy kapcsolatról van szó, amelyet életben tartanak, nyugodtan feltételezheti, hogy ez egy inaktív kapcsolat, és így leállíthatja a folyamatot, miután megtalálta a PID-jét.

Ami a második csatlakozást illeti, láthatja, hogy jelenleg használatban van (amint azt a on jelzi).

3. példa: Csatlakozások szűrése aljzat szerint

Tegyük fel, hogy a TCP kapcsolatokat socket szerint szeretné szűrni. A szerver szempontjából olyan kapcsolatokat kell ellenőriznie, ahol a forrásport 80.

ss -tn sport = :80

Ennek eredményeként..

Portszkennelés elleni védelem NMAP segítségével

A portellenőrzés egy gyakori technika, amelyet a crackerek használnak az aktív gazdagépek és a hálózat nyitott portjainak azonosítására. A sérülékenység felfedezése után azt kihasználják a rendszerhez való hozzáférés érdekében.

Egy bölcs rendszeradminisztrátornak ellenőriznie kell, hogyan látják a rendszereit a kívülállók, és gyakori auditálással gondoskodnia kell arról, hogy semmi se legyen a véletlenre bízva. Ezt nevezik „védelmi portellenőrzésnek”.

4. példa: Információk megjelenítése a nyitott portokról

A következő paranccsal ellenőrizheti, hogy mely portok vannak nyitva a rendszeren vagy egy távoli gazdagépen:

nmap -A -sS [IP address or hostname]

A fenti parancs átvizsgálja a gazdagépet az OS és a verzió észlelése, a portinformációk és a traceroute (-A) szempontjából. Végül az -sS egy TCP SYN vizsgálatot küld, ami megakadályozza, hogy az nmap befejezze a háromirányú TCP kézfogást, és így általában nem hagy naplót a célgépen.

Mielőtt folytatná a következő példát, ne feledje, hogy a portellenőrzés nem illegális tevékenység. Ami illegális, hogy az eredményeket rosszindulatú célokra használják fel.

Például egy helyi egyetem fő szerverén futtatott fenti parancs kimenete a következőt adja vissza (a tömörség kedvéért az eredménynek csak egy része jelenik meg):

Amint látja, számos anomáliát fedeztünk fel, amelyeket érdemes jelentenünk a helyi egyetem rendszergazdáinak.

Ez a speciális portkeresési művelet minden olyan információt biztosít, amely más parancsokkal is megszerezhető, például:

5. példa: Információk megjelenítése egy adott portról egy helyi vagy távoli rendszerben

nmap -p [port] [hostname or address]

6. példa: A traceroute megjelenítése, valamint a szolgáltatások verziójának és az operációs rendszer típusának, a gazdagépnévnek a megállapítása

nmap -A [hostname or address]

7. példa: Több port vagy gazdagép egyidejű vizsgálata

Több portot (tartományt) vagy alhálózatot is átvizsgálhat az alábbiak szerint:

nmap -p 21,22,80 192.168.0.0/24 

Megjegyzés: A fenti parancs a 21-es, 22-es és 80-as portokat vizsgálja az adott hálózati szegmensben lévő összes gazdagépen.

A man oldalt tekintheti meg további részletekért az egyéb típusú port-ellenőrzések végrehajtásáról. Az Nmap valóban egy nagyon hatékony és sokoldalú hálózati leképező segédprogram, és nagyon jól ismernie kell, hogy megvédje a felelős rendszereket a kívülállók rosszindulatú portellenőrzéséből származó támadásokkal szemben.