LFCA: Cómo mejorar la seguridad de la red Linux - Parte 19


En un mundo siempre conectado, la seguridad de la red se está convirtiendo cada vez más en una de las áreas en las que las organizaciones invierten una gran cantidad de tiempo y recursos. Esto se debe a que la red de una empresa es la columna vertebral de cualquier infraestructura de TI y conecta todos los servidores y dispositivos de red. Si se viola la red, la organización estará prácticamente a merced de los piratas informáticos. Los datos cruciales se pueden extraer y los servicios y aplicaciones centrados en el negocio se pueden eliminar.

La seguridad de la red es un tema bastante amplio y, por lo general, tiene un enfoque doble. Los administradores de red normalmente instalarán dispositivos de seguridad de red como firewalls, IDS (sistemas de detección de intrusiones) e IPS (sistemas de prevención de intrusiones) como primera línea de defensa. Si bien esto puede proporcionar una capa de seguridad decente, se deben tomar algunos pasos adicionales a nivel del sistema operativo para evitar cualquier infracción.

En este punto, ya debería estar familiarizado con los conceptos de redes, como el direccionamiento IP y el servicio y protocolos TCP/IP. También debe estar al día con los conceptos básicos de seguridad, como configurar contraseñas seguras y configurar un firewall.

Antes de cubrir varios pasos para garantizar la seguridad de su sistema, primero veamos algunas de las amenazas de red comunes.

¿Qué es un ataque a la red?

Una red empresarial grande y bastante compleja puede depender de varios puntos finales conectados para respaldar las operaciones comerciales. Si bien esto puede proporcionar la conectividad necesaria para optimizar los flujos de trabajo, plantea un desafío de seguridad. Más flexibilidad se traduce en un panorama de amenazas más amplio que el atacante puede aprovechar para lanzar un ataque a la red.

Entonces, ¿qué es un ataque a la red?

Un ataque a la red es el acceso no autorizado a la red de una organización con el único propósito de acceder y robar datos y realizar otras actividades nefastas, como desfigurar sitios web y corromper aplicaciones.

Hay dos grandes categorías de ataques a la red.

  • Ataque pasivo: en un ataque pasivo, el pirata informático obtiene acceso no autorizado para espiar y robar datos únicamente sin modificarlos ni corromperlos.
  • Ataque activo: aquí, el atacante no solo se infiltra en la red para robar datos, sino que también modifica, elimina, corrompe o cifra los datos y aplasta las aplicaciones, y desactiva los servicios en ejecución. Es cierto que este es el más devastador de los dos ataques.

Tipos de ataques a la red

Repasemos algunos de los ataques de red comunes que pueden comprometer su sistema Linux:

La ejecución de versiones de software antiguas y obsoletas puede poner fácilmente en riesgo su sistema, y u200bu200besto se debe en gran parte a las vulnerabilidades inherentes y las puertas traseras que acechan allí. En el tema anterior sobre seguridad de datos, vimos cómo una vulnerabilidad en el portal de quejas de clientes de Equifax fue explotada por piratas informáticos y condujo a una de las violaciones de datos más infames.

Es por esta razón que siempre es recomendable aplicar constantemente parches de software actualizando sus aplicaciones de software a las últimas versiones.

Un ataque de hombre en el medio, comúnmente abreviado como MITM, es un ataque en el que un atacante intercepta la comunicación entre el usuario y la aplicación o el punto final. Al posicionarse entre un usuario legítimo y la aplicación, el atacante puede eliminar el cifrado y espiar la comunicación enviada desde y hacia. Esto le permite recuperar información confidencial, como credenciales de inicio de sesión y otra información de identificación personal.

Los objetivos probables de un ataque de este tipo incluyen sitios de comercio electrónico, empresas SaaS y aplicaciones financieras. Para lanzar tales ataques, los piratas informáticos aprovechan las herramientas de rastreo de paquetes que capturan paquetes de dispositivos inalámbricos. Luego, el hacker procede a inyectar código malicioso en los paquetes que se intercambian.

El malware es un acrónimo de software malicioso y comprende una amplia gama de aplicaciones maliciosas, como virus, troyanos, spyware y ransomware, por mencionar algunas. Una vez dentro de una red, el malware se propaga a través de varios dispositivos y servidores.

Dependiendo del tipo de malware, las consecuencias pueden ser devastadoras. Los virus y el software espía tienen la capacidad de espiar, robar y exfiltrar datos altamente confidenciales, corromper o eliminar archivos, ralentizar la red e incluso secuestrar aplicaciones. El ransomware cifra los archivos que luego son inaccesibles a menos que la víctima pague una cantidad sustancial como rescate.

Un ataque DDoS es un ataque en el que el usuario malintencionado hace que un sistema de destino sea inaccesible y, al hacerlo, evita que los usuarios accedan a servicios y aplicaciones cruciales. El atacante logra esto utilizando botnets para inundar el sistema de destino con enormes volúmenes de paquetes SYN que, en última instancia, lo vuelven inaccesible durante un período de tiempo. Los ataques DDoS pueden derribar bases de datos y sitios web.

Los empleados descontentos con acceso privilegiado pueden fácilmente comprometer los sistemas. Estos ataques suelen ser difíciles de detectar y de proteger, ya que los empleados no necesitan infiltrarse en la red. Además, algunos empleados pueden infectar involuntariamente la red con malware cuando conectan dispositivos USB con malware.

Mitigar los ataques a la red

Veamos algunas medidas que puede tomar para colocar una barrera que proporcionará un grado considerable de seguridad para mitigar los ataques a la red.

A nivel del sistema operativo, la actualización de sus paquetes de software reparará cualquier vulnerabilidad existente que pueda poner su sistema en riesgo de ataques lanzados por piratas informáticos.

Aparte de los cortafuegos de red que suelen proporcionar la primera línea de defensa contra intrusiones, también puede implementar un cortafuegos basado en host, como el cortafuegos UFW. Estas son aplicaciones de firewall simples pero efectivas que brindan una capa adicional de seguridad al filtrar el tráfico de red según un conjunto de reglas.

Si tiene servicios en ejecución que no se utilizan activamente, desactívelos. Esto ayuda a minimizar la superficie de ataque y deja al atacante con opciones mínimas para aprovechar y encontrar lagunas.

En la misma línea, utiliza una herramienta de escaneo de red como Nmap para escanear y sondear los puertos abiertos. Si hay puertos innecesarios abiertos, considere bloquearlos en el firewall.

Los envoltorios TCP son ACL (listas de control de acceso) basadas en host que restringen el acceso a los servicios de red según un conjunto de reglas, como las direcciones IP. Los envoltorios TCP hacen referencia a los siguientes archivos de host para determinar dónde se otorgará o negará el acceso a un servicio de red a un cliente.

  • /etc/hosts.allow
  • /etc/hosts.deny

Algunos puntos a tener en cuenta:

  1. Las reglas se leen de arriba a abajo. La primera regla de coincidencia para un servicio determinado se aplicó primero. Tenga en cuenta que el orden es extremadamente importante.
  2. Las reglas del archivo /etc/hosts.allow se aplican primero y tienen prioridad sobre la regla definida en el archivo /etc/hosts.deny. Esto implica que si se permite el acceso a un servicio de red en el archivo /etc/hosts.allow, se pasará por alto o se ignorará la denegación del acceso al mismo servicio en el archivo /etc/hosts.deny.
  3. Si las reglas de servicio no existen en ninguno de los archivos de host, el acceso al servicio se otorga de forma predeterminada.
  4. Los cambios realizados en los dos archivos de host se implementan inmediatamente sin reiniciar los servicios.

En nuestros temas anteriores, hemos analizado el uso de una VPN para iniciar el acceso remoto al servidor Linux, especialmente a través de una red pública. Una VPN encripta todos los datos intercambiados entre el servidor y los hosts remotos y esto elimina las posibilidades de que la comunicación sea escuchada.

Supervise su infraestructura con herramientas como fail2ban para proteger su servidor de ataques de fuerza bruta.

[También puede interesarle: 16 útiles herramientas de supervisión del ancho de banda para analizar el uso de la red en Linux]

Linux se está convirtiendo cada vez más en un objetivo para los piratas informáticos debido a su creciente popularidad y uso. Como tal, es prudente instalar herramientas de seguridad para escanear el sistema en busca de rootkits, virus, troyanos y cualquier tipo de malware.

Existen soluciones populares de código abierto como chkrootkit para verificar si hay signos de rootkits en su sistema.

Considere la posibilidad de segmentar su red en VLAN (redes de área local virtuales). Esto se hace creando subredes en la misma red que actúan como redes independientes. La segmentación de su red contribuye en gran medida a limitar el impacto de una infracción a una zona y hace que sea mucho más difícil para los piratas informáticos acceder a través de otras subredes.

Si tiene enrutadores inalámbricos o puntos de acceso en su red, asegúrese de que estén utilizando las últimas tecnologías de cifrado para minimizar los riesgos de ataques de intermediarios.

La seguridad de la red es un tema enorme que abarca la adopción de medidas en la sección de hardware de la red y también la implementación de políticas basadas en el host en el sistema operativo para agregar una capa protectora contra intrusiones. Las medidas descritas contribuirán en gran medida a mejorar la seguridad de su sistema contra los vectores de ataque a la red.