Búsqueda de sitios web

LFCA: Cómo mejorar la seguridad de la red Linux - Parte 19

En un mundo cada vez más conectado, la seguridad de la red se está convirtiendo cada vez más en una de las áreas en las que las organizaciones invierten una gran cantidad de tiempo y recursos. Esto se debe a que la red de una empresa es la columna vertebral de cualquier infraestructura de TI y conecta todos los servidores y dispositivos de red. Si se viola la red, la organización quedará prácticamente a merced de los piratas informáticos. Se pueden extraer datos cruciales y se pueden eliminar servicios y aplicaciones centrados en el negocio.

La seguridad de la red es un tema bastante amplio y normalmente requiere un enfoque doble. Los administradores de red normalmente instalarán dispositivos de seguridad de red como firewalls, IDS (sistemas de detección de intrusiones) e IPS (sistemas de prevención de intrusiones) como primera línea de defensa. Si bien esto puede proporcionar una capa de seguridad decente, es necesario tomar algunas medidas adicionales a nivel del sistema operativo para evitar violaciones.

En este punto, ya debería estar familiarizado con conceptos de redes como direcciones IP y servicios y protocolos TCP/IP. También debe estar al día con los conceptos básicos de seguridad, como configurar contraseñas seguras y configurar un firewall.

Antes de cubrir varios pasos para garantizar la seguridad de su sistema, primero tengamos una descripción general de algunas de las amenazas de red comunes.

¿Qué es un ataque a la red?

Una red empresarial grande y bastante compleja puede depender de múltiples puntos finales conectados para respaldar las operaciones comerciales. Si bien esto puede proporcionar la conectividad necesaria para optimizar los flujos de trabajo, plantea un desafío de seguridad. Una mayor flexibilidad se traduce en un panorama de amenazas más amplio que el atacante puede aprovechar para lanzar un ataque a la red.

Entonces, ¿qué es un ataque a la red?

Un ataque de red es un acceso no autorizado a la red de una organización con el único propósito de acceder y robar datos y realizar otras actividades nefastas, como desfigurar sitios web y corromper aplicaciones.

Hay dos categorías amplias de ataques a la red.

  • Ataque pasivo: en un ataque pasivo, el pirata informático obtiene acceso no autorizado únicamente para espiar y robar datos sin modificarlos ni corromperlos.
  • Ataque activo: aquí, el atacante no solo se infiltra en la red para robar datos, sino que también modifica, elimina, corrompe o cifra los datos, destruye aplicaciones y desactiva los servicios en ejecución. Es cierto que este es el más devastador de los dos ataques.

Tipos de ataques a la red

Repasemos algunos de los ataques de red comunes que pueden comprometer su sistema Linux:

1. Vulnerabilidades del software

La ejecución de versiones de software antiguas y desactualizadas puede poner fácilmente en riesgo su sistema, y esto se debe en gran medida a las vulnerabilidades inherentes y las puertas traseras que se esconden allí. En el tema anterior sobre seguridad de datos, vimos cómo los piratas informáticos explotaron una vulnerabilidad en el portal de quejas de clientes de Equifax y condujo a una de las violaciones de datos más notorias.

Es por esta razón que siempre es recomendable aplicar parches de software constantemente actualizando sus aplicaciones de software a las últimas versiones.

2. El hombre en el medio ataca

Un ataque de hombre en el medio, comúnmente abreviado como MITM, es un ataque en el que un atacante intercepta la comunicación entre el usuario y la aplicación o el punto final. Al posicionarse entre un usuario legítimo y la aplicación, el atacante puede eliminar el cifrado y escuchar a escondidas la comunicación enviada hacia y desde. Esto le permite recuperar información confidencial, como credenciales de inicio de sesión y otra información de identificación personal.

Los objetivos probables de un ataque de este tipo incluyen sitios de comercio electrónico, empresas SaaS y aplicaciones financieras. Para lanzar este tipo de ataques, los piratas informáticos aprovechan las herramientas de rastreo de paquetes que capturan paquetes de dispositivos inalámbricos. Luego, el pirata informático procede a inyectar código malicioso en los paquetes que se intercambian.

3. Programa malicioso

El malware es un acrónimo de software malicioso y comprende una amplia gama de aplicaciones maliciosas, como virus, troyanos, software espía y ransomware, por mencionar algunos. Una vez dentro de una red, el malware se propaga a través de varios dispositivos y servidores.

Dependiendo del tipo de malware, las consecuencias pueden ser devastadoras. Los virus y el software espía tienen la capacidad de espiar, robar y filtrar datos altamente confidenciales, corromper o eliminar archivos, ralentizar la red e incluso secuestrar aplicaciones. El ransomware cifra los archivos y los vuelve inaccesibles a menos que la víctima entregue una cantidad sustancial como rescate.

4. Ataques distribuidos de denegación de servicio (DDoS)

Un ataque DDoS es un ataque en el que el usuario malintencionado hace que un sistema de destino sea inaccesible y, al hacerlo, evita que los usuarios accedan a servicios y aplicaciones cruciales. El atacante logra esto utilizando botnets para inundar el sistema objetivo con enormes volúmenes de paquetes SYN que finalmente lo hacen inaccesible por un período de tiempo. Los ataques DDoS pueden provocar la caída de bases de datos y sitios web.

5. Amenazas internas/empleados deshonestos

Los empleados descontentos con acceso privilegiado pueden comprometer fácilmente los sistemas. Estos ataques suelen ser difíciles de detectar y proteger contra ellos, ya que los empleados no necesitan infiltrarse en la red. Además, algunos empleados pueden infectar involuntariamente la red con malware cuando conectan dispositivos USB con malware.

Mitigar los ataques a la red

Veamos algunas medidas que puede tomar para colocar una barrera que brinde un grado considerable de seguridad para mitigar los ataques a la red.

1. Mantenga las aplicaciones de software actualizadas

A nivel del sistema operativo, la actualización de sus paquetes de software solucionará cualquier vulnerabilidad existente que pueda poner su sistema en riesgo de sufrir ataques lanzados por piratas informáticos.

Implementar un firewall basado en host

Además de los cortafuegos de red que normalmente proporcionan la primera línea de defensa contra intrusiones, también puedes implementar un cortafuegos basado en host como firewalld y UFW. Se trata de aplicaciones de firewall simples pero efectivas que brindan una capa adicional de seguridad al filtrar el tráfico de la red según un conjunto de reglas.

3. Desactive los servicios que no necesita

Si tiene servicios en ejecución que no se utilizan activamente, desactívelos. Esto ayuda a minimizar la superficie de ataque y deja al atacante con opciones mínimas para aprovechar y encontrar lagunas.

En la misma línea, utiliza una herramienta de escaneo de red como Nmap para escanear y buscar puertos abiertos. Si hay puertos innecesarios abiertos, considere bloquearlos en el firewall.

4. Configurar contenedores TCP

Los contenedores TCP son ACL (listas de control de acceso) basadas en host que restringen el acceso a los servicios de red en función de un conjunto de reglas, como las direcciones IP. Los contenedores TCP hacen referencia a los siguientes archivos de host para determinar dónde se le otorgará o denegará a un cliente el acceso a un servicio de red.

  • /etc/hosts.allow
  • /etc/hosts.denegar

Algunos puntos a tener en cuenta:

  1. Las reglas se leen de arriba a abajo. La primera regla de coincidencia para un servicio determinado se aplicó primero. Tenga en cuenta que el orden es extremadamente crucial.
  2. Las reglas del archivo /etc/hosts.allow se aplican primero y tienen prioridad sobre la regla definida en el archivo /etc/hosts.deny. Esto implica que si se permite el acceso a un servicio de red en el archivo /etc/hosts.allow, se niega el acceso al mismo servicio en el archivo /etc/hosts.deny será pasado por alto o ignorado.
  3. Si las reglas de servicio no existen en ninguno de los archivos del host, se otorga acceso al servicio de forma predeterminada.
  4. Los cambios realizados en los dos archivos host se implementan inmediatamente sin reiniciar los servicios.

5. Protocolos remotos seguros y uso de VPN

En nuestros temas anteriores, analizamos cómo puede proteger el protocolo SSH para disuadir a usuarios malintencionados de acceder a su sistema. Igualmente importante es el uso de una VPN para iniciar el acceso remoto al servidor Linux, especialmente a través de una red pública. Una VPN cifra todos los datos intercambiados entre el servidor y los hosts remotos y esto elimina las posibilidades de que la comunicación sea interceptada.

6. Monitoreo de red las 24 horas

Monitorear su infraestructura con herramientas como WireShark lo ayudará a monitorear e inspeccionar el tráfico en busca de paquetes de datos maliciosos. También puedes implementar fail2ban para proteger tu servidor de ataques de fuerza bruta.

7. Instale software antimalware

Linux se está convirtiendo cada vez más en un objetivo para los piratas informáticos debido a su creciente popularidad y uso. Como tal, es prudente instalar herramientas de seguridad para escanear el sistema en busca de rootkits, virus, troyanos y cualquier tipo de malware.

Existen soluciones populares de código abierto, como ClamAV, que son eficaces para detectar y protegerse del malware. También puede considerar instalar chkrootkit para verificar si hay signos de rootkits en su sistema.

8. Segmentación de la red

Considere segmentar su red en VLAN (redes de área local virtuales). Esto se hace creando subredes en la misma red que actúan como redes independientes. Segmentar su red contribuye en gran medida a limitar el impacto de una infracción en una zona y hace que sea mucho más difícil para los piratas informáticos acceder a través de otras subredes.

9. Cifrado de dispositivos inalámbricos

Si tiene enrutadores inalámbricos o puntos de acceso en su red, asegúrese de que estén utilizando las últimas tecnologías de cifrado para minimizar los riesgos de ataques de intermediario.

Resumen

La seguridad de la red es un tema muy amplio que abarca la adopción de medidas en la sección de hardware de la red y también la implementación de políticas basadas en host en el sistema operativo para agregar una capa protectora contra intrusiones. Las medidas descritas contribuirán en gran medida a mejorar la seguridad de su sistema contra los vectores de ataque a la red.