Linuxでネットワークのパフォーマンス、セキュリティ、トラブルシューティングを監査する方法-パート12


コンピュータネットワークの健全な分析は、タスクを実行するために利用できるツールは何か、方法の各ステップに適切なツールを選択する方法、そして最後に、どこから始めればよいかを理解することから始まります。

これは LFCE Linux Foundation Certified Engineer )シリーズの最後のパートです。ここでは、パフォーマンスを調べてネットワークのセキュリティを強化するためのいくつかの有名なツールを確認します。 、および物事が期待どおりに進まない場合の対処方法。

このリストは包括的なものではないことに注意してください。不足している可能性のある別の便利なユーティリティを追加したい場合は、下部のフォームを使用してこの投稿にコメントしてください。

システム管理者が各システムについて最初に知っておく必要があることの1つは、実行されているサービスとその理由です。その情報が手元にあるので、厳密に必要ではないものをすべて無効にし、同じ物理マシンであまりにも多くのサーバーをホストすることを避けるのが賢明な決断です。

たとえば、ネットワークでFTPサーバーが必要ない場合は、 FTP サーバーを無効にする必要があります(ちなみに、ネットワークを介してファイルを共有するためのより安全な方法があります)。さらに、同じシステムにWebサーバーとデータベースサーバーを配置することは避けてください。 1つのコンポーネントが危険にさらされると、残りのコンポーネントも危険にさらされるリスクがあります。

ss は、ソケット統計をダンプするために使用され、netstatと同様の情報を表示しますが、他のツールよりも多くのTCPおよび状態情報を表示できます。さらに、廃止されたnetstatの代わりとして man netstat にリストされています。

ただし、この記事では、ネットワークセキュリティに関連する情報のみに焦点を当てます。

デフォルトのポート(つまり、80ではhttp、3306ではmysql)で実行されているすべてのサービスは、それぞれの名前で示されます。その他(プライバシー上の理由からここでは省略)は、数値形式で表示されます。

# ss -t -a

ちなみに、RFC 793をチェックして、考えられるTCP状態についてメモリを更新することをお勧めします。これは、(D)DoS攻撃を認識するために、開いているTCP接続の数と状態もチェックする必要があるためです。

# ss -t -o

上記の出力では、2つの確立されたSSH接続があることがわかります。 timer :の2番目のフィールドの値に気付いた場合、最初の接続で 36 分の値に気付くでしょう。これは、次のキープアライブプローブが送信されるまでの時間です。

これは存続している接続であるため、これは非アクティブな接続であると安全に想定でき、 PID を見つけた後にプロセスを強制終了できます。

2番目の接続については、現在使用されていることがわかります(onで示されています)。

TCP接続をソケットでフィルタリングするとします。サーバーの観点から、送信元ポートが80である接続を確認する必要があります。

# ss -tn sport = :80

その結果..

ポートスキャンは、クラッカーがネットワーク上のアクティブなホストと開いているポートを識別するために使用する一般的な手法です。脆弱性が発見されると、システムにアクセスするために悪用されます。

賢明なシステム管理者は、自分のシステムが部外者にどのように見られているかを確認し、頻繁に監査して、偶然に何も残されていないことを確認する必要があります。これは「防御ポートスキャン」と呼ばれます。

次のコマンドを使用して、システムまたはリモートホストで開いているポートをスキャンできます。

# nmap -A -sS [IP address or hostname]

上記のコマンドは、ホストをスキャンして OS バージョンの検出、ポート情報、traceroute( -A )を探します。最後に、 -sS TCP SYN スキャンを送信し、nmapが3ウェイTCPハンドシェイクを完了するのを防ぎ、通常、ターゲットマシンにログを残しません。

次の例に進む前に、ポートスキャンは違法行為ではないことに注意してください。違法なのは、悪意のある目的で結果を使用することです。

たとえば、地元の大学のメインサーバーに対して実行された上記のコマンドの出力は、次のように返されます(簡潔にするために結果の一部のみが示されています)。

ご覧のとおり、この地元の大学のシステム管理者に報告するために適切に行う必要のあるいくつかの異常を発見しました。

この特定のポートスキャン操作は、次のような他のコマンドによっても取得できるすべての情報を提供します。

# nmap -p [port] [hostname or address]
# nmap -A [hostname or address]

次のように、複数のポート(範囲)またはサブネットをスキャンすることもできます。

# nmap -p 21,22,80 192.168.0.0/24 

注:上記のコマンドは、そのネットワークセグメント内のすべてのホストのポート21、22、および80をスキャンすることに注意してください。

他のタイプのポートスキャンを実行する方法の詳細については、マニュアルページを確認してください。 Nmapは確かに非常に強力で用途の広いネットワークマッパーユーティリティであり、外部からの悪意のあるポートスキャンの後に発生した攻撃から責任のあるシステムを防御するために、Nmapに精通している必要があります。

全著作権所有。 © Linux-Console.net • 2019-2022