ウェブサイト検索

LFCA: Linux ネットワーク セキュリティを向上させる方法 – パート 19

常に接続されている世界において、ネットワーク セキュリティは、組織が多大な時間とリソースを投資する分野の 1 つになりつつあります。これは、企業のネットワークが IT インフラストラクチャのバックボーンであり、すべてのサーバーとネットワーク デバイスを接続しているためです。ネットワークが侵害されると、組織はほぼハッカーのなすがままになります。重要なデータが流出したり、ビジネス中心のサービスやアプリケーションがダウンしたりする可能性があります。

ネットワーク セキュリティは非常に広大なテーマであり、通常は 2 つの側面からのアプローチが必要です。ネットワーク管理者は通常、防御の第一線として、ファイアウォール、IDS (侵入検知システム)、IPS (侵入防御システム) などのネットワーク セキュリティ デバイスをインストールします。これにより適切なセキュリティ層が提供される可能性がありますが、侵害を防ぐために OS レベルでいくつかの追加の手順を実行する必要があります。

この時点で、IP アドレス指定や TCP/IP サービスとプロトコルなどのネットワークの概念についてはすでに理解しているはずです。また、強力なパスワードの設定やファイアウォールの設定など、基本的なセキュリティの概念についても理解しておく必要があります。

システムの安全性を確保するためのさまざまな手順を説明する前に、まず一般的なネットワークの脅威の概要を理解しましょう。

ネットワーク攻撃とは何ですか?

大規模でかなり複雑な企業ネットワークは、ビジネス運営をサポートするために接続された複数のエンドポイントに依存する場合があります。これにより、ワークフローを合理化するために必要な接続が提供される可能性がありますが、セキュリティ上の課題が生じます。柔軟性が高まると、攻撃者がネットワーク攻撃を開始するために利用できる脅威の範囲が広がります。

では、ネットワーク攻撃とは何でしょうか?

ネットワーク攻撃とは、データにアクセスして盗み、Web サイトの改ざんやアプリケーションの破損などのその他の不正行為を実行することのみを目的とした、組織のネットワークへの不正アクセスです。

ネットワーク攻撃には、大きく 2 つのカテゴリがあります。

  • 受動的攻撃: 受動的攻撃では、ハッカーは不正アクセスを取得して、データを変更したり破損したりすることなく、単にスパイしてデータを盗みます。
  • アクティブ攻撃: ここでは、攻撃者はネットワークに侵入してデータを盗むだけでなく、データを変更、削除、破損、または暗号化してアプリケーションをクラッシュし、実行中のサービスを停止させます。確かに、これは 2 つの攻撃の中で最も破壊的です。

ネットワーク攻撃の種類

Linux システムを侵害する可能性のある一般的なネットワーク攻撃のいくつかを見てみましょう。

1. ソフトウェアの脆弱性

古くて時代遅れのソフトウェア バージョンを実行すると、システムが簡単に危険にさらされる可能性があります。これは主に、システムに潜む固有の脆弱性とバックドアが原因です。データ セキュリティに関する前回のトピックでは、Equifax の顧客苦情ポータルの脆弱性がハッカーによってどのように悪用され、最も悪名高いデータ侵害の 1 つにつながったかを説明しました。

このため、ソフトウェア アプリケーションを最新バージョンにアップグレードして、ソフトウェア パッチを常に適用することをお勧めします。

2. 中間者攻撃

中間者攻撃 (一般的に MITM と略されます) は、攻撃者がユーザーとアプリケーションまたはエンドポイント間の通信を傍受する攻撃です。攻撃者は、正規のユーザーとアプリケーションの間に位置することで、暗号化を解除し、送受信される通信を盗聴することができます。これにより、ログイン資格情報やその他の個人を特定できる情報などの機密情報を取得できるようになります。

このような攻撃のターゲットとして考えられるのは、電子商取引サイト、SaaS ビジネス、金融アプリケーションなどです。このような攻撃を開始するために、ハッカーはワイヤレス デバイスからパケットをキャプチャするパケット スニッフィング ツールを利用します。次にハッカーは、交換されるパケットに悪意のあるコードを挿入します。

3. マルウェア

マルウェアは、Malicious Software のかばん語であり、いくつか例を挙げると、ウイルス、トロイの木馬、スパイウェア、ランサムウェアなど、幅広い悪意のあるアプリケーションで構成されます。マルウェアはネットワークに入ると、さまざまなデバイスやサーバーに伝播します。

マルウェアの種類によっては、壊滅的な結果が生じる可能性があります。ウイルスやスパイウェアには、スパイ行為、機密性の高いデータの窃盗や流出、ファイルの破損や削除、ネットワークの速度低下、さらにはアプリケーションのハイジャックを行う機能があります。ランサムウェアはファイルを暗号化し、被害者が多額の身代金を支払わない限りアクセスできなくなります。

4. 分散型サービス拒否 (DDoS) 攻撃

DDoS 攻撃は、悪意のあるユーザーがターゲット システムにアクセスできないようにし、それによってユーザーが重要なサービスやアプリケーションにアクセスできないようにする攻撃です。攻撃者はボットネットを使用してこれを実行し、ターゲット システムに膨大な量の SYN パケットを大量に送り込み、最終的に一定期間アクセス不能にします。 DDoS 攻撃は、Web サイトだけでなくデータベースもダウンさせる可能性があります。

5. 内部脅威/不正な従業員

特権アクセス権を持つ不満を抱いた従業員は、簡単にシステムを侵害する可能性があります。従業員がネットワークに侵入する必要がないため、このような攻撃は通常、検出して防御することが困難です。さらに、一部の従業員がマルウェアを含む USB デバイスを接続すると、意図せずネットワークにマルウェアを感染させる可能性があります。

ネットワーク攻撃の軽減

ネットワーク攻撃を軽減するためにかなりのレベルのセキュリティを提供する障壁を設けるために実行できる対策をいくつか確認してみましょう。

1. ソフトウェア アプリケーションを最新の状態に保つ

OS レベルでは、ソフトウェア パッケージを更新すると、システムがハッカーによって悪用される危険にさらされる可能性がある既存の脆弱性が修正されます。

ホストベースのファイアウォールを実装する

通常、侵入に対する防御の第一線となるネットワーク ファイアウォールのほかに、firewalld や UFW ファイアウォールなどのホストベースのファイアウォールを実装することもできます。これらは、一連のルールに基づいてネットワーク トラフィックをフィルタリングすることにより、追加のセキュリティ層を提供する、シンプルかつ効果的なファイアウォール アプリケーションです。

3. 不要なサービスを無効にする

アクティブに使用されていない実行中のサービスがある場合は、それらを無効にします。これにより、攻撃対象領域が最小限に抑えられ、攻撃者には抜け穴を利用して発見するための最小限のオプションが残されます。

同じ行で、Nmap などのネットワーク スキャン ツールを使用して、開いているポートをスキャンして調べます。不要なポートが開いている場合は、ファイアウォールでそれらのポートをブロックすることを検討してください。

4. TCP ラッパーの構成

TCP ラッパーは、IP アドレスなどの一連のルールに基づいてネットワーク サービスへのアクセスを制限するホストベースの ACL (アクセス コントロール リスト) です。 TCP ラッパーは、次のホスト ファイルを参照して、クライアントがネットワーク サービスへのアクセスを許可または拒否される場所を決定します。

  • /etc/hosts.allow
  • /etc/hosts.deny

注意すべき点がいくつかあります:

  1. ルールは上から下に読まれます。特定のサービスに最初に一致するルールが最初に適用されます。順序は非常に重要であることに注意してください。
  2. /etc/hosts.allow ファイル内のルールが最初に適用され、/etc/hosts.deny ファイルで定義されたルールよりも優先されます。これは、ネットワーク サービスへのアクセスが /etc/hosts.allow ファイルで許可されている場合、同じサービスへのアクセスは /etc/hosts.deny ファイルで拒否されることを意味します。無視されたり、無視されたりするでしょう。
  3. どちらのホスト ファイルにもサービス ルールが存在しない場合、デフォルトでサービスへのアクセスが許可されます。
  4. 2 つのホスト ファイルに加えられた変更は、サービスを再起動せずにすぐに実装されます。

5. 安全なリモート プロトコルと VPN の使用

これまでのトピックでは、悪意のあるユーザーがシステムにアクセスするのを阻止するために SSH プロトコルを保護する方法について説明しました。同様に重要なのは、VPN を使用して、特にパブリック ネットワーク経由で Linux サーバーへのリモート アクセスを開始することです。 VPN はサーバーとリモート ホスト間で交換されるすべてのデータを暗号化するため、通信が盗聴される可能性が排除されます。

6. 24時間ネットワーク監視

WireShark などのツールを使用してインフラストラクチャを監視すると、トラフィックを監視して悪意のあるデータ パケットを検査するのに役立ちます。また、fail2ban を実装して、ブルートフォース攻撃からサーバーを保護することもできます。

7. マルウェア対策ソフトウェアをインストールする

Linux の人気と使用率が高まっているため、Linux はますますハッカーの標的になっています。したがって、ルートキット、ウイルス、トロイの木馬、その他あらゆる種類のマルウェアがないかシステムをスキャンするためのセキュリティ ツールをインストールすることが賢明です。

ClamAV など、マルウェアを効果的に検出するオープンソース ソリューションが人気です。 chkrootkit をインストールして、システム上にルートキットの兆候がないか確認することも検討できます。

8. ネットワークのセグメンテーション

ネットワークを VLAN (仮想ローカル エリア ネットワーク) にセグメント化することを検討してください。これは、同じネットワーク上にスタンドアロン ネットワークとして機能するサブネットを作成することによって行われます。ネットワークをセグメント化すると、侵害の影響を 1 つのゾーンに限定するのに非常に役立ち、ハッカーが他のサブネットワークを経由してアクセスすることがはるかに困難になります。

9. 無線デバイスの暗号化

ネットワーク内にワイヤレス ルーターまたはアクセス ポイントがある場合は、中間者攻撃のリスクを最小限に抑えるために、最新の暗号化テクノロジが使用されていることを確認してください。

まとめ

ネットワーク セキュリティは大きなテーマであり、ネットワーク ハードウェア セクションでの対策を講じることや、侵入に対する保護層を追加するためにオペレーティング システムにホスト ベースのポリシーを実装することも含まれます。ここで説明した対策は、ネットワーク攻撃ベクトルに対するシステムのセキュリティを向上させるのに大いに役立ちます。