LFCA:Linuxネットワークセキュリティを改善する方法–パート19


常に接続されている世界では、ネットワークセキュリティは、組織が多大な時間とリソースを投資する分野の1つになりつつあります。これは、企業のネットワークがあらゆるITインフラストラクチャのバックボーンであり、すべてのサーバーとネットワークデバイスを接続しているためです。ネットワークが侵害された場合、組織はほとんどハッカーに翻弄されます。重要なデータを盗み出し、ビジネス中心のサービスやアプリケーションを停止させることができます。

ネットワークセキュリティは非常に広大なトピックであり、通常は2つのアプローチを取ります。ネットワーク管理者は通常、防御の最前線としてファイアウォール、IDS(侵入検知システム)、IPS(侵入防止システム)などのネットワークセキュリティデバイスをインストールします。これは適切なセキュリティ層を提供する可能性がありますが、侵害を防ぐためにOSレベルでいくつかの追加の手順を実行する必要があります。

この時点で、IPアドレス指定やTCP/IPサービスおよびプロトコルなどのネットワークの概念に既に精通している必要があります。また、強力なパスワードの設定やファイアウォールの設定など、基本的なセキュリティの概念についても理解しておく必要があります。

システムの安全性を確保するためのさまざまな手順を説明する前に、まず、一般的なネットワークの脅威の概要を説明しましょう。

ネットワーク攻撃とは何ですか?

大規模でかなり複雑なエンタープライズネットワークは、複数の接続されたエンドポイントに依存してビジネスオペレーションをサポートする場合があります。これにより、ワークフローを合理化するために必要な接続が提供される場合がありますが、セキュリティ上の課題が発生します。柔軟性が高まると、攻撃者がネットワーク攻撃を開始するために利用できる脅威の状況が広がります。

では、ネットワーク攻撃とは何ですか?

ネットワーク攻撃とは、組織のネットワークへの不正アクセスであり、データへのアクセスと盗難、およびWebサイトの改ざんやアプリケーションの破損などの他の不正な活動を実行することを唯一の目的としています。

ネットワーク攻撃には大きく分けて2つのカテゴリがあります。

  • 受動的攻撃:受動的攻撃では、ハッカーはデータを変更または破壊することなく、データをスパイして盗むための不正アクセスを取得します。
  • アクティブな攻撃:ここでは、攻撃者はネットワークに侵入してデータを盗むだけでなく、データを変更、削除、破損、または暗号化し、アプリケーションをクラッシュさせ、実行中のサービスを停止します。確かに、これは2つの攻撃の中で最も破壊的なものです。

ネットワーク攻撃の種類

Linuxシステムを危険にさらす可能性のある一般的なネットワーク攻撃のいくつかを見てみましょう。

古いバージョンと古いソフトウェアバージョンを実行すると、システムが簡単に危険にさらされる可能性があります。これは主に、固有の脆弱性とバックドアが潜んでいるためです。データセキュリティに関する前のトピックでは、Equifaxの顧客苦情ポータルの脆弱性がハッカーによって悪用され、最も悪名高いデータ侵害の1つにつながることを確認しました。

このため、ソフトウェアアプリケーションを最新バージョンにアップグレードして、ソフトウェアパッチを常に適用することを常にお勧めします。

一般にMITMと略される中間者攻撃は、攻撃者がユーザーとアプリケーションまたはエンドポイント間の通信を傍受する攻撃です。攻撃者は、正当なユーザーとアプリケーションの間に身を置くことで、暗号化を取り除いて、送受信される通信を盗聴することができます。これにより、ログイン資格情報やその他の個人を特定できる情報などの機密情報を取得できます。

このような攻撃の標的となる可能性が高いのは、eコマースサイト、SaaSビジネス、および金融アプリケーションです。このような攻撃を開始するために、ハッカーはワイヤレスデバイスからパケットをキャプチャするパケットスニッフィングツールを利用します。次に、ハッカーは交換されるパケットに悪意のあるコードを挿入します。

マルウェアは悪意のあるソフトウェアのかばん語であり、ウイルス、トロイの木馬、スパイウェア、ランサムウェアなど、さまざまな悪意のあるアプリケーションで構成されています。ネットワーク内に入ると、マルウェアはさまざまなデバイスやサーバーに拡散します。

マルウェアの種類によっては、壊滅的な結果を招く可能性があります。ウイルスやスパイウェアには、機密性の高いデータをスパイ、盗み、盗み出し、ファイルを破壊または削除し、ネットワークの速度を低下させ、さらにはアプリケーションを乗っ取る能力があります。ランサムウェアはファイルを暗号化してレンダリングし、被害者が身代金としてかなりの金額を分けない限りアクセスできなくなります。

DDoS攻撃は、悪意のあるユーザーがターゲットシステムにアクセスできなくなる攻撃であり、これにより、ユーザーが重要なサービスやアプリケーションにアクセスできなくなります。攻撃者はボットネットを使用してこれを実行し、ターゲットシステムを大量のSYNパケットで溢れさせ、最終的には一定期間アクセスできなくなります。 DDoS攻撃は、Webサイトだけでなくデータベースもダウンさせる可能性があります。

特権アクセスを持つ不満を持つ従業員は、システムを簡単に危険にさらす可能性があります。従業員がネットワークに侵入する必要がないため、このような攻撃を検出して防御することは通常困難です。さらに、一部の従業員は、USBデバイスをマルウェアに接続すると、意図せずにネットワークをマルウェアに感染させる可能性があります。

ネットワーク攻撃の軽減

ネットワーク攻撃を軽減するためにかなりの程度のセキュリティを提供するバリアを設定するために実行できるいくつかの対策を確認してみましょう。

OSレベルでは、ソフトウェアパッケージを更新すると、ハッカーによるエクスプロイトのリスクにシステムをさらす可能性のある既存の脆弱性にパッチが適用されます。

通常、侵入に対する最初の防御線を提供するネットワークファイアウォールの他に、UFWファイアウォールなどのホストベースのファイアウォールを実装することもできます。これらは、一連のルールに基づいてネットワークトラフィックをフィルタリングすることにより、セキュリティの追加レイヤーを提供する、シンプルでありながら効果的なファイアウォールアプリケーションです。

アクティブに使用されていないサービスを実行している場合は、それらを無効にします。これは、攻撃対象領域を最小限に抑えるのに役立ち、攻撃者に抜け穴を利用して見つけるための最小限のオプションを残します。

同じ行で、Nmapなどのネットワークスキャンツールを使用して、開いているポートをスキャンしてプローブします。開いている不要なポートがある場合は、ファイアウォールでそれらをブロックすることを検討してください。

TCPラッパーはホストベースのACL(アクセス制御リスト)であり、IPアドレスなどの一連のルールに基づいてネットワークサービスへのアクセスを制限します。 TCPラッパーは、次のホストファイルを参照して、クライアントがネットワークサービスへのアクセスを許可または拒否される場所を決定します。

  • /etc/hosts.allow
  • /etc/hosts.deny

注意すべきいくつかのポイント:

  1. ルールは上から下に読み取られます。特定のサービスの最初の一致ルールが最初に適用されます。順序は非常に重要であることに注意してください。
  2. /etc/hosts.allowファイルのルールが最初に適用され、/ etc/hosts.denyファイルで定義されたルールよりも優先されます。これは、ネットワークサービスへのアクセスが/etc/hosts.allowファイルで許可されている場合、/ etc/hosts.denyファイルで同じサービスへのアクセスを拒否すると見落とされるか無視されることを意味します。
  3. サービスルールがどちらのホストファイルにも存在しない場合、サービスへのアクセスはデフォルトで許可されます。
  4. 2つのホストファイルに加えられた変更は、サービスを再起動せずにすぐに実装されます。

これまでのトピックでは、VPNを使用して、特にパブリックネットワークを介してLinuxサーバーへのリモートアクセスを開始する方法について説明しました。 VPNは、サーバーとリモートホスト間で交換されるすべてのデータを暗号化します。これにより、通信が盗聴される可能性がなくなります。

ブルートフォース攻撃からサーバーを保護するために、fail2banなどのツールを使用してインフラストラクチャを監視します。

[あなたも好きかもしれません:Linuxのネットワーク使用状況を分析するための16の便利な帯域幅監視ツール]

Linuxは、その人気と使用の増加により、ますますハッカーの標的になりつつあります。そのため、ルートキット、ウイルス、トロイの木馬、およびあらゆる種類のマルウェアについてシステムをスキャンするためのセキュリティツールをインストールするのが賢明です。

システム上のルートキットの兆候をチェックするためのchkrootkitなどの一般的なオープンソースソリューションがあります。

ネットワークをVLAN(仮想ローカルエリアネットワーク)にセグメント化することを検討してください。これは、スタンドアロンネットワークとして機能する同じネットワーク上にサブネットを作成することによって行われます。ネットワークのセグメント化は、侵害の影響を1つのゾーンに限定するのに大いに役立ち、ハッカーが他のサブネットワークを通過するためにアクセスするのをはるかに困難にします。

ネットワークにワイヤレスルーターまたはアクセスポイントがある場合は、それらが最新の暗号化テクノロジーを使用していることを確認して、man-in-the-middle攻撃のリスクを最小限に抑えます。

ネットワークセキュリティは、ネットワークハードウェアのセクションで対策を講じることと、侵入に対する保護層を追加するためにオペレーティングシステムにホストベースのポリシーを実装することを含む大きなトピックです。概説した対策は、ネットワーク攻撃ベクトルに対するシステムのセキュリティを向上させるのに大いに役立ちます。