Útočníci nacházejí sofistikované způsoby, jak proniknout i do vzdálených sítí, které jsou chráněny systémy detekce a prevence narušení. Žádný IDS/IPS nemůže zastavit nebo minimalizovat útoky hackerů, kteří jsou odhodláni převzít vaši síť. Nesprávná konfigurace umožňuje útočníkům obejít všechna implementovaná opatření zabezpečení sítě.
V tomto článku vysvětlím, jak mohou bezpečnostní inženýři nebo správci systému těmto útokům zabránit.
Další zdroje pro Linux
- Cheat pro příkazy Linuxu
- Cheat sheet pro pokročilé příkazy systému Linux
- Bezplatný online kurz:Technický přehled RHEL
- Síťový cheat pro Linux
- Cheat sheet SELinux
- Cheat pro běžné příkazy pro Linux
- Co jsou kontejnery systému Linux?
- Naše nejnovější články o Linuxu
Téměř všechny distribuce Linuxu mají vestavěný firewall pro zabezpečení procesů a aplikací běžících na hostiteli Linuxu. Většina firewallů je navržena jako řešení IDS/IPS, jejichž primárním účelem je detekovat škodlivé pakety a zabránit jim v přístupu k síti.
Linuxový firewall obvykle přichází se dvěma rozhraními:iptables a ipchains. Většina lidí tato rozhraní označuje jako „iptables firewall“ nebo „ipchains firewall“. Obě rozhraní jsou navržena jako paketové filtry. Iptables funguje jako stavový firewall a rozhoduje na základě předchozích paketů. Ipchains se nerozhoduje na základě předchozích paketů; proto je navržen jako bezstavový firewall.
V tomto článku se zaměříme na firewall iptables, který je dodáván s jádrem verze 2.4 a novější.
S firewallem iptables můžete vytvářet zásady nebo uspořádané sady pravidel, které sdělují jádru, jak má zacházet s konkrétními třídami paketů. Uvnitř jádra je framework Netfilter. Netfilter je rámec i název projektu pro firewall iptables. Jako framework umožňuje Netfilter iptables zavěšovat funkce určené k provádění operací s pakety. Stručně řečeno, iptables spoléhá na rámec Netfilter při vytváření funkcí brány firewall, jako je filtrování dat paketů.
Každé pravidlo iptables je aplikováno na řetězec v tabulce. řetězec iptables je kolekce pravidel, která se porovnávají s pakety s podobnými vlastnostmi, zatímco tabulka (jako je nat nebo mangle) popisuje různé kategorie funkcí. Například mandlová tabulka mění data paketů. Proto jsou na ni aplikována specializovaná pravidla, která mění data paketů, a pravidla filtrování jsou aplikována na tabulku filtrů, protože tabulka filtrů filtruje data paketů.
Pravidla iptables obsahují sadu shod spolu s cílem, jako je Drop
nebo Deny
, který instruuje iptables, co dělat s paketem, který odpovídá pravidlu. Bez cíle a sady shod tedy iptables nemohou efektivně zpracovávat pakety. Cíl jednoduše odkazuje na konkrétní akci, která má být provedena, pokud paket odpovídá pravidlu. Na druhou stranu shody musí splňovat každý paket, aby je iptables zpracovaly.
Nyní, když rozumíme tomu, jak iptables firewall funguje, pojďme se podívat na to, jak používat iptables firewall k detekci a odmítnutí nebo zrušení falešných adres.
Zapnutí ověřování zdrojové adresy
Prvním krokem, který jako bezpečnostní inženýr dělám, když se zabývám falešnými adresami ze vzdálených hostitelů, je zapnutí ověřování zdrojové adresy v jádře.
Ověření zdrojové adresy je funkce na úrovni jádra, která zahazuje pakety, které předstírají, že přicházejí z vaší sítě. Používá metodu filtru zpětné cesty ke kontrole, zda je zdroj přijatého paketu dosažitelný přes rozhraní, ve kterém přišel.
Chcete-li zapnout ověřování zdrojové adresy, použijte jednoduchý skript shellu níže, místo ručního provádění:
#!/bin/sh
#author’s name: Michael K Aboagye
#purpose of program: to enable reverse path filtering
#date: 7/02/18
#displays “enabling source address verification” on the screen
echo -n "Enabling source address verification…"
#Overwrites the value 0 to 1 to enable source address verification
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
echo "completed"
Předchozí skript po spuštění zobrazí zprávu Enabling source address verification
bez připojení nového řádku. Výchozí hodnota filtru zpětné cesty je 0,0, což znamená, že není ověřeno žádné ověření zdroje. Druhý řádek tedy jednoduše přepíše výchozí hodnotu 0 až 1. 1 znamená, že jádro ověří zdroj potvrzením obrácené cesty.
Nakonec můžete použít následující příkaz k odstranění nebo odmítnutí falešných adres ze vzdálených hostitelů výběrem jednoho z těchto cílů:DROP
nebo REJECT
. Doporučuji však použít DROP
z bezpečnostních důvodů.
Nahraďte zástupný symbol „IP-adresa“ svou vlastní IP adresou, jak je znázorněno níže. Musíte se také rozhodnout použít buď REJECT
nebo DROP
; tyto dva cíle spolu nefungují.
iptables -A INPUT -i internal_interface -s IP_address -j REJECT / DROP
iptables -A INPUT -i internal_interface -s 192.168.0.0/16 -j REJECT/ DROP
Tento článek poskytuje pouze základní informace o tom, jak zabránit útokům spoofingu ze vzdálených hostitelů pomocí brány firewall iptables.