Sådan kontrolleres netværksydelse, sikkerhed og fejlfinding i Linux - Del 12


En lydanalyse af et computernetværk begynder med at forstå, hvad der er de tilgængelige værktøjer til at udføre opgaven, hvordan man vælger de (n) rigtige (r) til hvert trin på vejen, og sidst men ikke mindst, hvor man skal begynde.

Dette er den sidste del af LFCE ( Linux Foundation Certified Engineer ) -serien, her vil vi gennemgå nogle kendte værktøjer til at undersøge ydeevnen og øge sikkerheden i et netværk , og hvad man skal gøre, når tingene ikke går som forventet.

Bemærk, at denne liste ikke foregiver at være omfattende, så du er velkommen til at kommentere dette indlæg ved hjælp af formularen nederst, hvis du gerne vil tilføje et andet nyttigt værktøj, som vi måske mangler.

En af de første ting, som en systemadministrator har brug for at vide om hvert system, er, hvilke tjenester der kører, og hvorfor. Med disse oplysninger i hånden er det en klog beslutning at deaktivere alle dem, der ikke er strengt nødvendige, og undgå at hoste for mange servere i den samme fysiske maskine.

For eksempel skal du deaktivere din FTP server, hvis dit netværk ikke kræver en (der er forresten mere sikre metoder til at dele filer over et netværk). Derudover bør du undgå at have en webserver og en databaseserver i det samme system. Hvis en komponent bliver kompromitteret, risikerer resten også at blive kompromitteret.

ss bruges til at dumpe sokkelstatistikker og viser oplysninger svarende til netstat, selvom det kan vise mere TCP- og tilstandsinformation end andre værktøjer. Derudover er den angivet i man netstat som erstatning for netstat, som er forældet.

I denne artikel vil vi dog kun fokusere på information relateret til netværkssikkerhed.

Alle tjenester, der kører på deres standardporte (dvs. http på 80, mysql på 3306) er angivet med deres respektive navne. Andre (skjult her af hensyn til privatlivets fred) vises i deres numeriske form.

# ss -t -a

Den første kolonne viser tilstanden TCP , mens den anden og tredje kolonne viser mængden af data, der i øjeblikket står i kø til modtagelse og transmission. Den fjerde og femte kolonne viser kilde- og destinationsstikkene for hver forbindelse.
På en sidebemærkning vil du muligvis kontrollere RFC 793 for at opdatere din hukommelse om mulige TCP-tilstande, fordi du også skal kontrollere antallet og tilstanden af åbne TCP-forbindelser for at blive opmærksom på (D) DoS-angreb.

# ss -t -o

I ovenstående output kan du se, at der er 2 etablerede SSH-forbindelser. Hvis du bemærker værdien af det andet felt i timer :, vil du bemærke en værdi på 36 minutter i den første forbindelse. Det er den tid, indtil den næste keepalive probe sendes.

Da det er en forbindelse, der holdes i live, kan du med sikkerhed antage, at det er en inaktiv forbindelse og dermed kan dræbe processen efter at have fundet ud af dens PID .

Med hensyn til den anden forbindelse kan du se, at den i øjeblikket bruges (som angivet af on).

Antag, at du vil filtrere TCP-forbindelser efter stikdåse. Fra serverens synspunkt skal du kontrollere forbindelser, hvor kildeporten er 80.

# ss -tn sport = :80

Resulterende i..

Port scanning er en almindelig teknik, der bruges af crackere til at identificere aktive værter og åbne porte på et netværk. Når en sårbarhed er opdaget, udnyttes den for at få adgang til systemet.

En klog syadmin skal kontrollere, hvordan hans eller hendes systemer ses af udenforstående, og sørge for, at intet overlades til tilfældighederne ved at kontrollere dem ofte. Det kaldes " defensiv port scanning ".

Du kan bruge følgende kommando til at scanne, hvilke porte der er åbne på dit system eller i en ekstern vært:

# nmap -A -sS [IP address or hostname]

Ovenstående kommando scanner værten for OS og version detektion, portoplysninger og traceroute ( -A ). Endelig sender -sS en TCP SYN scanning, hvilket forhindrer nmap for at fuldføre 3-vejs TCP-håndtrykket og efterlader således typisk ingen logfiler på målmaskinen.

Inden du fortsætter med det næste eksempel, skal du huske på, at havnescanning ikke er en ulovlig aktivitet. Hvad der er ulovligt bruger resultaterne til et ondsindet formål.

For eksempel returnerer output fra ovenstående kommando mod hovedserveren på et lokalt universitet følgende (kun en del af resultatet vises for kortfattethed):

Som du kan se, opdagede vi flere uregelmæssigheder, som vi burde gøre godt ved at rapportere til systemadministratorerne på dette lokale universitet.

Denne specifikke portscanningsoperation giver al den information, der også kan opnås med andre kommandoer, såsom:

# nmap -p [port] [hostname or address]
# nmap -A [hostname or address]

Du kan også scanne flere porte (rækkevidde) eller undernet som følger:

# nmap -p 21,22,80 192.168.0.0/24 

Bemærk: At ovenstående kommando scanner porte 21, 22 og 80 på alle værter i det netværkssegment.

Du kan tjekke mandsiden for at få yderligere oplysninger om, hvordan du udfører andre typer portscanning. Nmap er faktisk et meget kraftfuldt og alsidigt netværkskortlægningsværktøj, og du skal være meget fortrolig med det for at forsvare de systemer, du er ansvarlig for, mod angreb, der stammer fra en ondsindet havnescanning af udenforstående.