LFCA: Jinsi ya Kuboresha Usalama wa Mtandao wa Linux - Sehemu ya 19


Katika ulimwengu unaounganishwa kila mara, usalama wa mtandao unazidi kuwa mojawapo ya maeneo ambayo mashirika huwekeza muda mwingi na rasilimali. Hii ni kwa sababu mtandao wa kampuni ndio uti wa mgongo wa miundombinu yoyote ya IT na huunganisha seva zote na vifaa vya mtandao. Ikiwa mtandao umekiukwa, shirika litakuwa chini ya huruma ya wadukuzi. Data muhimu inaweza kuchujwa na huduma zinazozingatia biashara na programu zinaweza kupunguzwa.

Usalama wa mtandao ni mada kubwa sana na kwa kawaida huchukua mkabala wa pande mbili. Wasimamizi wa mtandao kwa kawaida watasakinisha vifaa vya usalama vya mtandao kama vile Ngome, IDS (Mifumo ya Kugundua Uvamizi) na IPS (Mifumo ya Kuzuia Kuingilia) kama njia ya kwanza ya ulinzi. Ingawa hii inaweza kutoa safu nzuri ya usalama, baadhi ya hatua za ziada zinahitajika kuchukuliwa katika kiwango cha OS ili kuzuia ukiukaji wowote.

Katika hatua hii, unapaswa kuwa tayari kufahamu dhana za mitandao kama vile anwani ya IP na huduma ya TCP/IP na itifaki. Unapaswa pia kuwa na kasi ya dhana za msingi za usalama kama vile kuweka nenosiri dhabiti na kusanidi ngome.

Kabla hatujashughulikia hatua mbalimbali ili kuhakikisha usalama wa mfumo wako, hebu kwanza tupate muhtasari wa baadhi ya matishio ya kawaida ya mtandao.

Mashambulizi ya Mtandao ni nini?

Mtandao wa biashara kubwa na changamano unaweza kutegemea ncha nyingi zilizounganishwa ili kusaidia shughuli za biashara. Ingawa hii inaweza kutoa muunganisho unaohitajika ili kurahisisha utendakazi, inaleta changamoto ya usalama. Unyumbulifu zaidi hutafsiri kuwa mazingira ya tishio pana ambayo mvamizi anaweza kujiinua ili kuzindua mashambulizi ya mtandao.

Kwa hivyo, shambulio la mtandao ni nini?

Mashambulizi ya mtandao ni ufikiaji usioidhinishwa wa mtandao wa shirika kwa madhumuni pekee ya kufikia na kuiba data na kutekeleza shughuli zingine chafu kama vile kuharibu tovuti na kupotosha programu.

Kuna makundi mawili makubwa ya mashambulizi ya mtandao.

  • Mashambulizi ya Passive: Katika shambulio la kawaida, mdukuzi hupata ufikiaji usioidhinishwa wa kupeleleza na kuiba data pekee bila kuirekebisha au kuipotosha.
  • Shambulio Linaloendelea: Hapa, mshambulizi hujipenyeza tu kwenye mtandao ili kuiba data lakini pia hurekebisha, kufuta, kupotosha au kusimba data kwa njia fiche na kuponda programu na kuangusha huduma zinazoendeshwa. Ni kweli kwamba hili ndilo shambulio baya zaidi kati ya yale mawili.

Aina za Mashambulizi ya Mtandao

Hebu tuchunguze baadhi ya mashambulizi ya kawaida ya mtandao ambayo yanaweza kuathiri mfumo wako wa Linux:

Kuendesha matoleo ya zamani na ya zamani ya programu kunaweza kuhatarisha mfumo wako kwa urahisi, na hii ni kwa sababu ya udhaifu uliopo na milango ya nyuma inayojificha ndani yake. Katika mada iliyotangulia kuhusu usalama wa data, tuliona jinsi uwezekano wa kuathiriwa kwenye tovuti ya malalamiko ya wateja wa Equifax ulivyotumiwa na wadukuzi na kusababisha mojawapo ya ukiukaji wa data mbaya zaidi.

Ni kwa sababu hii kwamba inashauriwa kila wakati kutumia viraka vya programu kwa kuboresha programu zako za programu hadi matoleo ya hivi karibuni.

Mwanamume katika shambulio la kati, ambalo kwa kawaida hufupishwa kama MITM, ni shambulio ambapo mvamizi huingilia mawasiliano kati ya mtumiaji na programu au sehemu ya mwisho. Kwa kujiweka kati ya mtumiaji halali na programu, mvamizi anaweza kuondoa usimbaji fiche na kusikiliza mawasiliano yanayotumwa na kutoka. Hii inamruhusu kupata maelezo ya siri kama vile vitambulisho vya kuingia, na taarifa nyingine zinazoweza kumtambulisha mtu binafsi.

Huenda shabaha za mashambulizi kama haya ni pamoja na tovuti za eCommerce, biashara za SaaS, na matumizi ya fedha. Ili kuzindua mashambulizi kama hayo, wavamizi hutumia zana za kunusa za pakiti zinazonasa pakiti kutoka kwa vifaa visivyotumia waya. Kisha mdukuzi huendelea kuingiza msimbo hasidi kwenye pakiti zinazobadilishwa.

Programu hasidi ni jalada la Programu hasidi na inajumuisha anuwai ya programu hasidi kama vile virusi, trojans, spyware na ransomware kutaja chache. Mara tu ikiwa ndani ya mtandao, programu hasidi hueneza kwenye vifaa na seva mbalimbali.

Kulingana na aina ya programu hasidi, matokeo yanaweza kuwa mabaya sana. Virusi na programu za udadisi zina uwezo wa kupeleleza, kuiba na kuchuja data ya siri sana, kufisidi au kufuta faili, kupunguza kasi ya mtandao na hata kuteka nyara programu. Ransomware husimba kwa njia fiche faili ambazo haziwezi kufikiwa isipokuwa kama mwathiriwa atashiriki kiasi kikubwa kama fidia.

Shambulio la DDoS ni shambulio ambapo mtumiaji hasidi hufanya mfumo unaolengwa usifikike, na kwa kufanya hivyo huzuia watumiaji kufikia huduma na programu muhimu. Mshambulizi hutimiza hili kwa kutumia botneti kujaza mfumo lengwa na idadi kubwa ya pakiti za SYN ambazo hatimaye kuufanya kutoweza kufikiwa kwa muda fulani. Mashambulizi ya DDoS yanaweza kuleta hifadhidata pamoja na tovuti.

Wafanyikazi wasioridhika na ufikiaji wa bahati wanaweza kuhatarisha mifumo kwa urahisi. Mashambulizi kama haya kwa kawaida ni magumu kugundua na kuyalinda kwani wafanyikazi hawahitaji kujipenyeza kwenye mtandao. Zaidi ya hayo, baadhi ya wafanyakazi wanaweza kuambukiza mtandao programu hasidi bila kukusudia wanapochomeka vifaa vya USB vyenye programu hasidi.

Kupunguza Mashambulizi ya Mtandao

Hebu tuangalie hatua chache unazoweza kuchukua ili kuweka kizuizi ambacho kitatoa kiwango kikubwa cha usalama ili kupunguza mashambulizi ya mtandao.

Katika kiwango cha Mfumo wa Uendeshaji, kusasisha vifurushi vya programu yako kutarekebisha udhaifu wowote uliopo ambao unaweza kuweka mfumo wako katika hatari ya utumizi uliozinduliwa na wadukuzi.

Kando na ngome za mtandao ambazo kwa kawaida hutoa njia ya kwanza ya ulinzi dhidi ya uvamizi, unaweza pia kutekeleza ngome inayotegemea mpangishi kama vile ngome za UFW. Hizi ni programu rahisi lakini zenye ufanisi za ngome ambazo hutoa safu ya ziada ya usalama kwa kuchuja trafiki ya mtandao kulingana na seti ya sheria.

Ikiwa una huduma zinazoendesha ambazo hazitumiki kikamilifu, zizima. Hii husaidia kupunguza eneo la mashambulizi na kumwacha mvamizi na chaguo chache za kujiinua na kutafuta mianya.

Katika mstari huo huo, unatumia zana ya kuchanganua mtandao kama vile Nmap ili kuchanganua na kuchunguza milango yoyote iliyo wazi. Ikiwa kuna bandari zisizo za lazima ambazo zimefunguliwa, fikiria kuzizuia kwenye ngome.

Vipeperushi vya TCP ni ACL zenye makao yake makuu ( Orodha za Udhibiti wa Ufikiaji ) ambazo huzuia ufikiaji wa huduma za mtandao kulingana na seti ya sheria kama vile anwani za IP. Vipeperushi vya TCP vinarejelea faili zifuatazo za seva pangishi ili kubaini ni wapi mteja atapewa au kunyimwa ufikiaji wa huduma ya mtandao.

  • /etc/hosts.allow
  • /etc/hosts.deny

Mambo machache ya kuzingatia:

  1. Sheria husomwa kutoka juu hadi chini. Sheria ya kwanza ya kulinganisha kwa huduma fulani ilitumika kwanza. Kumbuka kwamba agizo ni muhimu sana.
  2. Sheria katika faili ya /etc/hosts.allow inatumika kwanza na kuchukua kipaumbele juu ya sheria iliyofafanuliwa katika faili ya /etc/hosts.deny. Hii ina maana kwamba ikiwa ufikiaji wa huduma ya mtandao unaruhusiwa katika faili /etc/hosts.allow, kunyima ufikiaji wa huduma sawa katika faili ya /etc/hosts.deny kutapuuzwa au kupuuzwa.
  3. Kama sheria za huduma hazipo katika mojawapo ya faili za seva pangishi, ufikiaji wa huduma unatolewa kwa chaguomsingi.
  4. Mabadiliko yaliyofanywa kwa faili mbili za seva pangishi hutekelezwa mara moja bila kuanzisha upya huduma.

Katika mada zetu zilizopita, tumeangalia matumizi ya VPN ili kuanzisha ufikiaji wa mbali kwa seva ya Linux haswa kupitia mtandao wa umma. VPN husimba kwa njia fiche data yote inayobadilishwa kati ya seva na seva pangishi za mbali na hii huondoa uwezekano wa mawasiliano kufichwa.

Kufuatilia miundombinu yako kwa zana kama vile fail2ban ili kulinda seva yako dhidi ya mashambulizi ya bruteforce.

[ Unaweza pia kupenda: 16 Zana Muhimu za Kufuatilia Bandwidth Kuchanganua Matumizi ya Mtandao katika Linux ]

Linux inazidi kuwa shabaha ya wadukuzi kutokana na kuongezeka kwa umaarufu na matumizi yake. Kwa hivyo, ni busara kusakinisha zana za usalama za kuchanganua mfumo kwa rootkits, virusi, trojans, na aina yoyote ya programu hasidi.

Kuna suluhu maarufu za opensource kama vile chkrootkit kuangalia dalili zozote za rootkits kwenye mfumo wako.

Zingatia kugawa mtandao wako katika VLAN ( Mitandao ya Maeneo ya Ndani ya Mtandaoni ). Hii inafanywa kwa kuunda subnets kwenye mtandao huo ambao hufanya kama mitandao ya kujitegemea. Kuweka mtandao wako katika sehemu kunasaidia sana kupunguza athari za ukiukaji katika eneo moja na hufanya iwe vigumu zaidi kwa wadukuzi kufikia mitandao mingine midogo.

Ikiwa una vipanga njia visivyotumia waya au sehemu za ufikiaji katika mtandao wako, hakikisha kuwa vinatumia teknolojia ya hivi punde ya usimbaji ili kupunguza hatari za mashambulizi ya mtu katikati.

Usalama wa mtandao ni mada kubwa ambayo inajumuisha kuchukua hatua kwenye sehemu ya maunzi ya mtandao na pia kutekeleza sera za msingi kwenye mfumo wa uendeshaji ili kuongeza safu ya ulinzi dhidi ya uvamizi. Hatua zilizoainishwa zitasaidia sana katika kuboresha usalama wa mfumo wako dhidi ya vekta za mashambulizi ya mtandao.