Zoeken op website

Netwerkprestaties, beveiliging en probleemoplossing in Linux controleren - Deel 12

Een goede analyse van een computernetwerk begint met het begrijpen van de beschikbare hulpmiddelen om de taak uit te voeren, hoe u voor elke stap de juiste kunt kiezen en, maar daarom niet minder belangrijk, waar u moet beginnen.

Dit is het laatste deel van de LFCE (Linux Foundation Certified Engineer) serie, hier zullen we enkele bekende tools bespreken om de prestaties te onderzoeken en de veiligheid van een netwerk te vergroten en wat u moet doen als de zaken niet gaan zoals verwacht.

Introductie van het Linux Foundation-certificeringsprogramma

Houd er rekening mee dat deze lijst niet de pretentie heeft volledig te zijn, dus voel je vrij om op dit bericht te reageren via het formulier onderaan als je nog een nuttig hulpprogramma wilt toevoegen dat we misschien missen.

Welke services zijn actief en waarom?

Een van de eerste dingen die een systeembeheerder over elk systeem moet weten, is welke services worden uitgevoerd en waarom. Met die informatie in de hand is het een verstandige beslissing om al die niet strikt noodzakelijke servers uit te schakelen en te voorkomen dat er te veel servers op dezelfde fysieke machine worden gehost.

U moet bijvoorbeeld uw FTP-server uitschakelen als uw netwerk er geen nodig heeft (er zijn trouwens veiligere methoden om bestanden via een netwerk te delen). Bovendien moet u voorkomen dat u een webserver en een databaseserver in hetzelfde systeem heeft. Als één component in gevaar komt, loopt de rest het risico ook in gevaar te komen.

Socketverbindingen onderzoeken met ss

ss wordt gebruikt om socketstatistieken te dumpen en toont informatie vergelijkbaar met netstat, hoewel het meer TCP- en statusinformatie kan weergeven dan andere tools. Bovendien wordt het vermeld in man netstat als vervanging voor netstat, dat verouderd is.

In dit artikel zullen we ons echter alleen concentreren op de informatie met betrekking tot netwerkbeveiliging.

Voorbeeld 1: ALLE TCP-poorten (sockets) tonen die open zijn op onze server

Alle services die op hun standaardpoorten draaien (d.w.z. http op 80, mysql op 3306) worden aangegeven met hun respectievelijke namen. Anderen (hier vanwege privacyredenen verborgen) worden in hun numerieke vorm weergegeven.

ss -t -a

De eerste kolom toont de TCP-status, terwijl de tweede en derde kolom de hoeveelheid gegevens weergeven die momenteel in de wachtrij staan voor ontvangst en verzending. De vierde en vijfde kolom tonen de bron- en bestemmingssockets van elke verbinding.
Even terzijde: wellicht wilt u RFC 793 raadplegen om uw geheugen op te frissen over mogelijke TCP-statussen, omdat u ook het aantal en de status van open TCP-verbindingen moet controleren om op de hoogte te worden van (D)DoS-aanvallen.

Voorbeeld 2: ALLE actieve TCP-verbindingen met hun timers weergeven
ss -t -o

In de bovenstaande uitvoer kunt u zien dat er twee gevestigde SSH-verbindingen zijn. Als u de waarde van het tweede veld van timer: opmerkt, ziet u bij de eerste verbinding een waarde van 36 minuten. Dat is de hoeveelheid tijd totdat de volgende keepalive-sonde wordt verzonden.

Omdat het een verbinding is die in leven wordt gehouden, kunt u er veilig van uitgaan dat dit een inactieve verbinding is en dus het proces beëindigen nadat u de PID heeft ontdekt.

Wat de tweede verbinding betreft, kunt u zien dat deze momenteel in gebruik is (zoals aangegeven door op).

Voorbeeld 3: Verbindingen filteren op socket

Stel dat u TCP-verbindingen wilt filteren op socket. Vanuit het oogpunt van de server moet u controleren op verbindingen waarbij de bronpoort 80 is.

ss -tn sport = :80

Met als resultaat..

Bescherming tegen poortscannen met NMAP

Poortscannen is een veelgebruikte techniek die door crackers wordt gebruikt om actieve hosts en open poorten op een netwerk te identificeren. Zodra een kwetsbaarheid wordt ontdekt, wordt deze uitgebuit om toegang te krijgen tot het systeem.

Een verstandige systeembeheerder moet controleren hoe zijn of haar systemen door buitenstaanders worden gezien en ervoor zorgen dat niets aan het toeval wordt overgelaten door ze regelmatig te controleren. Dat heet “defensieve poortscan”.

Voorbeeld 4: Informatie over open poorten weergeven

U kunt de volgende opdracht gebruiken om te scannen welke poorten open zijn op uw systeem of op een externe host:

nmap -A -sS [IP address or hostname]

Met de bovenstaande opdracht wordt de host gescand op detectie van OS en versie, poortinformatie en traceroute (-A). Ten slotte verzendt -sS een TCP SYN-scan, waardoor nmap wordt verhinderd de 3-weg TCP-handshake te voltooien en er dus doorgaans geen logbestanden op de doelmachine achterblijven.

Voordat u doorgaat met het volgende voorbeeld, moet u er rekening mee houden dat het scannen van poorten geen illegale activiteit is. Wat illegaal is, is het gebruik van de resultaten voor kwaadaardige doeleinden.

De uitvoer van het bovenstaande commando, uitgevoerd tegen de hoofdserver van een lokale universiteit, retourneert bijvoorbeeld het volgende (omwille van de beknoptheid wordt slechts een deel van het resultaat getoond):

Zoals u kunt zien, hebben we verschillende afwijkingen ontdekt die we goed moeten melden aan de systeembeheerders van deze lokale universiteit.

Deze specifieke poortscanbewerking levert alle informatie op die ook via andere opdrachten kan worden verkregen, zoals:

Voorbeeld 5: Informatie weergeven over een specifieke poort in een lokaal of extern systeem
nmap -p [port] [hostname or address]
Voorbeeld 6: Traceroute tonen naar, en versie van services en besturingssysteemtype, hostnaam achterhalen
nmap -A [hostname or address]
Voorbeeld 7: Meerdere poorten of hosts tegelijkertijd scannen

U kunt ook als volgt meerdere poorten (bereik) of subnetten scannen:

nmap -p 21,22,80 192.168.0.0/24

Opmerking: Het bovenstaande commando scant de poorten 21, 22 en 80 op alle hosts in dat netwerksegment.

U kunt de manpagina raadplegen voor meer informatie over het uitvoeren van andere soorten poortscans. Nmap is inderdaad een zeer krachtig en veelzijdig hulpprogramma voor netwerktoewijzingen, en u moet er zeer goed mee bekend zijn om de systemen waarvoor u verantwoordelijk bent te verdedigen tegen aanvallen die zijn ontstaan na een kwaadaardige poortscan door buitenstaanders.