Wéi Audit Network Performance, Sécherheet, an Troubleshooting am Linux - Deel 12
Eng gutt Analyse vun engem Computernetz fänkt un andeems Dir versteet wat déi verfügbar Tools sinn fir d'Aufgab auszeféieren, wéi Dir déi richteg (en) fir all Schrëtt auswielen, a lescht awer net zulescht, wou ufänken.
Dëst ass de leschten Deel vun der LFCE (Linux Foundation Certified Engineer) Serie, hei wäerte mir e puer bekannt Tools iwwerpréiwen fir d'Performance z'ënnersichen an d'Sécherheet vun engem Netzwierk ze erhéijen , a wat ze maachen wann d'Saachen net wéi erwaart ginn.
Notéiert w.e.g. datt dës Lëscht net als ëmfaassend ass, also fillt Iech gratis op dëse Post ze kommentéieren andeems Dir de Formulaire ënnen benotzt wann Dir en anert nëtzlecht Utility derbäi wëllt, dat mir fehlen.
Eng vun den éischte Saachen, déi e Systemadministrator iwwer all System wësse muss, ass wéi eng Servicer lafen a firwat. Mat dëser Informatioun an der Hand ass et eng schlau Entscheedung all déi net strikt néideg ze deaktivéieren an ze vermeiden ze vill Serveren an der selwechter kierperlecher Maschinn ze hosten.
Zum Beispill musst Dir Ären FTP Server auszeschalten wann Ären Netz net een erfuerdert (et gi méi sécher Methoden fir Dateien iwwer en Netz ze deelen, iwwregens). Zousätzlech sollt Dir e Webserver an en Datebankserver am selwechte System vermeiden. Wann ee Komponent kompromittéiert gëtt, riskéiere de Rescht och kompromittéiert ze ginn.
ss gëtt benotzt fir Socket-Statistiken ze dumpen a weist Informatioun ähnlech wéi Netstat, awer et kann méi TCP- a Staatsinformatioun weisen wéi aner Tools. Ausserdeem gëtt et an man netstat als Ersatz fir netstat opgezielt, deen éiweg ass.
Wéi och ëmmer, an dësem Artikel konzentréiere mir eis nëmmen op d'Informatioun am Zesummenhang mat der Netzwierksécherheet.
All Servicer, déi op hiren Default Ports lafen (dh http op 80, mysql op 3306) ginn duerch hir jeweileg Nimm uginn. Anerer (hei aus Privatsphärgrënn verstoppt) ginn an hirer numerescher Form gewisen.
# ss -t -a
Déi éischt Kolonn weist den TCP-Staat, während déi zweet an drëtt Kolonn d'Quantitéit vun den Donnéeën weisen, déi am Moment fir Empfang an Iwwerdroung an der Schlaang steet. Déi véiert a fënnef Kolonnen weisen d'Quell- an Destinatiounssockets vun all Verbindung.
Op enger Säit Notiz, wëllt Dir vläicht RFC 793 iwwerpréiwen fir Är Erënnerung iwwer méiglech TCP Staaten z'erfrëschen, well Dir musst och d'Zuel an den Zoustand vun oppenen TCP Verbindungen iwwerpréiwen fir bewosst ze ginn vun (D)DoS Attacken.
# ss -t -o
Am Output uewendriwwer kënnt Dir gesinn datt et 2 etabléiert SSH Verbindungen sinn. Wann Dir de Wäert vum zweete Feld vun Timer: bemierkt, mierkt Dir e Wäert vun 36 Minutten an der éischter Verbindung. Dat ass d'Zäit bis déi nächst Keepalive Sonde geschéckt gëtt.
Well et eng Verbindung ass déi lieweg gehale gëtt, kënnt Dir sécher unhuelen datt et eng inaktiv Verbindung ass an domat de Prozess ëmbréngen nodeems Dir seng PID erausfonnt hutt.
Wat déi zweet Verbindung ugeet, kënnt Dir gesinn datt se am Moment benotzt gëtt (wéi uginn op).
Ugeholl Dir wëllt TCP Verbindungen duerch Socket filteren. Aus der Siicht vum Server musst Dir no Verbindunge kucken wou de Quellport 80 ass.
# ss -tn sport = :80
Resultéieren an..
Port Scannen ass eng allgemeng Technik déi vu Cracker benotzt gëtt fir aktiv Hosten ze identifizéieren an Ports op engem Netzwierk opzemaachen. Wann eng Schwachstelle entdeckt gëtt, gëtt se exploitéiert fir Zougang zum System ze kréien.
E weise Sysadmin muss iwwerpréiwen wéi seng oder hir Systemer vun Auslänner gesi ginn, a sécherzestellen datt näischt dem Zoufall iwwerlooss gëtt andeems se se dacks iwwerpréift. Dat nennt een \defensiv Port Scannen.
Dir kënnt de folgende Kommando benotze fir ze scannen wéi eng Ports op Ärem System oder an engem Fernhost op sinn:
# nmap -A -sS [IP address or hostname]
Deen uewe genannte Kommando scannt den Host fir OS an Versioun Detektioun, Portinformatioun an Traceroute (-A). Schlussendlech schéckt -sS e TCP SYN Scan, verhënnert datt nmap den 3-Wee TCP Handshake fäerdeg mécht an doduerch typesch keng Logbicher op der Zilmaschinn hannerloosst.
Ier Dir mam nächste Beispill weidergeet, bedenkt w.e.g. datt Portscannen keng illegal Aktivitéit ass. Wat illegal IS benotzt d'Resultater fir e béiswëllegen Zweck.
Zum Beispill gëtt d'Output vum uewe genannte Kommando géint den Haaptserver vun enger lokaler Universitéit déi folgend zréck (nëmmen en Deel vum Resultat gëtt fir Kuerzegkeet gewisen):
Wéi Dir gesitt, hu mir e puer Anomalien entdeckt, déi mir gutt sollte maachen fir d'Systemadministrateuren op dëser lokaler Universitéit ze mellen.
Dës spezifesch Port Scan Operatioun liwwert all d'Informatioun déi och mat anere Kommandoen kritt ka ginn, wéi:
# nmap -p [port] [hostname or address]
# nmap -A [hostname or address]
Dir kënnt och verschidde Ports (Gamme) oder Subnets scannen, wéi follegt:
# nmap -p 21,22,80 192.168.0.0/24
Notiz: Datt de Kommando uewe scannt d'Ports 21, 22 an 80 op all Hosten an deem Netzwierksegment.
Dir kënnt d'Mann Säit kucken fir weider Detailer iwwer wéi een aner Aarte vu Portscannen ausféiert. Nmap ass wierklech e ganz mächtegt a versatile Netzwierk Mapper Utility, an Dir sollt et ganz gutt vertraut sinn fir d'Systemer ze verteidegen fir déi Dir verantwortlech sidd géint Attacke entstinn no engem béiswëllegen Port Scan vun Auslänner.