So schützen Sie Ihren Computer vor Angriffen

Sehr gut für alle, bevor ich in die Härtung Ihres Teams eintrete, möchte ich Ihnen sagen, dass sich das Installationsprogramm, das ich für Gentoo entwickle, bereits in der Pre-Alpha-Phase befindet. Dies bedeutet, dass der Prototyp robust genug ist, um von anderen getestet zu werden Benutzer, aber gleichzeitig ist es noch ein langer Weg, und das Feedback aus diesen Phasen (Pre-Alpha, Alpha, Beta) wird dazu beitragen, wichtige Merkmale des Prozesses zu definieren. 🙂 Für Interessierte…

https://github.com/ChrisADR/installer

. Ich habe immer noch die Nur-Englisch-Version, aber hoffentlich hat sie für die Beta bereits eine spanische Übersetzung (ich lerne dies aus Laufzeitübersetzungen in Python, es gibt also noch viel zu entdecken).

Härten

Wenn wir darüber reden HärtenWir beziehen uns auf eine Vielzahl von Aktionen oder Verfahren, die den Zugriff auf ein Computersystem oder ein Netzwerk von Systemen behindern. Genau deshalb ist es ein riesiges Thema voller Nuancen und Details. In diesem Artikel werde ich einige der wichtigsten oder empfohlenen Dinge auflisten, die beim Schutz eines Systems berücksichtigt werden müssen. Ich werde versuchen, vom kritischsten zum am wenigsten kritischen zu wechseln, ohne jedoch seit jedem dieser Punkte viel auf das Thema einzugehen es wäre Gegenstand eines eigenen Artikels.

Physischer Zugang

Dies ist zweifellos das erste und wichtigste Problem für Teams, da der Angreifer, wenn er einen einfachen physischen Zugang zum Team hat, bereits als verlorenes Team gezählt werden kann. Dies gilt sowohl für große Rechenzentren als auch für Laptops innerhalb eines Unternehmens. Eine der wichtigsten Schutzmaßnahmen für dieses Problem sind die Schlüssel auf BIOS-Ebene. Für alle, für die dies neu klingt, ist es möglich, einen Schlüssel für den physischen Zugriff auf das BIOS zu vergeben, wenn jemand die Parameter von ändern möchte Melden Sie sich an und starten Sie den Computer von einem Live-System aus. Es wird keine leichte Aufgabe sein.

Nun, das ist etwas Grundlegendes und es funktioniert auf jeden Fall, wenn es wirklich erforderlich ist. Ich war in mehreren Unternehmen, in denen dies keine Rolle spielt, weil sie glauben, dass der "Wachmann" an der Tür mehr als genug ist, um den physischen Zugang zu verhindern . Aber kommen wir zu einem etwas fortgeschritteneren Punkt.

LUKS

Angenommen, ein "Angreifer" hat bereits physischen Zugriff auf den Computer erhalten. Der nächste Schritt besteht darin, jede vorhandene Festplatte und Partition zu verschlüsseln. LUKS (Linux Unified Key-Setup) Es handelt sich unter anderem um eine Verschlüsselungsspezifikation. Mit LUKS kann eine Partition mit einem Schlüssel verschlüsselt werden. Auf diese Weise kann die Partition beim Systemstart, wenn der Schlüssel nicht bekannt ist, nicht bereitgestellt oder gelesen werden.

Paranoia

Sicherlich gibt es Leute, die ein "maximales" Sicherheitsniveau benötigen, und dies führt dazu, dass selbst der kleinste Aspekt des Systems geschützt wird. Nun, dieser Aspekt erreicht seinen Höhepunkt im Kernel. Der Linux-Kernel ist die Art und Weise, wie Ihre Software mit der Hardware interagiert. Wenn Sie verhindern, dass Ihre Software die Hardware "sieht", kann dies die Ausrüstung nicht beschädigen. Zum Beispiel wissen wir alle, wie "gefährlich" USB mit Viren ist, wenn wir über Windows sprechen, denn USB kann unter Linux sicherlich Code enthalten, der für ein System schädlich sein kann oder nicht, wenn der Kernel nur den Typ erkennt Von USB (Firmware), die wir wollen, würde jeder andere USB-Typ von unserem Team einfach ignoriert werden, was sicherlich etwas extrem ist, aber es könnte je nach den Umständen funktionieren.

Dienstleistungen

Wenn wir über Dienste sprechen, fällt uns als erstes das Wort "Überwachung" ein, und dies ist sehr wichtig, da eines der ersten Dinge, die ein Angreifer beim Betreten eines Systems tut, darin besteht, die Verbindung aufrechtzuerhalten. Die regelmäßige Analyse eingehender und insbesondere ausgehender Verbindungen ist in einem System sehr wichtig.

Iptables

Jetzt haben wir alle von iptables gehört. Es ist ein Tool, mit dem Sie Dateneingabe- und -ausgangsregeln auf Kernelebene generieren können. Dies ist sicherlich nützlich, aber es ist auch ein zweischneidiges Schwert. Viele Menschen glauben, dass sie durch die "Firewall" frei von jeglichem Ein- oder Ausstieg aus dem System sind, aber nichts ist weiter von der Wahrheit entfernt. Dies kann in vielen Fällen nur als Placebo-Effekt dienen. Es ist bekannt, dass Firewalls auf der Grundlage von Regeln funktionieren, und diese können sicherlich umgangen oder ausgetrickst werden, um den Transport von Daten durch Ports und Dienste zu ermöglichen, für die die Regeln dies als "zulässig" betrachten würden. Dies ist nur eine Frage der Kreativität

Stabilität gegen Rolling Release

Nun, dies ist an vielen Orten oder in vielen Situationen ein ziemlich umstrittener Punkt, aber lassen Sie mich meinen Standpunkt erläutern. Als Mitglied eines Sicherheitsteams, das viele Probleme im stabilen Zweig unserer Distribution überwacht, sind mir viele, fast alle Schwachstellen auf den Gentoo-Computern unserer Benutzer bekannt. Jetzt durchlaufen Distributionen wie Debian, RedHat, SUSE, Ubuntu und viele andere dasselbe, und ihre Reaktionszeiten können abhängig von vielen Umständen variieren.

Gehen wir zu einem klaren Beispiel, sicherlich hat jeder von Meltdown, Spectre und einer ganzen Reihe von Nachrichten gehört, die heutzutage im Internet herumgeflogen sind. Nun, der "rollend-release" -Zweig des Kernels ist bereits gepatcht, das Problem liegt Wenn Sie diese Korrekturen auf ältere Kernel übertragen, ist Backporting sicherlich eine harte und schwierige Arbeit. Danach müssen sie noch von den Entwicklern der Distribution getestet werden. Sobald der Test abgeschlossen ist, steht er nur normalen Benutzern zur Verfügung. Was möchte ich damit bekommen? Weil das Rolling-Release-Modell erfordert, dass wir mehr über das System und Möglichkeiten zur Rettung wissen, wenn etwas ausfällt, aber das ist gut, weil die Aufrechterhaltung der absoluten Passivität im System sowohl für den Administrator als auch für die Benutzer mehrere negative Auswirkungen hat.

Kennen Sie Ihre Software

Dies ist eine sehr wertvolle Ergänzung bei der Verwaltung. So einfach wie das Abonnieren der Nachrichten der von Ihnen verwendeten Software können Sie die Sicherheitshinweise im Voraus kennen. Auf diese Weise können Sie einen Reaktionsplan erstellen und gleichzeitig sehen, wie viel Es braucht Zeit für jede Distribution, um die Probleme zu lösen. Es ist immer besser, in diesen Problemen proaktiv zu sein, da mehr als 70% der Angriffe auf Unternehmen von veralteter Software ausgeführt werden.

Reflexion

Wenn von Härten die Rede ist, wird oft angenommen, dass ein "geschütztes" Team gegen alles bewiesen ist und nichts falscher ist. Wie die wörtliche Übersetzung zeigt, Härten impliziert, Dinge schwieriger zu machen, NICHT unmöglich ... aber oft denken viele Leute, dass dies dunkle Magie und viele Tricks wie Honeypots beinhaltet ... dies ist eine zusätzliche, aber wenn Sie nicht die grundlegendsten Dinge wie das Aktualisieren einer Software oder Sprache tun können Programmierung ... Es ist nicht erforderlich, Phantomnetzwerke und Teams mit Gegenmaßnahmen zu erstellen ... Ich sage dies, weil ich mehrere Unternehmen gesehen habe, die nach Versionen von PHP 4 bis 5 fragen (offensichtlich eingestellt) ... Dinge, von denen heute bekannt ist, dass sie Hunderte, wenn nicht Tausende von Fehlern aufweisen Sicherheit, aber wenn das Unternehmen nicht mit der Technologie Schritt halten kann, ist es nutzlos, wenn es den Rest erledigt.

Wenn wir alle freie oder offene Software verwenden, ist die Reaktionszeit für Sicherheitslücken normalerweise recht kurz. Das Problem tritt auf, wenn wir uns mit proprietärer Software befassen, aber ich überlasse dies einem anderen Artikel, den ich hoffentlich bald schreiben werde.

Vielen Dank, dass Sie hierher gekommen sind 🙂 Grüße