Angreifer finden ausgeklügelte Wege, um selbst in entfernte Netzwerke einzudringen, die durch Intrusion Detection- und Prevention-Systeme geschützt sind. Kein IDS/IPS kann Angriffe von Hackern stoppen oder minimieren, die entschlossen sind, Ihr Netzwerk zu übernehmen. Eine unsachgemäße Konfiguration ermöglicht es Angreifern, alle implementierten Netzwerksicherheitsmaßnahmen zu umgehen.
In diesem Artikel werde ich erklären, wie Sicherheitsingenieure oder Systemadministratoren diese Angriffe verhindern können.
Weitere Linux-Ressourcen
- Spickzettel für Linux-Befehle
- Spickzettel für fortgeschrittene Linux-Befehle
- Kostenloser Online-Kurs:RHEL Technical Overview
- Spickzettel für Linux-Netzwerke
- SELinux-Spickzettel
- Spickzettel für allgemeine Linux-Befehle
- Was sind Linux-Container?
- Unsere neuesten Linux-Artikel
Fast alle Linux-Distributionen verfügen über eine integrierte Firewall, um Prozesse und Anwendungen zu sichern, die auf dem Linux-Host ausgeführt werden. Die meisten Firewalls sind als IDS/IPS-Lösungen konzipiert, deren Hauptzweck darin besteht, schädliche Pakete zu erkennen und zu verhindern, dass sie Zugriff auf ein Netzwerk erhalten.
Eine Linux-Firewall verfügt normalerweise über zwei Schnittstellen:iptables und ipchains. Die meisten Leute bezeichnen diese Schnittstellen als „iptables-Firewall“ oder „ipchains-Firewall“. Beide Schnittstellen sind als Paketfilter ausgelegt. Iptables fungiert als Stateful-Firewall und trifft Entscheidungen basierend auf früheren Paketen. Ipchains trifft keine Entscheidungen basierend auf früheren Paketen; daher ist es als zustandslose Firewall konzipiert.
In diesem Artikel konzentrieren wir uns auf die iptables-Firewall, die mit Kernel-Version 2.4 und höher geliefert wird.
Mit der iptables-Firewall können Sie Richtlinien oder geordnete Regelsätze erstellen, die dem Kernel mitteilen, wie er bestimmte Paketklassen behandeln soll. Im Kernel befindet sich das Netfilter-Framework. Netfilter ist sowohl ein Framework als auch der Projektname für die iptables-Firewall. Als Framework erlaubt Netfilter iptables, Funktionen einzuhaken, die dazu bestimmt sind, Operationen an Paketen durchzuführen. Kurz gesagt, iptables verlässt sich auf das Netfilter-Framework, um Firewall-Funktionen wie das Filtern von Paketdaten zu erstellen.
Jede iptables-Regel wird auf eine Kette innerhalb einer Tabelle angewendet. Eine iptables-Kette ist eine Sammlung von Regeln, die mit Paketen mit ähnlichen Eigenschaften verglichen werden, während eine Tabelle (wie nat oder mangle) verschiedene Kategorien von Funktionalität beschreibt. Beispielsweise verändert eine Mangeltabelle Paketdaten. Daher werden darauf spezialisierte Regeln angewendet, die Paketdaten ändern, und Filterregeln werden auf die Filtertabelle angewendet, da die Filtertabelle Paketdaten filtert.
Iptables-Regeln haben eine Reihe von Übereinstimmungen zusammen mit einem Ziel, wie z. B. Drop oder Deny , die iptables anweist, was mit einem Paket zu tun ist, das der Regel entspricht. Daher kann iptables ohne ein Ziel und eine Reihe von Übereinstimmungen Pakete nicht effektiv verarbeiten. Ein Ziel bezieht sich einfach auf eine bestimmte Aktion, die auszuführen ist, wenn ein Paket mit einer Regel übereinstimmt. Übereinstimmungen hingegen müssen von jedem Paket erfüllt werden, damit iptables sie verarbeiten kann.
Nachdem wir nun verstanden haben, wie die iptables-Firewall funktioniert, schauen wir uns an, wie man mit der iptables-Firewall gefälschte Adressen erkennt und zurückweist oder verwirft.
Überprüfung der Quelladresse aktivieren
Der erste Schritt, den ich als Sicherheitsingenieur unternehme, wenn ich mit gefälschten Adressen von entfernten Hosts zu tun habe, besteht darin, die Überprüfung der Quelladresse im Kernel einzuschalten.
Die Überprüfung der Quelladresse ist eine Funktion auf Kernel-Ebene, die Pakete verwirft, die vorgeben, aus Ihrem Netzwerk zu stammen. Es verwendet die Reverse-Path-Filter-Methode, um zu prüfen, ob die Quelle des empfangenen Pakets über die Schnittstelle erreichbar ist, über die es gekommen ist.
Um die Überprüfung der Quelladresse zu aktivieren, verwenden Sie das einfache Shell-Skript unten, anstatt es manuell zu tun:
#!/bin/sh
#author’s name: Michael K Aboagye
#purpose of program: to enable reverse path filtering
#date: 7/02/18
#displays “enabling source address verification” on the screen
echo -n "Enabling source address verification…"
#Overwrites the value 0 to 1 to enable source address verification
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
echo "completed"
Das vorhergehende Skript zeigt bei Ausführung die Meldung Enabling source address verification an ohne eine neue Zeile anzuhängen. Der Standardwert des Rückwärtspfadfilters ist 0,0, was bedeutet, dass keine Quellvalidierung erfolgt. Daher überschreibt die zweite Zeile einfach den Standardwert 0 mit 1. 1 bedeutet, dass der Kernel die Quelle validiert, indem er den umgekehrten Pfad bestätigt.
Schließlich können Sie den folgenden Befehl verwenden, um gefälschte Adressen von entfernten Hosts zu löschen oder abzulehnen, indem Sie eines dieser Ziele auswählen:DROP oder REJECT . Ich empfehle jedoch die Verwendung von DROP aus Sicherheitsgründen.
Ersetzen Sie den Platzhalter „IP-Adresse“ durch Ihre eigene IP-Adresse, wie unten gezeigt. Außerdem müssen Sie entweder REJECT verwenden oder DROP; die beiden Ziele funktionieren nicht zusammen.
iptables -A INPUT -i internal_interface -s IP_address -j REJECT / DROP
iptables -A INPUT -i internal_interface -s 192.168.0.0/16 -j REJECT/ DROP
Dieser Artikel enthält nur die Grundlagen zum Verhindern von Spoofing-Angriffen von entfernten Hosts mithilfe der iptables-Firewall.