Jakie środki ostrożności należy podjąć, narażając komputer stacjonarny bezpośrednio na Internet?

30

Zawsze korzystałem z pulpitu Ubuntu za bezpieczeństwem routera z NAT, ale kilka razy musiałem podłączyć go bezpośrednio do aktywnego modemu kablowego.

Zasadniczo, jakie środki ostrożności powinienem podjąć w sytuacjach, gdy mój komputer jest narażony na działanie Internetu w ten sposób przez dłuższy czas? Szczegóły, które od razu przychodzą na myśl, to:

  • Czy są jakieś domyślne usługi sieciowe, które chciałbym wyłączyć?
  • Czy istnieje potrzeba modyfikacji domyślnej konfiguracji zapory?
  • Czy powinienem martwić się usługami wykorzystującymi uwierzytelnianie hasłem?
  • Jakiego rodzaju logowanie mogę zrobić, aby otrzymać powiadomienie o nieautoryzowanym dostępie?

Zdaję sobie sprawę, że takie pytania to tylko wierzchołek góry lodowej ekspansywnych tematów, na których opierają się całe zawody, więc wyjaśnię: szukam kilku prostych rekomendacji najlepszych praktyk lub zmian w konfiguracji, które użytkownik komputera przydałby się w domyślnej instalacji Ubuntu.

networking configuration security ændrük
źródło

Odpowiedzi:

29

Standardowa instalacja ubuntu nie powinna aktywować usług sieciowych dostępnych przez Internet.

Możesz sprawdzić za pośrednictwem (dla TCP):

netstat -lntp

Podobnie jest w przypadku udp, ale udp nie rozróżnia portów otwartych do nasłuchiwania lub wysyłania.

Dlatego konfiguracja iptables nie jest konieczna.

Być może trochę nie na temat, ponieważ poniższe uwagi dotyczą Ciebie (nie ma znaczenia, czy jesteś za routerem):

  • rozważyć wyłączenie flashowania (ponieważ wtyczka flash ma długą historię przezabawnych problemów bezpieczeństwa)
  • rozważ wyłączenie wtyczki Java (jeśli jest włączona) i włączenie jej tylko w przypadku niektórych witryn (w przeszłości nie tyle problemów związanych z bezpieczeństwem, co flash, ale kilka)

I pewnie pewnie o tym wiesz, ale w każdym razie: Zawsze pracuj tak normalnie, jak to możliwe. Nie używaj Firefoxa itp. Jako root ...

Przykładowy wynik netstat -lntp:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

Wpisy 127.0.0.1 są nieszkodliwe, ponieważ programy te nasłuchują tylko w interfejsie sieci lokalnej.

sshd jest przykładem usługi, która nasłuchuje na wszystkich dostępnych interfejsach (0.0.0.0, tj. włączając ten, do którego podłączony jest modem kablowy do Internetu) - ale zazwyczaj masz dobre hasła lub wyłączasz uwierzytelnianie hasła i używasz tylko klucza publicznego.

W każdym razie sshd IIRC nie jest instalowany domyślnie.

Dwa ostatnie interfejsy dotyczą IPv6. :: 1 to adres urządzenia zwrotnego (jak 127.0.0.1 w IPv4), a więc bezpieczny. ::: to wieloznaczna karta sieciowa IPv6 analogowa do 0.0.0.0 (IPv4).

maxschlepzig
źródło
3
Porada na temat netstat -lntp jest naprawdę dobra. Powinno to zapobiec wszelkim wątpliwościom dotyczącym możliwych domyślnych otwartych połączeń.
Ralf
1
Czego można się tam spodziewać w dość normalnym środowisku stacjonarnym?
Chris
1
Uruchamianie przeglądarki internetowej jako root. Migawka.
Tim Lytle,
11

Zapora ogniowa Włącz ufw( sudo ufw enable), a następnie odrzuć wszystko, zezwól tylko na grzbiety, które chcesz odsłonić. ufwużywa iptables. Nie jest gorzej.

ufw może zalogować IIRC.

Powiąż rzeczy z localhost, a nie *.

Oli
źródło
7

Zarówno Oli, jak i maxschlepzig mają naprawdę dobre odpowiedzi.

Zapora ogniowa nie powinna być konieczna dla większości ludzi, ponieważ i tak nie powinieneś uruchamiać rzeczy, które nasłuchują na stacji roboczej. Jednak nigdy nie jest źle, aby uruchomić prostą konfigurację iptables z domyślną odmową wszystkich zasad. Musisz tylko pamiętać o zezwoleniu na połączenia, jeśli zaczniesz robić coś bardziej kreatywnego (SSH jest pierwszym dobrym tego przykładem).

Jednak maxschlepzig porusza również inną ważną kwestię. To nie tylko to, co ludzie próbują ci zrobić, ale także to, co robisz sobie. Niebezpieczne przeglądanie sieci jest prawdopodobnie największym zagrożeniem dla przeciętnego użytkownika komputera stacjonarnego, ponieważ niebezpieczne wiadomości e-mail i korzystanie z „thumbdrive” pozostają w tyle.

Jeśli Firefox jest domyślną przeglądarką, polecam wtyczki takie jak Adblock Plus, FlashBlock, NoScript i BetterPrivacy. Podobne narzędzia istnieją również dla Chrome. Włączam blokowanie reklam jako ochronę, ponieważ widziałem reklamy w legalnych witrynach, które naprawdę były programami ładującymi złośliwe oprogramowanie, dlatego polecam korzystanie z blokowania reklam, chyba że masz powód, aby nie używać konkretnej witryny. NoScript również bardzo pomaga, uniemożliwiając uruchomienie JavaScript, chyba że na to pozwalasz.

W przypadku wiadomości e-mail oczywiste zalecenia, aby nie otwierać nieznanych lub nieoczekiwanych załączonych plików bez kontroli, są nadal dobrą rekomendacją. Zobaczę też, co możesz wyłączyć. Niektórzy klienci umożliwiają wyłączenie JavaScript w przychodzącej wiadomości e-mail HTML lub całkowite wyłączenie części HTML wiadomości. Zwykły tekst może nie być tak ładny, ale o wiele trudniej jest też zakraść się w złośliwym oprogramowaniu.

Don Faulkner
źródło
7

Jesteś bezpieczny ! Czysta instalacja Ubuntu nie zawiera usług sieciowych dostępnych dla innego systemu. Więc nie ma ryzyka.

Niemniej jednak podczas korzystania z Ubuntu możesz zainstalować aplikację, która będzie oferować usługi dla innego systemu w sieci: np. Udostępnianie plików lub drukarek.

Tak długo, jak przebywasz w domu lub środowisku pracy (które zwykle znajdują się za routerem lub zaporą), możesz uważać swój komputer za bezpieczny , zwłaszcza jeśli aktualizujesz go za pomocą najnowszej poprawki bezpieczeństwa: Zobacz w System-> Administration-> Update Manager.

Tylko jeśli masz bezpośrednie połączenie z Internetem lub publiczną siecią Wi-Fi (np. W kawiarni lub pokoju hotelowym) i jeśli korzystasz z usług sieciowych, takich jak udostępnianie plików / folderów, możesz zostać narażony . Jednak znowu pakiet odpowiedzialny za udostępnianie plików systemu Windows (o nazwie samba) jest często aktualizowany za pomocą poprawki bezpieczeństwa. Więc nie powinieneś się zbytnio martwić.

Gufw - nieskomplikowana zapora ogniowa

Więc jeśli uważasz, że jest to ryzykowne lub jeśli jesteś w ryzykownym środowisku, spróbuj zainstalować zaporę ogniową . ufwzostał zasugerowany, ale jest to wiersz poleceń i jest ładny interfejs graficzny do bezpośredniej konfiguracji. Poszukaj pakietu o nazwie Firewall Configurationlub gufww Centrum oprogramowania Ubuntu.

Gufw w Centrum oprogramowania

Aplikacja znajduje się (po zainstalowaniu) w System-> Administration-> Firewall Configuration.

Możesz go aktywować, gdy korzystasz z publicznego Wi-Fi lub innego rodzaju bezpośrednich / niezaufanych połączeń. Aby aktywować zaporę, wybierz opcję „Włącz” w oknie głównym. Usuń zaznaczenie, aby wyłączyć zaporę ogniową. To takie proste.

PS: Nie wiem, jak znaleźć link „apt”, dlatego nie umieszczam ich ...

Huygens
źródło
3

Czy jesteś pewien, że Twój pulpit Ubuntu jest bezpośrednio połączony z Internetem? Zwykle pomiędzy nimi znajduje się router, który już działa jako zapora ogniowa.

W przeciwnym razie możesz zainstalować Firestarter, jeśli masz paranoję na punkcie tego, jakie usługi sam prowadzisz.

Ogólnie jednak nie jest to konieczne. Konieczne jest jednak upewnienie się, że instalujesz aktualizacje zabezpieczeń w odpowiednim czasie.

Domyślnie samba i avahi nie narażają się na nic poza lokalnymi ips. Avahi działa domyślnie, sambda jest instalowany ręcznie. (kiedy zdecydujesz się „udostępnić” folder, pojawi się okno dialogowe instalacji samby)

Poza tym żadne połączenia przychodzące nie są domyślnie wykluczane podczas instalacji Ubuntu.

Ralf
źródło
7
Jest tylko router, jeśli jest router. Osoby korzystające z modemu (56k, 3g lub ADSL) lub osoby podłączone bezpośrednio do modemu kablowego nie mają ochronnej warstwy NAT.
Oli
1

Myślę, że musisz zajrzeć do iptables.

iptables to zapora ogniowa instalowana domyślnie w systemie Ubuntu. Tutaj jest HowTo . Jeśli nie jesteś biegły w wierszu poleceń, Firestarter może okazać się przydatnym dodatkiem, ponieważ dodaje GUI na iptables.

Tutaj jest dobry poradnik .

DilbertDave
źródło
Czy nie nienawidzisz tego, gdy ludzie głosują bez wyjaśnienia, dlaczego - mam szerokie ramiona i mogę przyjąć krytykę, jeśli popełniam błąd, jeśli tylko ludzie mają przyzwoitość, aby mi powiedzieć; w ten sposób wszyscy się czegoś uczymy.
DilbertDave,
0

Powinieneś również spojrzeć na AppArmor: https://help.ubuntu.com/community/AppArmor

AppArmor pozwala kontrolować każdą aplikację, która ma dostęp do Internetu. Za pomocą tego narzędzia możesz kontrolować, które pliki i katalogi są dostępne dla tej aplikacji i jakie funkcje POSIX 1003.1e. To jest bardzo, bardzo potężne.

Wiele aplikacji można łatwo profilować, instalując pakiet apparmor-profile z repozytoriów.

Nicolas Schirrer
źródło