Quali precauzioni dovrei prendere quando espongo il mio desktop direttamente a Internet?

30

Ho sempre usato il mio desktop Ubuntu dietro la sicurezza di un router con NAT, ma ci sono state alcune volte in cui ho dovuto collegarlo direttamente a un modem via cavo attivo.

In generale, quali precauzioni dovrei prendere in situazioni in cui il mio computer è esposto a Internet in questo modo per lunghi periodi di tempo? I dettagli che vengono subito in mente sono:

  • Esistono servizi di rete predefiniti che potrei voler disabilitare?
  • È necessario modificare la configurazione del firewall predefinita?
  • Dovrei essere preoccupato per i servizi che utilizzano l'autenticazione con password?
  • Che tipo di registrazione posso fare per ricevere una notifica di accesso non autorizzato?

Mi rendo conto che domande come questa sono solo la punta dell'iceberg di argomenti espansivi su cui si basano intere professioni, quindi vorrei chiarire: quello che sto cercando sono alcune semplici raccomandazioni sulle migliori pratiche o modifiche alla configurazione che un utente desktop sarebbe utile in un'installazione predefinita di Ubuntu.

networking  configuration  security 
ændrük
fonte

Risposte:

29

Un'installazione Ubuntu standard non dovrebbe attivare i servizi di rete accessibili via Internet.

Puoi controllare tramite (per tcp):

netstat -lntp

Simile per udp, ma udp non distingue tra le porte aperte per l'ascolto o l'invio.

Pertanto, non è necessaria una configurazione iptables.

Un po 'fuori tema forse, dato che seguire in ogni caso ti preoccupa (non importa se sei dietro un router):

  • considerare la disabilitazione del flash (poiché il plug-in flash ha una grande storia di esilaranti problemi di sicurezza)
  • prendere in considerazione la disabilitazione del plug-in Java (se abilitato) e la sua abilitazione solo per determinati siti (non tanto problemi relativi alla sicurezza in passato quanto flash, ma alcuni)

E, sicuramente, probabilmente lo sai, ma comunque: lavora sempre il più normale possibile. Non usare Firefox ecc. Come root ...

Un esempio di output netstat -lntp:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

Le voci 127.0.0.1 sono innocue, perché quei programmi ascoltano solo sull'interfaccia di rete locale.

sshd è un esempio di un servizio in ascolto su tutte le interfacce disponibili (0.0.0.0, cioè incluso quello a cui è collegato il modem via cavo) - ma di solito hai buone password o disabiliti l'autenticazione con password e usi solo la chiave pubblica.

Comunque, IIRC sshd non è installato di default.

Le ultime due interfacce riguardano IPv6. :: 1 è l'indirizzo del dispositivo di loopback (come 127.0.0.1 in IPv4), quindi sicuro. ::: è l'IPv6 tutto jolly dell'interfaccia di rete analogico a 0.0.0.0 (IPv4).

maxschlepzig
fonte
3
Il consiglio su netstat -lntp è davvero buono. Dovrebbe evitare qualsiasi dubbio su possibili connessioni aperte predefinite.
Ralf,
1
Cosa ti aspetteresti di vedere lì in un ambiente desktop abbastanza normale?
Chris,
1
Esecuzione del browser Web come root. Shutter.
Tim Lytle,
11

Firewall. Abilita ufw( sudo ufw enable) e poi nega tutto, consenti solo i colpi che vuoi esporre. ufwusa iptables. Non è peggio.

ufw può accedere a IIRC.

Associare le cose a localhost e non *.

Oli
fonte
7

Sia Oli che Maxschlepzig hanno risposte davvero buone.

Un firewall non dovrebbe essere necessario per la maggior parte delle persone, perché non dovresti comunque eseguire cose che ascoltano su una workstation. Tuttavia, non è mai una cosa negativa eseguire una semplice configurazione di iptables con un predefinito nega tutti i criteri. Devi solo ricordare di consentire le connessioni se mai inizi a fare qualcosa di più creativo (SSH è il primo buon esempio di questo).

Tuttavia, maxschlepzig solleva anche un altro punto importante. Non è solo quello che la gente cerca di fare per te, ma anche quello che fai a te stesso. La navigazione Web non sicura è probabilmente il rischio maggiore per l'utente desktop medio, con la posta elettronica non sicura e l'uso "thumbdrive" che si trovano nelle vicinanze.

Se Firefox è il browser predefinito, consiglio plug-in come Adblock Plus, FlashBlock, NoScript e BetterPrivacy. Strumenti simili esistono anche per Chrome. Includo il blocco degli annunci come protezione perché ho visto annunci su siti legittimi che erano in realtà caricatori di malware, quindi consiglio di utilizzare un blocco annunci a meno che tu non abbia un motivo per non farlo per un sito specifico. NoScript aiuta anche molto, impedendo l'esecuzione di JavaScript a meno che tu non lo autorizzi.

Per la posta elettronica, le ovvie raccomandazioni per non aprire file allegati sconosciuti o imprevisti senza ispezione sono ancora una buona raccomandazione. Vorrei anche vedere cosa puoi disattivare. Alcuni client consentono di disabilitare JavaScript nell'e-mail HTML in entrata o di disabilitare completamente la parte HTML di un messaggio. Il testo in chiaro potrebbe non essere altrettanto carino, ma è anche molto più difficile intrufolarsi in un po 'di malware.

Don Faulkner
fonte
7

Sei al sicuro ! L'installazione pulita di Ubuntu non include servizi di rete disponibili per altri sistemi. Quindi non c'è rischio.

Tuttavia, durante l'utilizzo di Ubuntu, è possibile installare un'applicazione che offrirà servizi ad altri sistemi su una rete: ad es. Condivisione di file o stampanti.

Finché rimani all'interno della tua casa o ambiente di lavoro (che di solito sono entrambi dietro un router o un firewall), puoi considerare il tuo computer sicuro , soprattutto se lo tieni aggiornato con l'ultima correzione di sicurezza: Vedi in System-> Administration-> Update Manager.

Solo se sei direttamente connesso a Internet o su un WiFi pubblico (come in un bar o in una stanza d'albergo) e se usi servizi di rete come la condivisione di file / cartelle, potresti essere esposto . Anche in questo caso, il pacchetto responsabile della condivisione file di Windows (denominato samba) viene spesso aggiornato con una correzione di sicurezza. Quindi non dovresti preoccuparti troppo.

Gufw - Firewall semplice

Quindi, se ritieni che sia rischioso o se ti trovi in ​​un ambiente rischioso, prova a installare un firewall . ufwè stato suggerito, ma è una riga di comando e c'è una bella interfaccia grafica per configurarlo direttamente. Cerca il pacchetto denominato Firewall Configurationo gufwnel Ubuntu Software Center.

Gufw in Software Center

L'applicazione si trova (una volta installata) in System-> Administration-> Firewall Configuration.

Puoi attivarlo quando sei su una rete WiFi pubblica o altri tipi di connessioni dirette / non affidabili. Per attivare il firewall, selezionare "Abilita" nella finestra principale. Deselezionalo per disattivare il firewall. È così facile

PS: Non so come trovare il link 'apt', quindi è per questo che non li metto ...

Huygens
fonte
3

Sei sicuro che il tuo desktop Ubuntu sia esposto direttamente su Internet? Di solito c'è un router tra di loro, che funge già da firewall.

Altrimenti puoi installare Firestarter, se sei paranoico sui servizi che gestisci tu stesso.

In generale, tuttavia, non è necessario. Tuttavia, è necessario assicurarsi di installare gli aggiornamenti di sicurezza in modo tempestivo.

Per impostazione predefinita, samba e avahi non si espongono a nient'altro che agli ip locali. Avahi funziona di default, sambda è qualcosa che installi manualmente. (quando si sceglie di "condividere" una cartella, viene visualizzata la finestra di dialogo di installazione di Samba)

Oltre a ciò, nessuna connessione in entrata è esclusa per impostazione predefinita su un'installazione di Ubuntu.

Ralf
fonte
7
C'è solo un router se c'è un router. Le persone che utilizzano un modem (sia 56k, 3g o ADSL) o le persone collegate direttamente a un modem via cavo, non hanno un livello NAT protettivo.
Oli
1

Penso che sia necessario esaminare iptables.

iptables è il firewall installato, per impostazione predefinita, in Ubuntu. C'è un HowTo qui . Se non sei fluente dalla riga di comando, potresti trovare Firestarter un'aggiunta utile in quanto ha aggiunto una GUI su iptables.

C'è un buon HowTo qui .

DilbertDave
fonte
Non odiarlo quando la gente fa una votazione negativa senza spiegare perché - Ho le spalle larghe e posso prendere le critiche se ho qualcosa di sbagliato se solo le persone avessero la decenza di dirmelo; in questo modo impariamo tutti qualcosa.
DilbertDave,
0

Dovresti anche dare un'occhiata a AppArmor: https://help.ubuntu.com/community/AppArmor

AppArmor ti consente di controllare ogni applicazione che ha accesso a Internet. Con questo strumento puoi controllare a quali file e directory accede questa applicazione e quali posix 1003.1e. Questo è molto, molto potente.

Molte applicazioni possono essere profilate facilmente installando il pacchetto profili-apparmor dai repository.

Nicolas Schirrer
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.