Quelles précautions dois-je prendre lorsque j'expose mon bureau directement à Internet?

30

J'ai toujours utilisé mon bureau Ubuntu derrière la sécurité d'un routeur avec NAT, mais il y a eu quelques fois où je devais le brancher directement sur un modem câble actif.

En général, quelles précautions dois-je prendre dans des situations où mon ordinateur est exposé à Internet comme celui-ci pendant de longues périodes? Les détails qui me viennent immédiatement à l'esprit sont les suivants:

  • Existe-t-il des services réseau par défaut que je souhaiterais désactiver?
  • Est-il nécessaire de modifier la configuration du pare-feu par défaut?
  • Dois-je m'inquiéter des services utilisant l'authentification par mot de passe?
  • Quel type de journalisation puis-je faire pour être averti d'un accès non autorisé?

Je me rends compte que des questions comme celle-ci ne sont que la pointe de l'iceberg de sujets étendus sur lesquels des professions entières sont basées, alors permettez-moi de préciser: ce que je recherche, ce sont quelques recommandations simples de meilleures pratiques ou de changements de configuration qu'un utilisateur de bureau trouverait utile dans une installation Ubuntu par défaut.

ændrük
la source

Réponses:

29

Une installation ubuntu standard ne doit pas activer les services réseau accessibles via Internet.

Vous pouvez vérifier via (pour tcp):

netstat -lntp

Similaire pour udp, mais udp ne fait pas de distinction entre les ports ouverts pour l'écoute ou l'envoi.

Ainsi, une configuration iptables n'est pas nécessaire.

Un peu hors sujet peut-être, car la suite vous concerne en tout cas (peu importe si vous êtes derrière un routeur):

  • envisager de désactiver le flash (car le plugin flash a une longue histoire de problèmes de sécurité hilarants)
  • envisager de désactiver le plug-in Java (s'il est activé) et de ne l'activer que pour certains sites (pas autant de problèmes liés à la sécurité dans le passé que flash, mais quelques-uns)

Et, bien sûr, vous le savez probablement, mais de toute façon: travaillez toujours en tant qu'utilisateur normal que possible. N'utilisez pas Firefox, etc. en tant que root ...

Un exemple de sortie netstat -lntp:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

Les entrées 127.0.0.1 sont inoffensives, car ces programmes n'écoutent que sur l'interface réseau locale.

sshd est un exemple de service qui écoute sur toutes les interfaces disponibles (0.0.0.0, c'est-à-dire y compris celui auquel le modem Internet par câble est connecté) - mais vous avez généralement de bons mots de passe ou désactivez l'authentification par mot de passe et utilisez uniquement la clé publique.

Quoi qu'il en soit, sshd IIRC n'est pas installé par défaut.

Les deux dernières interfaces concernent IPv6. :: 1 est l'adresse du périphérique de bouclage (comme 127.0.0.1 en IPv4), donc sûre. ::: est l'analogue générique de l'interface réseau IPv6 à 0.0.0.0 (IPv4).

maxschlepzig
la source
3
Les conseils sur netstat -lntp sont vraiment bons. Cela devrait éviter tout doute sur d'éventuelles connexions ouvertes par défaut.
Ralf
1
Qu'espérez-vous y voir dans un environnement de bureau assez normal?
Chris
1
Exécution du navigateur Web en tant que root. Obturateur.
Tim Lytle du
11

Pare-feu. Activez ufw( sudo ufw enable) puis refusez tout, autorisez uniquement les éléments que vous souhaitez exposer. ufwutilise iptables. Ce n'est pas pire.

ufw peut se connecter IIRC.

Liez les choses à localhost et non *.

Oli
la source
7

Oli et maxschlepzig ont de très bonnes réponses.

Un pare-feu ne devrait pas être nécessaire pour la plupart des gens, car de toute façon, vous ne devriez pas exécuter des choses qui écoutent sur un poste de travail. Cependant, ce n'est jamais une mauvaise chose d'exécuter une configuration iptables simple avec une stratégie de refus par défaut. Vous devez juste vous rappeler d'autoriser les connexions si vous commencez à faire quelque chose de plus créatif (SSH en est le premier bon exemple).

Cependant, maxschlepzig soulève également un autre point important. Ce n'est pas seulement ce que les gens essaient de vous faire, mais aussi ce que vous vous faites. La navigation Web non sécurisée est probablement le plus grand risque pour l'utilisateur de bureau moyen, les courriers électroniques non sécurisés et l'utilisation de la «clé USB» étant tout près.

Si Firefox est votre navigateur par défaut, je recommande des plugins tels que Adblock Plus, FlashBlock, NoScript et BetterPrivacy. Des outils similaires existent également pour Chrome. J'inclus le blocage des publicités comme protection parce que j'ai vu des publicités sur des sites légitimes qui étaient vraiment des chargeurs de logiciels malveillants, je recommande donc d'utiliser un bloqueur de publicités, sauf si vous avez une raison de ne pas le faire pour un site spécifique. NoScript aide également beaucoup, en empêchant JavaScript de s'exécuter à moins que vous ne le permettiez.

Pour le courrier électronique, les recommandations évidentes de ne pas ouvrir les fichiers joints inconnus ou inattendus sans inspection sont toujours une bonne recommandation. Je verrais aussi ce que vous pouvez désactiver. Certains clients vous permettent de désactiver JavaScript dans les e-mails HTML entrants ou de désactiver entièrement la partie HTML d'un message. Le texte brut n'est peut-être pas aussi joli, mais il est beaucoup plus difficile de se faufiler dans un peu de malware, aussi.

Don Faulkner
la source
7

Tu es en sécurité ! L'installation propre d'Ubuntu est fournie sans aucun service réseau disponible sur un autre système. Il n'y a donc aucun risque.

Néanmoins, lors de l'utilisation d'Ubuntu, vous pouvez installer une application qui offrira des services à d'autres systèmes sur un réseau: par exemple, le partage de fichiers ou d'imprimantes.

Tant que vous restez à l'intérieur de votre maison ou de votre environnement de travail (qui sont généralement à la fois derrière un routeur ou un pare-feu), vous pouvez considérer votre ordinateur comme sûr , surtout si vous le maintenez à jour avec le dernier correctif de sécurité: voir dans System-> Administration-> Update Manager.

Ce n'est que si vous êtes directement connecté à Internet ou sur une connexion Wi-Fi publique (comme dans un café ou une chambre d'hôtel) et si vous utilisez des services réseau comme le partage de fichiers / dossiers que vous pourriez être exposé . Encore une fois, le package responsable du partage de fichiers Windows (nommé samba) est souvent mis à jour avec un correctif de sécurité. Donc, ne vous inquiétez pas trop.

Gufw - Pare-feu simple

Donc, si vous pensez que c'est risqué ou si vous êtes dans un environnement à risque, essayez d'installer un pare - feu . ufwa été suggéré, mais c'est en ligne de commande, et il y a une belle interface graphique pour le configurer directement. Recherchez le package nommé Firewall Configurationou gufwdans le Centre logiciel Ubuntu.

Gufw dans le centre logiciel

L'application est située (une fois installée) dans System-> Administration-> Firewall Configuration.

Vous pouvez l'activer lorsque vous êtes sur un réseau Wi-Fi public ou tout autre type de connexions directes / non fiables. Pour activer le pare-feu, sélectionnez "Activer" dans la fenêtre principale. Désélectionnez-le pour désactiver le pare-feu. C'est si facile.

PS: Je ne sais pas comment trouver le lien "apt", c'est pourquoi je ne les mets pas ...

Huygens
la source
3

Êtes-vous sûr que votre bureau ubuntu est directement exposé à Internet? Habituellement, il y a un routeur entre les deux, qui agit déjà comme un pare-feu.

Sinon, vous pouvez installer Firestarter, si vous êtes paranoïaque quant aux services que vous exécutez vous-même.

En général cependant, ce n'est pas nécessaire. Ce qu'il faut cependant, c'est que vous vous assuriez d'installer les mises à jour de sécurité en temps opportun.

Par défaut, la samba et l'avahi ne s'exposent à rien d'autre qu'aux ips locaux. Avahi fonctionne par défaut, sambda est quelque chose que vous installez manuellement. (lorsque vous choisissez de «partager» un dossier, la boîte de dialogue d'installation de samba apparaît)

En dehors de cela, aucune connexion entrante n'est exceptée par défaut sur une installation ubuntu.

Ralf
la source
7
Il n'y a qu'un routeur s'il y a un routeur. Les personnes utilisant un modem (que ce soit 56k, 3g ou ADSL) ou les personnes connectées directement à un modem câble n'ont pas de couche NAT protectrice.
Oli
1

Je pense que vous devez vous pencher sur iptables.

iptables est le pare-feu installé par défaut dans Ubuntu. Il y a un HowTo ici . Si vous n'êtes pas familier avec la ligne de commande, vous pouvez trouver Firestarter un ajout utile car il a ajouté une interface graphique sur iptables.

Il y a un bon HowTo ici .

DilbertDave
la source
Ne détestez-vous pas quand les gens votent sans expliquer pourquoi - j'ai les épaules larges et je peux critiquer si je me trompe si seulement les gens ont la décence de me le dire; de cette façon, nous apprenons tous quelque chose.
DilbertDave
0

Vous devriez également jeter un œil à AppArmor: https://help.ubuntu.com/community/AppArmor

AppArmor vous permet de contrôler toutes les applications qui ont accès à Internet. Avec cet outil, vous pouvez contrôler quels fichiers et répertoires sont accessibles par cette application, et quelles capacités posix 1003.1e. C'est très, très puissant.

De nombreuses applications peuvent être facilement profilées en installant le package apparmor-profiles à partir des référentiels.

Nicolas Schirrer
la source