Quelles précautions dois-je prendre lors de l'exposition directe de mon bureau à Internet?

30

J'ai toujours utilisé mon bureau Ubuntu derrière la sécurité d’un routeur avec NAT, mais il m’est arrivé à plusieurs reprises de le brancher directement sur un modem câble actif.

En général, quelles précautions dois-je prendre dans des situations où mon ordinateur est exposé à Internet de la sorte pendant de longues périodes? Les spécificités qui viennent immédiatement à l’esprit sont:

  • Y a-t-il des services réseau par défaut que je souhaiterais désactiver?
  • Faut-il modifier la configuration par défaut du pare-feu?
  • Dois-je m'inquiéter des services utilisant l'authentification par mot de passe?
  • Quel type de journalisation puis-je faire pour être averti d'un accès non autorisé?

Je me rends compte que des questions comme celle-ci ne sont que la pointe de l'iceberg de sujets étendus sur lesquels des professions entières sont basées, alors permettez-moi de clarifier: un utilisateur de bureau trouverait utile dans une installation Ubuntu par défaut.

    
posée ændrük 06.09.2010 - 19:48
la source

7 réponses

29

Une installation ubuntu standard ne doit pas activer les services réseau accessibles via Internet.

Vous pouvez vérifier via (pour tcp):

netstat -lntp

Similaire à udp, mais udp ne fait pas la distinction entre les ports ouverts pour l’écoute et l’envoi.

Ainsi, une configuration iptables n'est pas nécessaire.

Un peu hors-sujet, peut-être, car la suite vous concerne dans tous les cas (peu importe que vous soyez derrière un routeur):

  • envisagez de désactiver Flash (car le plugin flash a un gros historique de problèmes de sécurité hilarants)
  • envisagez de désactiver le plug-in Java (s'il est activé) et de ne l'activer que pour certains sites (pas autant de problèmes de sécurité que Flash, mais par le passé)

Et bien sûr, vous le savez probablement, mais de toute façon: travaillez toujours aussi normalement que possible. N'utilisez pas Firefox, etc. en tant que root ...

Un exemple de sortie netstat -lntp:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

Les entrées 127.0.0.1 sont inoffensives, car ces programmes n'écoutent que sur l'interface réseau locale.

sshd est un exemple de service qui écoute toutes les interfaces disponibles (0.0.0.0, c.-à-d. celle à laquelle le modem Internet par câble est connecté) - mais vous avez généralement de bons mots de passe ou désactivez l'authentification par mot de passe .

Quoi qu’il en soit, IIRC sshd n’est pas installé par défaut.

Les deux dernières interfaces concernent IPv6. :: 1 est l'adresse du périphérique de bouclage (comme 127.0.0.1 dans IPv4), donc sûr. ::: est le joker analogique de l'interface réseau IPv6 à 0.0.0.0 (IPv4).

    
réponse donnée maxschlepzig 06.09.2010 - 20:07
la source
11

Pare-feu. Activez ufw ( sudo ufw enable ), puis refusez tout, n'autorisez que les choses que vous voulez exposer. ufw utilise iptables. Ce n'est pas pire.

ufw peut enregistrer IIRC.

Liez les choses à localhost et non pas à *.

    
réponse donnée Oli 06.09.2010 - 20:07
la source
7

Oli et maxschlepzig ont tous deux de très bonnes réponses.

Un pare-feu ne devrait pas être nécessaire pour la plupart des gens, car de toute façon, vous ne devriez pas lancer d’écoute sur un poste de travail. Cependant, exécuter une simple configuration d'iptables avec une stratégie de refus par défaut complète n'est jamais une mauvaise chose. Vous devez juste vous souvenir d'autoriser les connexions si vous commencez à faire quelque chose de plus créatif (SSH en est le premier exemple).

Cependant, maxschlepzig soulève également un autre point important. Ce n'est pas juste ce que les gens essaient de vous faire, mais aussi ce que vous faites pour vous-même. La navigation Web non sécurisée est probablement le plus grand risque pour l'utilisateur de bureau moyen, les e-mails non sécurisés et les clés USB étant utilisés de près.

Si Firefox est votre navigateur par défaut, je recommande les plug-ins tels que Adblock Plus, FlashBlock, NoScript et BetterPrivacy. Des outils similaires existent également pour Chrome. J'inclus le blocage des publicités en tant que protection car j'ai vu des annonces sur des sites légitimes qui étaient de véritables chargeurs de logiciels malveillants. Je vous recommande donc d'utiliser un bloqueur de publicité, sauf si vous ne le souhaitez pas. NoScript aide également beaucoup, en empêchant l'exécution de JavaScript, à moins que vous ne l'autorisiez.

Pour le courrier électronique, les recommandations évidentes de ne pas ouvrir de fichiers joints inconnus ou inattendus sans inspection sont toujours une bonne recommandation. Je verrais aussi ce que tu peux éteindre. Certains clients vous permettent de désactiver JavaScript dans les e-mails HTML entrants ou de désactiver entièrement la partie HTML d'un message. Le texte brut n’est peut-être pas aussi joli, mais il est beaucoup plus difficile d’introduire un peu de malware.

    
réponse donnée Don Faulkner 07.09.2010 - 15:31
la source
7

Vous êtes en sécurité ! Ubuntu clean install n'inclut aucun service réseau disponible sur d'autres systèmes. Donc, il n'y a pas de risque.

Néanmoins, lors de l'utilisation d'Ubuntu, vous pouvez installer une application qui offrira des services à d'autres systèmes sur un réseau: partage de fichiers ou d’imprimantes.

Tant que vous restez dans votre environnement domestique ou professionnel (généralement à la fois derrière un routeur ou un pare-feu), vous pouvez considérer votre ordinateur comme sûr , surtout si vous le tenez à jour avec le dernier correctif de sécurité: voir dans System - & gt; Administration - & gt; Update Manager .

Seulement si vous êtes directement connecté à Internet ou à un réseau WiFi public (comme dans un café ou une chambre d’hôtel) et si vous utilisez les services réseau comme le partage de fichiers / folder alors vous pourriez être exposé . Encore une fois, le package responsable du partage de fichiers Windows (nommé samba ) est souvent mis à jour avec le correctif de sécurité. Donc, vous ne devriez pas trop vous inquiéter.

Gufw - Pare-feu simple

Donc, si vous estimez qu’il est risqué ou que vous vous trouvez dans un environnement risqué, essayez d’installer un pare-feu . ufw a été suggéré, mais il s'agit d'une ligne de commande, et il existe une interface graphique agréable pour le configurer directement. Recherchez le package nommé Firewall Configuration ou gufw dans le logiciel Ubuntu.

L’application est située (une fois installée) dans System - & gt; Administration - & gt; Firewall Configuration .

Vous pouvez l'activer lorsque vous êtes sur un réseau WiFi public ou un autre type de connexion directe / non fiable. Pour activer le pare-feu, sélectionnez "Activer" dans la fenêtre principale. Désélectionnez-le pour désactiver le pare-feu. C'est aussi simple que ça.

PS: Je ne sais pas comment trouver le lien "apt", c'est pourquoi je ne les mets pas ...

    
réponse donnée Huygens 12.10.2010 - 00:46
la source
3

Êtes-vous sûr que votre bureau Ubuntu est directement exposé à Internet? Il y a généralement un routeur entre les deux, qui agit déjà comme un pare-feu.

Sinon, vous pouvez installer Firestarter, si vous êtes paranoïaque sur les services que vous exécutez vous-même.

En général cependant, ce n’est pas nécessaire. Ce qui est nécessaire, cependant, c'est que vous vous assuriez d'installer les mises à jour de sécurité en temps opportun.

Par défaut, samba et avahi ne s’exposent qu’à des ips locaux. Avahi s'exécute par défaut, sambda est quelque chose que vous installez manuellement. (lorsque vous choisissez de "partager" un dossier, la boîte de dialogue d’installation de samba apparaît)

À part cela, aucune connexion entrante n’est exceptée par défaut sur une installation ubuntu.

    
réponse donnée Ralf 06.09.2010 - 20:06
la source
1

Je pense que vous devez chercher dans iptables.

iptables est le pare-feu installé par défaut dans Ubuntu. Il y a un HowTo ici . Si vous ne maîtrisez pas la ligne de commande, vous pouvez trouver Firestarter un ajout utile car il a ajouté une interface graphique par-dessus iptables.

Il y a un bon HowTo ici .

    
réponse donnée DilbertDave 06.09.2010 - 19:58
la source
0

Vous devriez également consulter AppArmor: lien

AppArmor vous permet de contrôler toutes les applications ayant accès à Internet. Avec cet outil, vous pouvez contrôler quels fichiers et répertoires sont accessibles par cette application, et quelles sont les capacités de 1003.1e. C'est très, très puissant.

De nombreuses applications peuvent être facilement profilées en installant le package apparmor-profiles à partir des référentiels.

    
réponse donnée Nicolas Schirrer 15.10.2010 - 23:51
la source

Lire d'autres questions sur les étiquettes