Que precauções devo tomar ao expor meu desktop diretamente à Internet?

30

Sempre usei meu desktop Ubuntu por trás da segurança de um roteador com NAT, mas houve algumas vezes em que precisei conectá-lo diretamente a um modem a cabo ativo.

Em geral, que precauções devo tomar em situações em que meu computador é exposto à Internet assim por longos períodos de tempo? Detalhes que imediatamente vêm à mente são:

  • Há algum serviço de rede padrão que eu queira desabilitar?
  • Existe a necessidade de modificar a configuração padrão do firewall?
  • Devo estar preocupado com os serviços que usam a autenticação de senha?
  • Que tipo de registro eu posso fazer para ser notificado sobre acesso não autorizado?

Eu percebo que perguntas como essa são apenas a ponta do iceberg de tópicos abrangentes em que se baseiam profissões inteiras, então deixe-me esclarecer: O que estou procurando são algumas recomendações diretas de práticas recomendadas ou alterações de configuração que um usuário de desktop seria útil em uma instalação padrão do Ubuntu.

    
por ændrük 06.09.2010 / 19:48

7 respostas

29

Uma instalação padrão do ubuntu não deve ativar os serviços de rede acessíveis pela Internet.

Você pode verificar via (para tcp):

netstat -lntp

Semelhante ao udp, mas o udp não distingue entre portas abertas para escuta ou envio.

Assim, uma configuração iptables não é necessária.

Um pouco fora do tópico, talvez, já que o seguinte diz respeito a você em qualquer caso (não importa se você está atrás de um roteador):

  • considere a desativação do flash (já que o plug-in do Flash tem um grande histórico de problemas de segurança hilários)
  • considere desabilitar o Java-Plugin (se habilitado) e habilitá-lo apenas para determinados sites (não tantos problemas relacionados à segurança no passado como flash, mas alguns)

E, com certeza, você provavelmente sabe disso, mas de qualquer maneira: sempre trabalhe o mais normal possível. Não use o firefox, etc. como root ...

Um exemplo de saída netstat -lntp:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

As entradas 127.0.0.1 são inofensivas, porque esses programas só ouvem na interface de rede local.

sshd é um exemplo de um serviço que escuta em todas as interfaces disponíveis (0.0.0.0, ou seja, incluindo o que o modem a cabo à Internet está conectado) - mas geralmente você tem boas senhas ou desabilita a autenticação por senha e só usa chave pública .

De qualquer forma, o IIRC sshd não é instalado por padrão.

As duas últimas interfaces consideram o IPv6. :: 1 é o endereço do dispositivo de loopback (como 127.0.0.1 no IPv4), portanto, seguro. ::: é o caractere curinga de interface de rede IPv6 analógico para 0.0.0.0 (IPv4).

    
por maxschlepzig 06.09.2010 / 20:07
11

Firewall. Ative ufw ( sudo ufw enable ) e, em seguida, negue tudo, permita apenas os itens que você deseja exibir. ufw usa o iptables. Não é pior.

ufw pode registrar o IIRC.

Vincule as coisas ao localhost e não *.

    
por Oli 06.09.2010 / 20:07
7

Tanto Oli como maxschlepzig têm boas respostas.

Um firewall não deve ser necessário para a maioria das pessoas, porque você não deveria estar executando coisas que escutam em uma estação de trabalho de qualquer maneira. No entanto, nunca é uma coisa ruim para executar uma instalação simples do iptables com um padrão negar toda a política. Você só precisa se lembrar de permitir conexões se alguma vez começar a fazer algo mais criativo (o SSH é o primeiro bom exemplo disso).

No entanto, o maxschlepzig também traz outro ponto importante. Não é apenas o que as pessoas tentam fazer com você, mas também o que você faz para si mesmo. A navegação insegura na Web é provavelmente o maior risco para o usuário médio de desktops, com o uso de e-mail não seguro e o uso de "pendrive" bem próximo.

Se o Firefox for o seu navegador padrão, recomendo plugins como o Adblock Plus, o FlashBlock, o NoScript e o BetterPrivacy. Existem ferramentas semelhantes para o Chrome também. Eu incluo o bloqueio de anúncios como uma proteção porque vejo anúncios em sites legítimos que eram realmente carregadores de malware, por isso recomendo usar um bloqueador de anúncios, a menos que você tenha um motivo para não usar um site específico. O NoScript também ajuda muito, impedindo que o JavaScript seja executado, a menos que você o permita.

Para o email, as recomendações óbvias para não abrir arquivos anexados desconhecidos ou inesperados sem inspeção ainda são uma boa recomendação. Eu também veria o que você pode desligar. Alguns clientes permitem que você desative o JavaScript no e-mail HTML de entrada ou desative completamente a parte HTML de uma mensagem. O texto simples pode não ser tão bonito, mas é muito mais difícil inserir um pouco de malware também.

    
por Don Faulkner 07.09.2010 / 15:31
7

Você está seguro ! A instalação limpa do Ubuntu vem sem serviços de rede disponíveis para outro sistema. Então não há risco.

No entanto, ao usar o Ubuntu, você pode instalar aplicativos que oferecerão serviços para outro sistema em uma rede: por exemplo, compartilhamento de arquivos ou impressoras.

Contanto que você permaneça dentro de sua casa ou ambiente de trabalho (que geralmente estão atrás de um roteador ou firewall), você pode considerar seu computador seguro , especialmente se você mantê-lo atualizado com a correção de segurança mais recente: veja em System - > Administration - > Update Manager .

Somente se você estiver conectado diretamente à Internet ou em um Wi-Fi público (como em uma cafeteria ou quarto de hotel) e se usar serviços de rede como compartilhar arquivos / pastas, em seguida, você pode ser exposto . Porém, novamente, o pacote responsável pelo Compartilhamento de Arquivos do Windows (denominado samba ) é mantido atualizado com a correção de segurança. Então você não deve se preocupar muito.

Gufw - Firewall não-complicado

Se você achar que é arriscado ou se estiver em um ambiente arriscado, tente instalar um firewall . ufw foi sugerido, mas é linha de comando, e há uma interface gráfica para configurá-lo diretamente. Procure o pacote chamado Firewall Configuration ou gufw no Ubuntu Software Center.

Oaplicativoestálocalizado(umavezinstalado)emSystem->Administration->FirewallConfiguration.

Vocêpodeativá-loquandoestiveremumWiFipúblicoouemoutrotipodeconexãodireta/nãoconfiável.Paraativarofirewall,selecione"Ativar" na janela principal. Desmarque-a para desativar o firewall. É assim tão fácil.

PS: Eu não sei como encontrar o link 'apt', então é por isso que eu não os coloco ...

    
por Huygens 12.10.2010 / 00:46
3

Você tem certeza que seu desktop Ubuntu está exposto diretamente à internet? Geralmente há um roteador no meio, que já atua como firewall.

Caso contrário, você poderá instalar o Firestarter, se estiver paranóico sobre quais serviços você mesmo executa.

Em geral, não é necessário. O que é necessário, no entanto, é garantir que você instale atualizações de segurança em tempo hábil.

Por padrão, o samba e o avahi não se expõem a nada além de ips locais '. Avahi é executado por padrão, sambda é algo que você instala manualmente. (quando você escolhe 'compartilhar' uma pasta, o diálogo de instalação do samba aparece)

Além disso, nenhuma conexão de entrada é excluída por padrão em uma instalação do ubuntu.

    
por Ralf 06.09.2010 / 20:06
1

Eu acho que você precisa olhar para o iptables.

O iptables é o firewall que está instalado, por padrão, no Ubuntu. Existe um como fazer aqui . Se você não é fluente em linha de comando, então você pode encontrar uma adição útil, uma vez que adicionou uma interface gráfica ao topo do iptables.

Há um bom como fazer aqui .

    
por DilbertDave 06.09.2010 / 19:58
0

Você também deve dar uma olhada no AppArmor: link

O AppArmor permite controlar todos os aplicativos que têm acesso à Internet. Com essa ferramenta, você pode controlar quais arquivos e diretórios são acessados por esse aplicativo e quais recursos do posix 1003.1e. Isso é muito, muito poderoso.

Muitos aplicativos podem ser facilmente configurados instalando o pacote apparmor-profiles a partir dos repositórios.

    
por Nicolas Schirrer 15.10.2010 / 23:51