Peringatan apa yang harus saya ambil saat mengekspos desktop saya langsung ke internet?

30

Saya selalu menggunakan desktop Ubuntu saya di belakang keamanan router dengan NAT, tetapi ada beberapa kali ketika saya harus mencolokkannya langsung ke modem kabel aktif.

Secara umum, tindakan pencegahan apa yang harus saya ambil dalam situasi ketika komputer saya terpapar ke internet seperti ini untuk jangka waktu yang lama? Spesifik yang segera muncul di pikiran adalah:

  • Apakah ada layanan jaringan standar yang mungkin ingin saya nonaktifkan?
  • Apakah ada kebutuhan untuk mengubah konfigurasi firewall default?
  • Haruskah saya khawatir tentang layanan yang menggunakan otentikasi kata sandi?
  • Jenis pencatatan apa yang dapat saya lakukan untuk diberi tahu tentang akses yang tidak sah?

Saya menyadari bahwa pertanyaan seperti ini hanyalah puncak gunung es dari topik luas yang menjadi dasar seluruh profesi, jadi izinkan saya menjelaskan: Apa yang saya cari adalah beberapa rekomendasi langsung dari praktik terbaik atau perubahan konfigurasi yang dilakukan oleh pengguna desktop akan berguna dalam instalasi Ubuntu default.

ændrük
sumber

Jawaban:

29

Instalasi ubuntu standar tidak boleh mengaktifkan layanan jaringan yang dapat diakses melalui internet.

Anda dapat memeriksa melalui (untuk tcp):

netstat -lntp

Mirip dengan udp, tetapi udp tidak membedakan antara port yang dibuka untuk mendengarkan atau mengirim.

Dengan demikian, konfigurasi iptables tidak diperlukan.

Agak di luar topik, karena mengikuti kekhawatiran Anda dalam hal apa pun (tidak masalah jika Anda berada di belakang router):

  • pertimbangkan untuk menonaktifkan flash (karena plugin flash memiliki sejarah besar masalah keamanan yang lucu)
  • pertimbangkan untuk menonaktifkan Java-Plugin (jika diaktifkan) dan mengaktifkannya hanya untuk situs-situs tertentu (di masa lalu tidak sebanyak masalah terkait keamanan seperti flash, tetapi beberapa)

Dan, tentu saja, Anda mungkin tahu itu, tetapi bagaimanapun: Selalu bekerja sebagai pengguna biasa mungkin. Jangan gunakan firefox dll sebagai root ...

Contoh keluaran netstat -lntp:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

Entri 127.0.0.1 tidak berbahaya, karena program-program itu hanya mendengarkan pada antarmuka jaringan lokal.

sshd adalah contoh layanan yang mendengarkan semua antarmuka yang tersedia (0.0.0.0, yaitu termasuk yang digunakan modem internet kabel) - tetapi biasanya Anda memiliki kata sandi yang baik atau menonaktifkan otentikasi kata sandi dan hanya menggunakan kunci publik.

Bagaimanapun, IIRC sshd tidak diinstal secara default.

Dua antarmuka terakhir berkaitan dengan IPv6. :: 1 adalah alamat perangkat loopback (seperti 127.0.0.1 di IPv4), sehingga aman. ::: adalah IPv6 semua antarmuka jaringan analog analog ke 0.0.0.0 (IPv4).

maxschlepzig
sumber
3
Saran tentang netstat -lntp sangat bagus. Ini harus mencegah keraguan tentang kemungkinan koneksi terbuka standar.
Ralf
1
Apa yang Anda harapkan ada di lingkungan desktop yang cukup normal?
Chris
1
Menjalankan browser web sebagai root. Bidik.
Tim Lytle
11

Firewall. Aktifkan ufw( sudo ufw enable) dan kemudian tolak semua, izinkan saja thig yang ingin Anda ekspos. ufwmenggunakan iptables. Itu tidak lebih buruk.

ufw dapat login IIRC.

Ikat hal-hal ke localhost dan bukan *.

Oli
sumber
7

Baik Oli dan maxschlepzig memiliki jawaban yang sangat bagus.

Firewall seharusnya tidak diperlukan bagi kebanyakan orang, karena Anda seharusnya tidak menjalankan hal-hal yang mendengarkan di workstation. Namun, tidak pernah buruk untuk menjalankan setup iptables sederhana dengan default tolak semua kebijakan. Anda hanya perlu ingat untuk mengizinkan koneksi jika Anda pernah mulai melakukan sesuatu yang lebih kreatif (SSH adalah contoh bagus pertama dari ini).

Namun, maxschlepzig juga memunculkan poin penting lainnya. Bukan hanya apa yang orang coba lakukan untuk Anda, tetapi juga apa yang Anda lakukan untuk diri sendiri. Menjelajah web yang tidak aman mungkin merupakan risiko terbesar bagi pengguna desktop rata-rata, dengan email yang tidak aman dan penggunaan "thumbdrive" berada di belakang.

Jika Firefox adalah browser default Anda, saya sarankan plugins seperti Adblock Plus, FlashBlock, NoScript, dan BetterPrivacy. Alat serupa juga ada untuk Chrome. Saya memasukkan adblocking sebagai perlindungan karena saya telah melihat iklan di situs yang sah yang benar-benar memuat malware, jadi saya sarankan menggunakan pemblokir iklan kecuali Anda memiliki alasan untuk tidak mengunjungi situs tertentu. NoScript juga banyak membantu, dengan mencegah JavaScript berjalan kecuali Anda mengizinkannya.

Untuk email, rekomendasi yang jelas untuk tidak membuka file terlampir yang tidak dikenal atau tidak terduga tanpa inspeksi masih merupakan rekomendasi yang baik. Saya juga melihat apa yang bisa Anda matikan. Beberapa klien membiarkan Anda menonaktifkan JavaScript di email HTML masuk, atau menonaktifkan bagian HTML dari pesan sepenuhnya. Teks biasa mungkin tidak secantik ini, tetapi juga jauh lebih sulit untuk menyelinap ke dalam sedikit malware.

Don Faulkner
sumber
7

Kamu aman ! Instalasi bersih Ubuntu tidak disertai dengan layanan jaringan yang tersedia untuk sistem lain. Jadi tidak ada risiko.

Namun demikian, saat menggunakan Ubuntu, Anda dapat menginstal aplikasi yang akan menawarkan layanan ke sistem lain di jaringan: misalnya berbagi file atau printer.

Selama Anda tetap berada di dalam rumah atau lingkungan kerja (yang biasanya berada di belakang router atau firewall), Anda dapat mempertimbangkan keamanan komputer Anda , terutama jika Anda selalu memperbarui dengan perbaikan keamanan terbaru: Lihat di System-> Administration-> Update Manager.

Hanya jika Anda terhubung langsung ke internet atau pada WiFi publik (seperti di kedai kopi atau kamar hotel) dan jika Anda menggunakan layanan jaringan seperti berbagi file / folder maka Anda dapat terpapar . Meskipun sekali lagi, paket yang bertanggung jawab untuk Berbagi File Windows (bernama samba) sering diperbarui dengan perbaikan keamanan. Jadi Anda tidak perlu terlalu khawatir.

Gufw - Firewall tidak rumit

Jadi jika Anda merasa itu berisiko atau jika Anda berada di lingkungan yang berisiko, coba pasang firewall . ufwtelah disarankan, tetapi ini adalah baris perintah, dan ada antarmuka grafis yang bagus untuk mengkonfigurasinya secara langsung. Cari paket yang bernama Firewall Configurationatau gufwdi Pusat Perangkat Lunak Ubuntu.

Gufw di Pusat Perangkat Lunak

Aplikasi ini berada (setelah diinstal) di System-> Administration-> Firewall Configuration.

Anda dapat mengaktifkannya ketika Anda menggunakan WiFi publik atau koneksi langsung / tidak dipercaya lainnya. Untuk mengaktifkan firewall, pilih "Aktifkan" di jendela utama. Hapus centang untuk menonaktifkan firewall. Sangat mudah.

PS: Saya tidak tahu bagaimana menemukan tautan 'tepat', jadi itu sebabnya saya tidak meletakkannya ...

Huygens
sumber
3

Apakah Anda yakin desktop ubuntu Anda terpapar langsung ke internet? Biasanya ada peralihan router, yang sudah bertindak firewall.

Kalau tidak, Anda dapat menginstal Firestarter, jika Anda paranoid tentang layanan apa yang Anda jalankan sendiri.

Secara umum, itu tidak diperlukan. Namun yang diperlukan, adalah Anda memastikan Anda menginstal pembaruan keamanan secara tepat waktu.

Secara default samba, dan avahi tidak mengekspos diri mereka sendiri kecuali ips lokal '. Avahi berjalan secara default, sambda adalah sesuatu yang Anda instal secara manual. (ketika Anda memilih untuk 'berbagi' folder, dialog instal untuk samba muncul)

Selain itu, tidak ada koneksi masuk yang dikecualikan secara default pada instalasi ubuntu.

Ralf
sumber
7
Hanya ada router jika ada router. Orang-orang dengan menggunakan modem (baik itu 56k, 3g atau ADSL) atau orang yang terhubung langsung ke modem kabel, tidak memiliki lapisan NAT pelindung.
Oli
1

Saya pikir Anda perlu melihat iptables.

iptables adalah firewall yang diinstal, secara default, di Ubuntu. Ada HowTo di sini . Jika Anda tidak lancar baris perintah maka Firestarter dapat berguna sebagai tambahan karena menambahkan GUI di atas iptables.

Ada HowTo yang bagus di sini .

DilbertDave
sumber
Tidakkah kamu membencinya ketika orang downvote tanpa menjelaskan mengapa - Aku punya bahu lebar dan dapat menerima kritik jika ada sesuatu yang salah jika hanya orang yang memiliki kesopanan untuk memberitahuku; dengan begitu kita semua belajar sesuatu.
DilbertDave
0

Anda juga harus melihat di AppArmor: https://help.ubuntu.com/community/AppArmor

AppArmor memungkinkan Anda untuk mengontrol setiap aplikasi yang memiliki akses ke Internet. Dengan alat ini Anda dapat mengontrol file dan direktori mana yang diakses oleh aplikasi ini, dan kemampuan posix 1003.1e mana. Ini sangat, sangat kuat.

Banyak aplikasi dapat diprofilkan dengan mudah dengan menginstal paket apparmor-profil dari repositori.

Nicolas Schirrer
sumber