Que precauções devo tomar ao expor minha área de trabalho diretamente à Internet?

Eu sempre usei minha área de trabalho Ubuntu por trás da segurança de um roteador com NAT, mas houve algumas vezes em que tive que conectá-lo diretamente a um modem a cabo ativo.

Em geral, que precauções devo tomar em situações em que meu computador é exposto à Internet dessa maneira por longos períodos de tempo? Os detalhes que vêm à mente imediatamente são:

• Há algum serviço de rede padrão que eu queira desativar?
• É necessário modificar a configuração padrão do firewall?
• Devo me preocupar com serviços usando autenticação por senha?
• Que tipo de registro posso fazer para ser notificado de acesso não autorizado?

Percebo que perguntas como essa são apenas a ponta do iceberg de tópicos expansivos nos quais profissões inteiras se baseiam, então deixe-me esclarecer: o que estou procurando são algumas recomendações diretas de práticas recomendadas ou alterações de configuração que um usuário de desktop seria útil em uma instalação padrão do Ubuntu.

Uma instalação padrão do ubuntu não deve ativar os serviços de rede acessíveis pela Internet.

Você pode verificar via (para tcp):

netstat -lntp

Semelhante para o udp, mas o udp não faz distinção entre portas abertas para escutar ou enviar.

Portanto, uma configuração do iptables não é necessária.

Um pouco fora de tópico, talvez, já que o seguinte preocupa você de qualquer forma (não importa se você está atrás de um roteador):

• considere desativar o flash (já que o plug-in flash tem um grande histórico de hilariantes problemas de segurança)
• considere desabilitar o Java-Plugin (se ativado) e habilitá-lo apenas para determinados sites (não tantos problemas relacionados à segurança no passado quanto o flash, mas alguns)

E, com certeza, você provavelmente sabe disso, mas de qualquer maneira: sempre trabalhe o mais normal possível. Não use o Firefox etc. como root ...

Um exemplo de saída netstat -lntp:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

As entradas 127.0.0.1 são inofensivas, porque esses programas apenas escutam na interface de rede local.

O sshd é um exemplo de serviço que escuta em todas as interfaces disponíveis (0.0.0.0, isto é, incluindo a que o modem a cabo está conectado) - mas geralmente você tem boas senhas ou desativa a autenticação por senha e usa apenas chave pública.

De qualquer forma, o IIRC sshd não está instalado por padrão.

As duas últimas interfaces dizem respeito ao IPv6. :: 1 é o endereço do dispositivo de loopback (como 127.0.0.1 no IPv4), portanto seguro. ::: é o analógico curinga da interface de rede IPv6 all to 0.0.0.0 (IPv4).

Firewall. Ative ufw( sudo ufw enable) e, em seguida, negue tudo, permita apenas os itens que deseja expor. ufwusa iptables. Não é pior.

ufw pode registrar o IIRC.

Ligue as coisas ao host local e não *.

Oli e maxschlepzig têm respostas muito boas.

Um firewall não deve ser necessário para a maioria das pessoas, porque você não deve executar coisas que escutam em uma estação de trabalho. No entanto, nunca é uma coisa ruim executar uma configuração simples do iptables com uma política de negar todas as políticas padrão. Você só precisa se lembrar de permitir conexões se começar a fazer algo mais criativo (o SSH é o primeiro bom exemplo disso).

No entanto, maxschlepzig também traz outro ponto importante. Não é apenas o que as pessoas tentam fazer com você, mas também o que você faz consigo mesmo. A navegação insegura na web é provavelmente o maior risco para o usuário comum da área de trabalho, com o uso de e-mail inseguro e o uso "pen drive" logo atrás.

Se o Firefox for o navegador padrão, recomendo plug-ins como Adblock Plus, FlashBlock, NoScript e BetterPrivacy. Existem ferramentas semelhantes para o Chrome também. Incluo o bloqueio de anúncios como proteção, porque vi anúncios em sites legítimos que eram realmente carregadores de malware; portanto, recomendo usar um bloqueador de anúncios, a menos que você tenha um motivo para não acessar um site específico. O NoScript também ajuda bastante, impedindo a execução do JavaScript, a menos que você o permita.

Para email, as recomendações óbvias de não abrir arquivos anexados desconhecidos ou inesperados sem inspeção ainda são uma boa recomendação. Eu também veria o que você pode desligar. Alguns clientes permitem desativar o JavaScript no email de entrada em HTML ou desativar totalmente a parte HTML de uma mensagem. O texto sem formatação pode não ser tão bonito, mas também é muito mais difícil ocultar um pouco de malware.

Você está a salvo ! A instalação limpa do Ubuntu vem sem serviços de rede disponíveis para outro sistema. Portanto, não há risco.

No entanto, ao usar o Ubuntu, você pode instalar um aplicativo que ofereça serviços para outro sistema em uma rede: por exemplo, compartilhamento de arquivos ou impressoras.

Desde que você permaneça dentro de sua casa ou ambiente de trabalho (que geralmente estão atrás de um roteador ou firewall), você pode considerar seu computador seguro , especialmente se você o manter atualizado com a mais recente correção de segurança: Consulte em System-> Administration-> Update Manager.

Somente se você estiver conectado diretamente à Internet ou a um Wi-Fi público (como em um café ou quarto de hotel) e se usar serviços de rede como compartilhar arquivos / pastas, poderá ser exposto . Mais uma vez, o pacote responsável pelo compartilhamento de arquivos do Windows (nomeado samba) geralmente é atualizado com a correção de segurança. Então você não deve se preocupar muito.

Gufw - Firewall não complicado

Portanto, se você acha que é arriscado ou se está em um ambiente arriscado, tente instalar um firewall . ufwfoi sugerido, mas é uma linha de comando e existe uma boa interface gráfica para configurá-lo diretamente. Procure o pacote nomeado Firewall Configurationou gufwno Ubuntu Software Center.

O aplicativo está localizado (uma vez instalado) em System-> Administration-> Firewall Configuration.

Você pode ativá-lo quando estiver em um WiFi público ou outro tipo de conexão direta / não confiável. Para ativar o firewall, selecione "Ativar" na janela principal. Desmarque-o para desativar o firewall. É tão fácil.

PS: Não sei como encontrar o link 'apt', por isso não os coloco ...

Você tem certeza de que a área de trabalho do ubuntu é exposta diretamente à internet? Geralmente, há um roteador entre eles, que já atua como um firewall.

Caso contrário, você poderá instalar o Firestarter, se estiver paranóico com relação a quais serviços você executa.

Em geral, porém, não é necessário. No entanto, é necessário que você instale as atualizações de segurança em tempo hábil.

Por padrão, samba e avahi não se expõem a nada além de ips locais. Avahi é executado por padrão, sambda é algo que você instala manualmente. (quando você escolhe 'compartilhar' uma pasta, a caixa de diálogo de instalação do samba aparece)

Fora isso, nenhuma conexão de entrada é excedida por padrão em uma instalação do ubuntu.

Eu acho que você precisa olhar para o iptables.

O iptables é o firewall instalado, por padrão, no Ubuntu. Há um tutorial aqui . Se você não é fluente na linha de comando, pode encontrar o Firestarter uma adição útil, pois adicionou uma GUI sobre as tabelas de ip.

Há um bom tutorial aqui .

Você também deve dar uma olhada no AppArmor: https://help.ubuntu.com/community/AppArmor

O AppArmor permite controlar todos os aplicativos que têm acesso à Internet. Com esta ferramenta, você pode controlar quais arquivos e diretórios são acessados ​​por este aplicativo e quais recursos do posix 1003.1e. Isso é muito, muito poderoso.

Muitos aplicativos podem ser facilmente criados com perfil instalando o pacote apparmor-profiles a partir dos repositórios.