Welche Vorsichtsmaßnahmen sollte ich treffen, wenn ich meinen Desktop direkt dem Internet aussetze?

30

Ich habe meinen Ubuntu-Desktop immer hinter der Sicherheit eines Routers mit NAT verwendet, aber es gab einige Male, in denen ich ihn direkt an ein aktives Kabelmodem anschließen musste.

Welche Vorsichtsmaßnahmen sollte ich im Allgemeinen treffen, wenn mein Computer längere Zeit dem Internet ausgesetzt ist? Besonderheiten, die sofort in den Sinn kommen, sind:

  • Gibt es Standardnetzwerkdienste, die ich möglicherweise deaktivieren möchte?
  • Muss die Standard-Firewall-Konfiguration geändert werden?
  • Sollte ich mir Gedanken über Dienste machen, die die Kennwortauthentifizierung verwenden?
  • Welche Art der Protokollierung kann ich ausführen, um über nicht autorisierten Zugriff benachrichtigt zu werden?

Mir ist klar, dass Fragen wie diese nur die Spitze des Eisbergs von expansiven Themen sind, auf denen ganze Berufe basieren. Lassen Sie mich also klarstellen: Was ich suche, sind ein paar unkomplizierte Empfehlungen für Best Practices oder Konfigurationsänderungen, die ein Desktop-Benutzer hat würde sich in einer Ubuntu-Standardinstallation als nützlich erweisen.

networking  configuration  security 
ændrük
quelle

Antworten:

29

Eine standardmäßige Ubuntu-Installation sollte keine Netzwerkdienste aktivieren, auf die über das Internet zugegriffen werden kann.

Sie können über (für TCP) überprüfen:

netstat -lntp

Ähnliches gilt für udp, aber udp unterscheidet nicht zwischen Ports, die zum Abhören oder Senden geöffnet sind.

Eine iptables-Konfiguration ist daher nicht erforderlich.

Ein bisschen off-topic vielleicht, da folgendes Sie auf jeden Fall betrifft (es ist egal, ob Sie sich hinter einem Router befinden):

  • Erwägen Sie die Deaktivierung von Flash (da das Flash-Plugin in der Vergangenheit viele urkomische Sicherheitsprobleme hatte).
  • Erwägen Sie, das Java-Plugin (falls aktiviert) zu deaktivieren und es nur für bestimmte Sites zu aktivieren (nicht so viele Sicherheitsprobleme in der Vergangenheit wie Flash, aber einige).

Und sicher, das wissen Sie wahrscheinlich, aber auf jeden Fall: Arbeiten Sie immer so normal wie möglich. Benutze keinen Firefox etc. als root ...

Ein Beispiel für die Ausgabe von netstat -lntp:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

Die 127.0.0.1-Einträge sind harmlos, da diese Programme nur die lokale Netzwerkschnittstelle überwachen.

sshd ist ein Beispiel für einen Dienst, der alle verfügbaren Schnittstellen abhört (0.0.0.0, einschließlich derjenigen, mit der das Kabel-Internet-Modem verbunden ist). In der Regel verfügen Sie jedoch über gute Kennwörter oder deaktivieren die Kennwortauthentifizierung und verwenden nur den öffentlichen Schlüssel.

Auf jeden Fall ist IIRC sshd nicht standardmäßig installiert.

Die letzten beiden Schnittstellen betreffen IPv6. :: 1 ist die Adresse des Loopback-Geräts (wie 127.0.0.1 in IPv4), also sicher. ::: ist der IPv6-Platzhalter für alle Netzwerkschnittstellen analog zu 0.0.0.0 (IPv4).

maxschlepzig
quelle
3
Die Beratung zu netstat -lntp ist wirklich gut. Es sollte jeden Zweifel über mögliche offene Standardverbindungen verhindern.
Ralf
1
Was würden Sie dort in einer normalen Desktop-Umgebung erwarten?
Chris
1
Ausführen des Webbrowsers als root. Verschluss.
Tim Lytle
11

Firewall. Aktivieren ufw( sudo ufw enable) und dann verweigern alle, erlauben nur die thigs Sie ausgesetzt werden soll. ufwverwendet Iptables. Es ist nicht schlimmer.

ufw kann IIRC protokollieren.

Binden Sie Dinge an localhost und nicht an *.

Oli
quelle
7

Sowohl Oli als auch maxschlepzig haben wirklich gute Antworten.

Eine Firewall sollte für die meisten Leute nicht erforderlich sein, da Sie sowieso keine Dinge ausführen sollten, die auf einer Workstation abhören. Es ist jedoch nie schlecht, ein einfaches iptables-Setup mit einer Standardrichtlinie zum Verweigern aller Richtlinien auszuführen. Sie müssen nur daran denken, Verbindungen zuzulassen, wenn Sie etwas Kreativeres tun möchten (SSH ist das erste gute Beispiel dafür).

Maxschlepzig bringt jedoch noch einen weiteren wichtigen Punkt zur Sprache. Es ist nicht nur das, was die Leute dir antun wollen, sondern auch das, was du dir selbst antust. Unsicheres Surfen im Internet ist wahrscheinlich das größte Risiko für den durchschnittlichen Desktop-Benutzer, da unsichere E-Mail- und "Thumbdrive" -Verwendung nicht weit entfernt sind.

Wenn Firefox Ihr Standardbrowser ist, empfehle ich Plugins wie Adblock Plus, FlashBlock, NoScript und BetterPrivacy. Ähnliche Tools gibt es auch für Chrome. Ich schließe Adblocking als Schutz ein, da ich Anzeigen auf legitimen Websites gesehen habe, die wirklich Malware-Loader waren. Daher empfehle ich die Verwendung eines Adblockers, es sei denn, Sie haben einen Grund, auf eine bestimmte Website zu verzichten. NoScript hilft auch sehr, indem es die Ausführung von JavaScript verhindert, sofern Sie dies nicht zulassen.

Bei E-Mails sind die offensichtlichen Empfehlungen, unbekannte oder unerwartete angehängte Dateien nicht ohne Überprüfung zu öffnen, weiterhin eine gute Empfehlung. Ich würde auch sehen, was Sie ausschalten können. Bei einigen Clients können Sie JavaScript in eingehenden HTML-E-Mails deaktivieren oder den HTML-Teil einer Nachricht vollständig deaktivieren. Klartext ist vielleicht nicht so hübsch, aber es ist viel schwieriger, ein bisschen Malware einzuschleusen.

Don Faulkner
quelle
7

Du bist in Sicherheit ! Bei der Neuinstallation von Ubuntu sind keine Netzwerkdienste für andere Systeme verfügbar. Es besteht also kein Risiko.

Unter Ubuntu können Sie jedoch Anwendungen installieren, die Dienste für andere Systeme in einem Netzwerk anbieten: z. B. Dateien oder Drucker, die gemeinsam genutzt werden.

Solange Sie sich in Ihrem Heim- oder Arbeitsumfeld befinden (normalerweise beide hinter einem Router oder einer Firewall), können Sie Ihren Computer als sicher betrachten , insbesondere wenn Sie ihn mit der neuesten Sicherheitskorrektur auf dem neuesten Stand halten: Siehe unter System-> Administration-> Update Manager.

Nur wenn Sie direkt mit dem Internet verbunden sind oder über ein öffentliches WLAN (wie in einer Kaffeebar oder einem Hotelzimmer) und wenn Sie Netzwerkdienste wie das Freigeben von Dateien / Ordnern verwenden, können Sie gefährdet sein . Das für die gemeinsame Nutzung von Windows-Dateien (mit dem Namen samba) verantwortliche Paket wird jedoch häufig mit Sicherheitsupdates auf dem neuesten Stand gehalten. Sie sollten sich also nicht zu viele Sorgen machen.

Gufw - Unkomplizierte Firewall

Wenn Sie sich also riskant fühlen oder sich in einer riskanten Umgebung befinden, installieren Sie eine Firewall . ufwwurde vorgeschlagen, aber es ist eine Befehlszeile, und es gibt eine schöne grafische Oberfläche, um es direkt zu konfigurieren. Suchen Sie nach dem Paket mit dem Namen Firewall Configurationoder gufwim Ubuntu Software Center.

Gufw im Software Center

Die Anwendung befindet sich (einmal installiert) in System-> Administration-> Firewall Configuration.

Sie können es aktivieren, wenn Sie sich in einem öffentlichen WLAN oder einer anderen Art von direkten / nicht vertrauenswürdigen Verbindungen befinden. Um die Firewall zu aktivieren, wählen Sie im Hauptfenster "Aktivieren". Deaktivieren Sie diese Option, um die Firewall zu deaktivieren. So einfach ist das.

PS: Ich weiß nicht, wie ich den passenden Link finden soll. Deshalb habe ich ihn nicht eingefügt.

Huygens
quelle
3

Sind Sie sicher, dass Ihr Ubuntu-Desktop direkt dem Internet ausgesetzt ist? In der Regel befindet sich dazwischen ein Router, der bereits als Firewall fungiert.

Andernfalls können Sie Firestarter installieren, wenn Sie sich nicht sicher sind, welche Dienste Sie selbst ausführen.

Im Allgemeinen wird es jedoch nicht benötigt. Voraussetzung ist jedoch, dass Sie die Sicherheitsupdates rechtzeitig installieren.

Standardmäßig setzen sich Samba und Avahi nur lokalen IPS aus. Avahi wird standardmäßig ausgeführt. Sambda wird manuell installiert. (Wenn Sie einen Ordner freigeben, wird der Installationsdialog für Samba angezeigt.)

Ansonsten werden bei einer Ubuntu-Installation standardmäßig keine eingehenden Verbindungen ausgeschlossen.

Ralf
quelle
7
Es gibt nur einen Router, wenn es einen Router gibt. Personen, die ein Modem verwenden (z. B. 56k, 3G oder ADSL) oder direkt an ein Kabelmodem angeschlossen sind, haben keine NAT-Schutzschicht.
Oli
1

Ich denke, dass Sie in Iptables suchen müssen.

iptables ist die Firewall, die standardmäßig in Ubuntu installiert ist. Hier gibt es ein HowTo . Wenn Sie die Befehlszeile nicht beherrschen, ist Firestarter möglicherweise eine nützliche Ergänzung, da es eine grafische Benutzeroberfläche über iptables hinzufügt.

Hier gibt es ein gutes HowTo .

DilbertDave
quelle
Hassen Sie es nicht, wenn Leute abstimmen, ohne zu erklären, warum - ich habe breite Schultern und kann Kritik nehmen, wenn ich etwas falsch gemacht habe, wenn nur die Leute den Anstand hatten, es mir zu sagen; so lernen wir alle etwas.
DilbertDave
0

Sie sollten sich auch AppArmor ansehen: https://help.ubuntu.com/community/AppArmor

Mit AppArmor können Sie jede Anwendung steuern, die Zugriff auf das Internet hat. Mit diesem Tool können Sie steuern, auf welche Dateien und Verzeichnisse diese Anwendung zugreift und welche Posix 1003.1e-Funktionen verfügbar sind. Das ist sehr, sehr mächtig.

Viele Anwendungen können problemlos profiliert werden, indem das apparmor-profiles-Paket aus den Repositorys installiert wird.

Nicolas Schirrer
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.