it-swarm-eu.dev

Welche Vorsichtsmaßnahmen sollte ich treffen, wenn ich meinen Desktop direkt dem Internet aussetze?

Ich habe meinen Ubuntu-Desktop immer hinter der Sicherheit eines Routers mit NAT verwendet, aber es gab einige Male, in denen ich ihn direkt an ein aktives Kabelmodem anschließen musste.

Welche Vorsichtsmaßnahmen sollte ich im Allgemeinen treffen, wenn mein Computer längere Zeit dem Internet ausgesetzt ist? Besonderheiten, die sofort in den Sinn kommen, sind:

  • Gibt es Standardnetzwerkdienste, die ich möglicherweise deaktivieren möchte?
  • Muss die Standard-Firewall-Konfiguration geändert werden?
  • Sollte ich mir Gedanken über Dienste machen, die die Kennwortauthentifizierung verwenden?
  • Welche Art der Protokollierung kann ich ausführen, um über nicht autorisierten Zugriff benachrichtigt zu werden?

Mir ist klar, dass Fragen wie diese nur die Spitze des Eisbergs von expansiven Themen sind, auf denen ganze Berufe basieren. Lassen Sie mich also klarstellen: Was ich suche, sind ein paar unkomplizierte Empfehlungen für Best Practices oder Konfigurationsänderungen, die ein Desktop-Benutzer hat würde sich in einer Ubuntu-Standardinstallation als nützlich erweisen.

30
ændrük

Eine standardmäßige Ubuntu-Installation sollte keine Netzwerkdienste aktivieren, auf die über das Internet zugegriffen werden kann.

Sie können über (für TCP) überprüfen:

netstat -lntp

Ähnliches gilt für udp, aber udp unterscheidet nicht zwischen Ports, die zum Abhören oder Senden geöffnet sind.

Eine iptables-Konfiguration ist daher nicht erforderlich.

Ein bisschen off-topic vielleicht, da folgendes Sie auf jeden Fall betrifft (es ist egal, ob Sie sich hinter einem Router befinden):

  • erwägen Sie die Deaktivierung von Flash (da das Flash-Plugin in der Vergangenheit viele urkomische Sicherheitsprobleme hatte).
  • erwägen Sie, das Java-Plugin (falls aktiviert) zu deaktivieren und es nur für bestimmte Sites zu aktivieren (nicht so viele Sicherheitsprobleme in der Vergangenheit wie Flash, aber einige).

Und sicher, das wissen Sie wahrscheinlich, aber auf jeden Fall: Arbeiten Sie immer so normal wie möglich. Benutze keinen Firefox etc. als root ...

Ein Beispiel für die Ausgabe von netstat -lntp:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

Die 127.0.0.1-Einträge sind harmlos, da diese Programme nur die lokale Netzwerkschnittstelle überwachen.

sshd ist ein Beispiel für einen Dienst, der alle verfügbaren Schnittstellen abhört (0.0.0.0, d. h. die, mit der das Kabel-Internet-Modem verbunden ist). In der Regel verfügen Sie jedoch über gute Kennwörter oder deaktivieren die Kennwortauthentifizierung und verwenden nur den öffentlichen Schlüssel.

Auf jeden Fall ist IIRC sshd nicht standardmäßig installiert.

Die letzten beiden Schnittstellen betreffen IPv6. :: 1 ist die Adresse des Loopback-Geräts (wie 127.0.0.1 in IPv4) und somit sicher. ::: ist der IPv6-Platzhalter für alle Netzwerkschnittstellen analog zu 0.0.0.0 (IPv4).

29
maxschlepzig

Firewall. Aktivieren Sie ufw (Sudo ufw enable) und verweigern Sie dann alle, lassen Sie nur die Thigs zu, die Sie belichten möchten. ufw verwendet iptables. Es ist nicht schlimmer.

ufw kann IIRC protokollieren.

Binden Sie Dinge an localhost und nicht an *.

11
Oli

Du bist in Sicherheit ! Bei der Neuinstallation von Ubuntu sind keine Netzwerkdienste für andere Systeme verfügbar. Es besteht also kein Risiko.

Unter Ubuntu können Sie jedoch möglicherweise eine Anwendung installieren, die Dienste für andere Systeme in einem Netzwerk anbietet: z. Freigabe von Dateien oder Druckern.

Solange Sie sich in Ihrem Heim- oder Arbeitsumfeld befinden (normalerweise beide hinter einem Router oder einer Firewall), können Sie Ihren Computer als sicher betrachten , insbesondere wenn Sie halten es mit dem neuesten Sicherheitsupdate auf dem neuesten Stand: Siehe unter System-> Administration-> Update Manager.

Nur , wenn Sie direkt mit dem Internet verbunden sind oder über ein öffentliches WLAN (wie in einer Kaffeebar oder einem Hotelzimmer) und wenn Sie Netzwerkdienste wie das Freigeben von Dateien/Ordnern verwenden, können Sie exponiert sein . Das für die Windows-Dateifreigabe verantwortliche Paket (mit dem Namen samba) wird jedoch häufig durch Sicherheitsupdates auf dem neuesten Stand gehalten. Sie sollten sich also nicht zu viele Sorgen machen.

Gufw - Unkomplizierte Firewall

Wenn Sie sich also riskant fühlen oder sich in einer riskanten Umgebung befinden, installieren Sie eine Firewall . ufw wurde vorgeschlagen, aber es ist eine Befehlszeile, und es gibt eine nette grafische Oberfläche, um es direkt zu konfigurieren. Suchen Sie im Ubuntu Software Center nach dem Paket mit dem Namen Firewall Configuration oder gufw.

Gufw in Software Centre

Die Anwendung befindet sich (nach der Installation) in System-> Administration-> Firewall Configuration.

Sie können es aktivieren, wenn Sie sich in einem öffentlichen WLAN oder einer anderen Art von direkten/nicht vertrauenswürdigen Verbindungen befinden. Um die Firewall zu aktivieren, wählen Sie im Hauptfenster "Aktivieren". Deaktivieren Sie diese Option, um die Firewall zu deaktivieren. So einfach ist das.

PS: Ich weiß nicht, wie ich den passenden Link finden soll. Deshalb habe ich ihn nicht eingefügt.

7
Huygens

Sowohl Oli als auch maxschlepzig haben wirklich gute Antworten.

Eine Firewall sollte nicht sein ist für die meisten Leute notwendig, da Sie sowieso keine Dinge ausführen sollten, die auf einer Workstation abhören. Es ist jedoch nie schlecht, ein einfaches iptables-Setup mit einer Standardrichtlinie zum Verweigern aller Richtlinien auszuführen. Sie müssen nur daran denken, Verbindungen zuzulassen, wenn Sie etwas Kreativeres tun möchten (SSH ist das erste gute Beispiel dafür).

Maxschlepzig bringt jedoch noch einen weiteren wichtigen Punkt zur Sprache. Es ist nicht nur das, was die Leute dir antun wollen, sondern auch das, was du dir selbst antust. Unsicheres Surfen im Internet ist wahrscheinlich das größte Risiko für den durchschnittlichen Desktop-Benutzer, da unsichere E-Mail- und "Thumbdrive" -Verwendung nicht weit entfernt sind.

Wenn Firefox Ihr Standardbrowser ist, empfehle ich Plugins wie Adblock Plus, FlashBlock, NoScript und BetterPrivacy. Ähnliche Tools gibt es auch für Chrome. Ich schließe Adblocking als Schutz ein, weil ich Anzeigen auf legitimen Websites gesehen habe, die wirklich Malware-Loader waren. Daher empfehle ich die Verwendung eines Adblockers, es sei denn, Sie haben einen Grund, auf eine bestimmte Website zu verzichten. NoScript hilft auch sehr, indem es die Ausführung von JavaScript verhindert, sofern Sie dies nicht zulassen.

Bei E-Mails sind die offensichtlichen Empfehlungen, unbekannte oder unerwartete angehängte Dateien nicht ohne Überprüfung zu öffnen, weiterhin eine gute Empfehlung. Ich würde auch sehen, was Sie ausschalten können. Bei einigen Clients können Sie JavaScript in eingehenden HTML-E-Mails deaktivieren oder den HTML-Teil einer Nachricht vollständig deaktivieren. Klartext ist vielleicht nicht so hübsch, aber es ist viel schwieriger, ein bisschen Malware einzuschleusen.

7
Don Faulkner

Sind Sie sicher, dass Ihr Ubuntu-Desktop direkt dem Internet ausgesetzt ist? In der Regel befindet sich dazwischen ein Router, der bereits als Firewall fungiert.

Andernfalls können Sie Firestarter installieren, wenn Sie sich nicht sicher sind, welche Dienste Sie selbst ausführen.

Im Allgemeinen wird es jedoch nicht benötigt. Voraussetzung ist jedoch, dass Sie die Sicherheitsupdates rechtzeitig installieren.

Standardmäßig setzen sich Samba und Avahi nur lokalen IPS aus. Avahi wird standardmäßig ausgeführt. Sambda wird manuell installiert. (Wenn Sie einen Ordner freigeben, wird der Installationsdialog für Samba angezeigt.)

Ansonsten werden bei einer Ubuntu-Installation standardmäßig keine eingehenden Verbindungen ausgeschlossen.

3
Ralf

Ich denke, dass Sie in Iptables suchen müssen.

iptables ist die Firewall, die standardmäßig in Ubuntu installiert ist. Es gibt ein HowTo hier . Wenn Sie nicht in der Befehlszeile fließend sind, finden Sie möglicherweise Firestarter eine nützliche Ergänzung, da eine grafische Benutzeroberfläche über iptables hinzugefügt wurde.

Es gibt ein gutes HowTo hier .

1
DilbertDave

Sie sollten sich auch AppArmor ansehen: https://help.ubuntu.com/community/AppArmor

Mit AppArmor können Sie jede Anwendung steuern, die Zugriff auf das Internet hat. Mit diesem Tool können Sie steuern, auf welche Dateien und Verzeichnisse diese Anwendung zugreift und welche Posix 1003.1e-Funktionen verfügbar sind. Das ist sehr, sehr mächtig.

Viele Anwendungen können problemlos profiliert werden, indem das apparmor-profiles-Paket aus den Repositorys installiert wird.

0