Quelles précautions dois-je prendre lorsque j'expose mon ordinateur directement à Internet?
J'ai toujours utilisé mon bureau Ubuntu derrière la sécurité d'un routeur avec NAT, mais il a parfois fallu le brancher directement sur un modem câble actif.
En général, quelles précautions dois-je prendre dans les cas où mon ordinateur est exposé à Internet pendant des périodes prolongées? Les détails qui me viennent immédiatement à l’esprit sont:
- Existe-t-il des services réseau par défaut que je pourrais vouloir désactiver?
- Est-il nécessaire de modifier la configuration du pare-feu par défaut?
- Devrais-je m'inquiéter des services utilisant l'authentification par mot de passe?
- Quel type de journalisation puis-je faire pour être averti d'un accès non autorisé?
Je me rends compte que des questions comme celle-ci ne sont que la partie émergée de l'iceberg de sujets étendus sur lesquels reposent des professions entières, alors laissez-moi vous préciser: Ce que je cherche, ce sont quelques recommandations simples de meilleures pratiques ou de modifications de configuration qu'un utilisateur de bureau serait utile dans une installation Ubuntu par défaut.
Une installation ubuntu standard ne doit pas activer les services réseau accessibles via Internet.
Vous pouvez vérifier via (pour tcp):
netstat -lntp
Similaire pour udp, mais udp ne fait pas la distinction entre les ports ouverts pour l'écoute ou l'envoi.
Ainsi, une configuration iptables n’est pas nécessaire.
Un peu hors sujet peut-être, car ce qui suit vous concerne de toute façon (peu importe si vous êtes derrière un routeur):
- envisagez de désactiver le flash (car le plugin flash a une longue histoire de problèmes de sécurité hilarants)
- envisagez de désactiver le plug-in Java (s'il est activé) et de ne l'activer que pour certains sites (pas autant de problèmes liés à la sécurité que Flash, mais quelques-uns)
Et, bien sûr, vous le savez probablement, mais de toute façon: travaillez toujours aussi normalement que possible. N'utilisez pas Firefox, etc., en tant que root ...
Un exemple de sortie netstat -lntp:
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 935/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1811/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1755/exim4
tcp6 0 0 :::22 :::* LISTEN 935/sshd
tcp6 0 0 ::1:631 :::* LISTEN 1811/cupsd
Les entrées 127.0.0.1 sont inoffensives, car ces programmes n’écoutent que sur l’interface du réseau local.
sshd est un exemple de service qui écoute toutes les interfaces disponibles (0.0.0.0, y compris celle à laquelle le modem Internet par câble est connecté) - mais vous avez généralement de bons mots de passe ou désactivez l'authentification par mot de passe et utilisez uniquement une clé publique.
Quoi qu'il en soit, IIRC sshd n'est pas installé par défaut.
Les deux dernières interfaces concernent IPv6. :: 1 est l'adresse du périphérique de bouclage (comme 127.0.0.1 dans IPv4), donc sûr. ::: est l'analogue générique d'IPv6 tout interface réseau à 0.0.0.0 (IPv4).
Pare-feu. Activez ufw (Sudo ufw enable), puis refusez tout, autorisez uniquement les mouvements que vous souhaitez exposer. ufw utilise iptables. Ce n'est pas pire.
ufw peut enregistrer IIRC.
Liez les choses à localhost et non *.
Vous êtes en sécurité ! La nouvelle installation d’Ubuntu ne comprend aucun service réseau disponible pour un autre système. Donc, il n'y a pas de risque.
Néanmoins, lorsque vous utilisez Ubuntu, vous pouvez installer une application offrant des services à un autre système sur un réseau: par exemple. partage de fichiers ou d'imprimantes.
Tant que vous restez dans votre maison ou votre environnement de travail (qui se trouvent généralement derrière un routeur ou un pare-feu), , vous pouvez considérer votre ordinateur comme sûr , en particulier si vous le gardez à jour avec le dernier correctif de sécurité: voir dans System-> Administration-> Update Manager.
Uniquement si vous êtes directement connecté à Internet ou à un réseau WiFi public (comme dans un café ou une chambre d'hôtel) et si vous utilisez des services réseau comme le partage de fichiers/dossiers, alors vous pourriez être exposé . Encore une fois, le package responsable du partage de fichiers Windows (nommé samba) est souvent mis à jour avec le correctif de sécurité. Donc, ne vous inquiétez pas trop.
Donc, si vous croyez que c'est risqué ou si vous êtes dans un environnement risqué, essayez d'installer un pare-feu . ufw a été suggéré, mais c'est une ligne de commande et une interface graphique Nice permet de le configurer directement. Recherchez le paquet nommé Firewall Configuration ou gufw dans le Centre logiciel Ubuntu.
L'application est située (une fois installée) dans System-> Administration-> Firewall Configuration.
Vous pouvez l'activer lorsque vous utilisez un réseau WiFi public ou tout autre type de connexion directe/non sécurisée. Pour activer le pare-feu, sélectionnez "Activer" dans la fenêtre principale. Désélectionnez-le pour désactiver le pare-feu. C'est si facile.
PS: Je ne sais pas comment trouver le lien "apt", c'est pourquoi je ne les mets pas ...
Oli et maxschlepzig ont de très bonnes réponses.
Un pare-feu ne devrait pas devrait être nécessaire pour la plupart des gens, car vous ne devriez de toute façon pas exécuter des choses qui écoutent sur un poste de travail. Cependant, il n’est jamais mauvais d’exécuter une simple configuration d’iptables avec une stratégie de refus de tout par défaut. N'oubliez pas d'autoriser les connexions si vous commencez à faire quelque chose de plus créatif (SSH en est le premier bon exemple).
Cependant, maxschlepzig soulève un autre point important. Ce n'est pas simplement ce que les gens essaient de vous faire, mais aussi ce que vous vous faites. La navigation Web non sécurisée est probablement le plus gros risque pour l'utilisateur de bureau moyen, le courrier électronique non sécurisé et l'utilisation de la clé USB étant très proches.
Si Firefox est votre navigateur par défaut, je vous recommande des plugins tels que Adblock Plus, FlashBlock, NoScript et BetterPrivacy. Des outils similaires existent également pour Chrome. J'inclue adblocking en tant que protection, car j'ai vu des annonces sur des sites légitimes qui étaient vraiment des programmes de chargement de logiciels malveillants. Je vous recommande donc d'utiliser un bloqueur de publicité à moins que vous n'ayez une raison de ne pas utiliser un site spécifique. NoScript aide également beaucoup, en empêchant l'exécution de JavaScript à moins que vous ne le permettiez.
Pour le courrier électronique, la recommandation évidente de ne pas ouvrir les fichiers joints inconnus ou inattendus sans inspection est toujours une bonne recommandation. Je verrais aussi ce que vous pouvez désactiver. Certains clients vous permettent de désactiver JavaScript dans les messages HTML entrants ou de désactiver entièrement la partie HTML d'un message. Le texte brut n'est peut-être pas aussi joli, mais il est beaucoup plus difficile d'intégrer un peu de malware.
Êtes-vous sûr que votre bureau Ubuntu est exposé directement à Internet? Il y a généralement un routeur entre les deux, qui agit déjà comme un pare-feu.
Sinon, vous pouvez installer Firestarter si vous êtes paranoïaque à propos des services que vous exécutez vous-même.
En général cependant, ce n'est pas nécessaire. Cependant, vous devez vous assurer que vous installez les mises à jour de sécurité en temps utile.
Par défaut, samba et avahi ne s'exposent qu'à des ips locaux. Avahi fonctionne par défaut, sambda est quelque chose que vous installez manuellement. (lorsque vous choisissez de "partager" un dossier, la boîte de dialogue d'installation de Samba apparaît)
En dehors de cela, aucune connexion entrante n'est exceptée par défaut lors d'une installation d'ubuntu.
Je pense que vous devez regarder dans iptables.
iptables est le pare-feu installé par défaut sur Ubuntu. Il y a un HowTo here . Si vous ne maîtrisez pas la ligne de commande, vous pouvez trouver Firestarter un ajout utile car il a ajouté une interface graphique au-dessus d’iptables.
Il y a un bon HowTo here .
Vous devriez également consulter AppArmor: https://help.ubuntu.com/community/AppArmor
AppArmor vous permet de contrôler toutes les applications ayant accès à Internet. Avec cet outil, vous pouvez contrôler les fichiers et les répertoires auxquels cette application a accès, ainsi que les fonctionnalités posix 1003.1e. C'est très, très puissant.
De nombreuses applications peuvent être facilement profilées en installant le paquet apparmor-profiles à partir des référentiels.