¿Qué precauciones debo tomar al exponer mi escritorio directamente a Internet?

30

Siempre he usado mi escritorio Ubuntu detrás de la seguridad de un enrutador con NAT, pero ha habido algunas veces que tuve que conectarlo directamente a un módem de cable activo.

En general, ¿qué precauciones debo tomar en situaciones en las que mi computadora está expuesta a Internet de esta manera durante largos períodos de tiempo? Los detalles que vienen a la mente de inmediato son:

  • ¿Hay algún servicio de red predeterminado que quiera deshabilitar?
  • ¿Es necesario modificar la configuración predeterminada del firewall?
  • ¿Debería preocuparme los servicios que usan autenticación de contraseña?
  • ¿Qué tipo de registro puedo hacer para recibir notificaciones de acceso no autorizado?

Me doy cuenta de que preguntas como esta son solo la punta del iceberg de temas expansivos en los que se basan profesiones enteras, así que déjenme aclarar: lo que estoy buscando son algunas recomendaciones directas de mejores prácticas o cambios de configuración que un usuario de escritorio sería útil en una instalación predeterminada de Ubuntu.

ændrük
fuente

Respuestas:

29

Una instalación estándar de ubuntu no debe activar los servicios de red a los que se puede acceder a través de Internet.

Puede verificar a través de (para tcp):

netstat -lntp

Similar a udp, pero udp no distingue entre puertos abiertos para escuchar o enviar.

Por lo tanto, no es necesaria una configuración de iptables.

Tal vez un poco fuera de tema, ya que lo siguiente le preocupa en cualquier caso (no importa si está detrás de un enrutador):

  • considere deshabilitar flash (ya que el plugin flash tiene una gran historia de divertidos problemas de seguridad)
  • considere deshabilitar el complemento de Java (si está habilitado) y habilitarlo solo para ciertos sitios (no tantos problemas relacionados con la seguridad en el pasado como flash, pero algunos)

Y, claro, probablemente lo sepas, pero de todos modos: siempre trabaja lo más normal posible. No uses firefox, etc. como root ...

Un ejemplo de salida netstat -lntp:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      935/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1811/cupsd      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1755/exim4      
tcp6       0      0 :::22                   :::*                    LISTEN      935/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      1811/cupsd

Las entradas 127.0.0.1 son inofensivas, porque esos programas solo escuchan en la interfaz de red local.

sshd es un ejemplo de un servicio que escucha en todas las interfaces disponibles (0.0.0.0, es decir, la que está conectada al módem de Internet por cable), pero generalmente tiene buenas contraseñas o deshabilita la autenticación de contraseña y solo usa la clave pública.

De todos modos, IIRC sshd no está instalado por defecto.

Las dos últimas interfaces se refieren a IPv6. :: 1 es la dirección del dispositivo de bucle invertido (como 127.0.0.1 en IPv4), por lo tanto seguro. ::: es el comodín de la interfaz de red IPv6 análogo a 0.0.0.0 (IPv4).

maxschlepzig
fuente
3
El consejo sobre netstat -lntp es realmente bueno. Debe evitar cualquier duda sobre posibles conexiones abiertas predeterminadas.
Ralf
1
¿Qué esperarías ver allí en un entorno de escritorio bastante normal?
Chris
1
Ejecutando el navegador web como root. Obturador.
Tim Lytle
11

Cortafuegos Habilite ufw( sudo ufw enable) y luego niegue todo, permita solo las thigs que desea exponer. ufwusa iptables. No es peor

ufw puede iniciar sesión IIRC.

Ate las cosas a localhost y no *.

Oli
fuente
7

Tanto Oli como maxschlepzig tienen muy buenas respuestas.

Un cortafuegos no debería ser necesario para la mayoría de las personas, porque de todos modos no debería estar ejecutando cosas que escuchan en una estación de trabajo. Sin embargo, nunca es malo ejecutar una configuración simple de iptables con una política predeterminada denegar todas las políticas. Solo debe recordar permitir conexiones si alguna vez comienza a hacer algo más creativo (SSH es el primer buen ejemplo de esto).

Sin embargo, maxschlepzig también plantea otro punto importante. No es solo lo que la gente intenta hacerte, sino también lo que te haces a ti mismo. La navegación web insegura es probablemente el mayor riesgo para el usuario promedio de escritorio, ya que el correo electrónico no seguro y el uso de "memoria USB" están muy cerca.

Si Firefox es su navegador predeterminado, le recomiendo complementos como Adblock Plus, FlashBlock, NoScript y BetterPrivacy. Existen herramientas similares para Chrome también. Incluyo el bloqueo de anuncios como protección porque he visto anuncios en sitios legítimos que realmente eran cargadores de malware, por lo que recomiendo usar un bloqueador de anuncios a menos que tenga una razón para no hacerlo en un sitio específico. NoScript también ayuda mucho, al evitar que JavaScript se ejecute a menos que lo permita.

Para el correo electrónico, las recomendaciones obvias para no abrir archivos adjuntos desconocidos o inesperados sin inspección siguen siendo una buena recomendación. También vería lo que puedes apagar. Algunos clientes le permiten deshabilitar JavaScript en el correo electrónico HTML entrante, o deshabilitar la parte HTML de un mensaje por completo. Puede que el texto sin formato no sea tan bonito, pero también es mucho más difícil introducir un poco de malware.

Don faulkner
fuente
7

Estás a salvo ! La instalación limpia de Ubuntu viene sin servicios de red disponibles para otro sistema. Entonces no hay riesgo.

Sin embargo, mientras usa Ubuntu, puede instalar una aplicación que ofrecerá servicios a otro sistema en una red: por ejemplo, compartir archivos o impresoras.

Mientras permanezca dentro de su hogar o entorno de trabajo (que generalmente están detrás de un enrutador o firewall), puede considerar su computadora segura , especialmente si la mantiene actualizada con la última solución de seguridad: consulte en System-> Administration-> Update Manager.

Solo si está conectado directamente a Internet o en un WiFi público (como en una cafetería o habitación de hotel) y si utiliza servicios de red como compartir archivos / carpetas , podría estar expuesto . Sin embargo, el paquete responsable del uso compartido de archivos de Windows (denominado samba) a menudo se mantiene actualizado con la corrección de seguridad. Entonces no debes preocuparte demasiado.

Gufw - Cortafuegos sin complicaciones

Entonces, si siente que es arriesgado o si se encuentra en un entorno riesgoso, intente instalar un firewall . ufwha sido sugerido, pero es una línea de comando, y hay una interfaz gráfica agradable para configurarlo directamente. Busque el paquete nombrado Firewall Configurationo gufwen el Centro de software de Ubuntu.

Gufw en el Centro de Software

La aplicación se encuentra (una vez instalada) en System-> Administration-> Firewall Configuration.

Puede activarlo cuando esté en un WiFi público u otro tipo de conexiones directas / no confiables. Para activar el firewall, seleccione "Activar" en la ventana principal. Deseleccione para desactivar el firewall. Es fácil.

PD: No sé cómo encontrar el enlace 'apto', por eso no los pongo ...

Huygens
fuente
3

¿Estás seguro de que tu escritorio ubuntu está expuesto directamente a internet? Por lo general, hay un enrutador intermedio, que ya actúa como firewall.

De lo contrario, puede instalar Firestarter, si está paranoico sobre los servicios que ejecuta.

En general, sin embargo, no es necesario. Sin embargo, lo que se necesita es que se asegure de instalar las actualizaciones de seguridad de manera oportuna.

Por defecto, samba y avahi no se exponen a nada más que a ips locales '. Avahi se ejecuta de forma predeterminada, sambda es algo que instala manualmente. (cuando elige 'compartir' una carpeta, aparece el cuadro de diálogo de instalación de samba)

Aparte de eso, no se exceptúan las conexiones entrantes de forma predeterminada en una instalación de ubuntu.

Ralf
fuente
77
Solo hay un enrutador si hay un enrutador. Las personas que usan un módem (ya sea 56k, 3g o ADSL) o personas conectadas directamente a un módem por cable, no tienen una capa NAT protectora.
Oli
1

Creo que necesitas buscar en iptables.

iptables es el firewall que está instalado, por defecto, en Ubuntu. Hay un HowTo aquí . Si no tiene fluidez en la línea de comandos, puede encontrar que Firestarter es una adición útil, ya que agregó una GUI en la parte superior de iptables.

Hay un buen HowTo aquí .

DilbertDave
fuente
No odies cuando las personas votan en contra sin explicar por qué: tengo los hombros anchos y puedo recibir críticas si tengo algo mal si solo las personas tienen la decencia de decirme; de esa manera todos aprendemos algo.
DilbertDave
0

También debe echar un vistazo a AppArmor: https://help.ubuntu.com/community/AppArmor

AppArmor le permite controlar todas las aplicaciones que tienen acceso a Internet. Con esta herramienta puede controlar a qué archivos y directorios accede esta aplicación, y qué capacidades de posix 1003.1e. Esto es muy, muy poderoso.

Muchas aplicaciones se pueden perfilar fácilmente instalando el paquete apparmor-profiles desde los repositorios.

Nicolas Schirrer
fuente