Однажды я прочитал в другой ветке о суперпользователе, что компьютеры в сети могут пытаться получить доступ к службам, работающим на других компьютерах в той же сети.

Считается ли он достаточно безопасным, чтобы включить ufw и запретить все входящие соединения при использовании неизвестной сети на ПК с Ubuntu с надежным паролем sudo, или о чем-то еще нужно позаботиться?

2 ответа2

2

Считается ли он достаточно безопасным, чтобы включить UFW и запретить все входящие подключения при использовании неизвестной сети на ПК с Ubuntu

Также следует учитывать, что в неизвестной сети возможно, что другая система в этой сети могла бы отслеживать весь трафик, проходящий по среде (гораздо чаще с беспроводным, чем проводным), и / или выполнять различные атаки для обмана хостов. Обе эти тактики могут быть использованы для просмотра трафика, отправляемого на ваш ПК, и получения информации, такой как пароли и т.д., Которую вы обычно считаете конфиденциальной.

Чтобы смягчить это:

  • Ограничьте важные / конфиденциальные сообщения в ненадежных сетях трафиком SSL. Есть дополнения для Chrome и Firefox, которые заставляют https:// когда это возможно.
  • В идеале вы должны знать отпечаток SSL-сертификатов любых доменов, к которым вы хотите подключиться через ненадежную сеть, ДО того, как попадете в ненадежную сеть. Это позволит вам обнаружить любую попытку атаки «человек посередине» с поддельным сертификатом. Сравните отпечатки при первом подключении к такому домену в ненадежной сети.
  • Если вы столкнулись с ошибкой сертификата в ненадежной сети, либо не продолжайте работу, либо сравните отпечатки пальцев и убедитесь, что вы подключаетесь к ожидаемому хосту, чего, скорее всего, нет, если вы получите предупреждение о сертификате.
  • Используйте VPN-серверы (виртуальные частные сети) или аналогичные технологии (IPSEC, Tor, SSH ...), которые шифруют ваш трафик через потенциально небезопасную локальную сеть. При этом вы можете, по крайней мере, избежать прослушивания с помощью WiFi или даже кабельного соединения.
0

(Я никогда не использовал UFW, но я разбираюсь в IPTables, на которых он основан, и UFW утверждает, что он разрешает только исходящие соединения по умолчанию - поэтому, если вы идете с этим ответом, предполагается, что вы используете конфигурацию по умолчанию)

Включив UFW на своем устройстве, вы сделаете так, чтобы ваш компьютер не доверял другим системам в сети LAN / WIFI - это означает, что он просто считает их частью расширенного Интернета - поэтому запускать UFW так же безопасно, как и положиться на маршрутизатор (на самом деле безопаснее).

То, что сказал @ultrasawblade, в значительной степени является правильным и в целом хорошим советом - однако оно не решает проблему, заключающуюся в том, что в Интернете кто-либо между вами и вашей целью может перехватить ваш трафик, поэтому следование его указаниям - хотя в целом хорошая идея - не приносит вам большой выгоды с точки зрения безопасности, специфичной для атак на базе LAN/WIFI. Атаки «человек в середине», хотя и возможны в локальной сети, довольно сложны, если маршрутизатор не скомпрометирован. (Его основные пункты направлены на смягчение атак MITM)

Вы спрашиваете об использовании sudo с надежными паролями. Этот вопрос не будет касаться безопасности ящика в сети LAN/WIFI. Ответ, однако, сложен.

Безопасность лучше не рассматривать как «Вкл. Или Выкл.», Скорее ее следует рассматривать по уровням и пора идти на компромисс. Как и физическая безопасность, кто-то с тараном в конце концов сможет проникнуть внутрь, но чем крепче дверь, тем дольше она займет и тем больше признаков принудительного входа. Подобно тому, как наличие большего количества дверей / сигналов тревоги с различными замками и т.д. Также замедлит вход, например, наличие большего количества уровней безопасности.

Наличие брандмауэра - это уровень безопасности. Требование SUDO это еще один слой. Использование SELinux или Apparmour - это еще один уровень. Использование антивирусного сканера - это еще один уровень (вероятно, не очень применимый). Не устанавливать вещи, которые вам не нужны - особенно такие вещи, как Adobe Flash, и не запускать исполняемые файлы, которым вы не доверяете, и которым вы не можете доверять - это еще один уровень, как и блокировщик рекламы / javascript. Резервные копии - это еще один слой. (RAID не является резервной копией) Регулярное исправление системы - это еще один уровень. Запуск вещей в ВМ - это еще один слой.

Таким образом, безопасность - это баланс между простотой использования, практичностью и ценностью того, что вы пытаетесь защитить. Правильное решение - это то, что только вы можете решить, исходя из компромиссов - система, в которой вы используете SUDO и UFW, была бы аналогична ПК с Windows с брандмауэром и отдельной учетной записью администратора.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .