web-dev-qa-db-fra.com

Comment configurer UFW pour un ordinateur de bureau / portable de base?

Lecture cette réponse sur activant UFW , je comprends qu'un ordinateur sans pare-feu peut être sécurisé sur mon réseau local, mais ceci Une configuration sécurisée sur un ordinateur portable utilisé en dehors de mon réseau local peut être risquée.

Comme ufw est installé par défaut, je souhaite l’activer et je souhaite le configurer pour mon " configuration de base de bureau/ordinateur portable ".

Par "configuration de base de bureau/ordinateur portable", je veux dire que mon ordinateur est utilisé pour:

  • utiliser Firefox
  • lire des emails sur Thundurbird
  • communiquer avec Skype
  • jouer à des jeux sur Steam et Minecraft pour mes enfants
  • partager des documents par mon réseau NFS local
2
Boris

Un pare-feu de bureau de base va interdire le trafic entrant et le trafic sortant dans une configuration de base. Pour l'essentiel, bien que Windows puisse intégrer le filtrage basé sur les applications, ses règles par défaut consistent à autoriser les transferts entrants et sortants, sauf lorsque le trafic sortant reçoit une réponse. Il s'agit de la configuration de pare-feu "de bureau" typique généralement observée à l'état sauvage sur les ordinateurs de bureau des utilisateurs finaux typiques.

(Idéalement, vous utilisez ufw pour plus de simplicité, mais un ensemble de règles vraiment utile utilisera purement iptables à la place.)


La méthode ufw. Et probablement la configuration la plus élémentaire mais la plus efficace de ufw pour un ordinateur de bureau ne nécessitant aucune connexion entrante spéciale, ni aucune restriction particulière pour les communications sortantes:

En théorie, vous souhaiterez refuser le trafic entrant, autoriser le trafic sortant et autoriser le trafic entrant lié à vos actions sortantes. ufw le fait presque par défaut.

Notez que je n'ai pas de règles allow supplémentaires ici. Vous n'avez besoin d'aucune règle d'autorisation supplémentaire - ufw fait par défaut ce que fait mon iptables installé manuellement ci-dessous - il accepte le trafic entrant lié à une connexion sortante établie. Par conséquent, les connexions de navigateur Web et les clients de messagerie électronique initialisent les numéros de port qui correspondent à la "plage de ports aléatoires" fonctionneront, et vous ne serez pas obligé d'accepter le trafic http (80), https (443), etc. sur leurs ports car il est déjà géré de manière transparente. Pour ajouter des règles ALLOW IN supplémentaires telles que la réponse de Boris le fait , l'utilisateur de bureau typique n'est ouvert qu'aux connexions inutiles sur ces ports, dont un bureau n'aurait pas besoin.

(1) Activer UFW

Activer les règles ufw

ufw enable

Cela devrait vraiment être tout ce que vous devez faire pour ufw. Mais vous pouvez continuer si vous voulez.

(2) Refuser le trafic entrant

C’est à peu près sûr que c’est la valeur par défaut, mais pour vous en assurer, exécutez cette opération pour vous assurer qu’elle interdit le trafic entrant par défaut (à l’exception de celle liée aux messages sortants, tels que les éléments de navigateur Web):

ufw default deny incoming

(3) Autoriser le trafic sortant

Cela devrait également être la valeur par défaut, mais exécutez-le et assurez-vous que le trafic sortant est autorisé:

ufw default allow outgoing

Cela devrait être tout ce que vous devez faire!

(Je vérifierai cela plus tard aujourd'hui)


Et puis, voici mon chemin, avec iptables et la manipulation manuelle des netfilter/iptables au lieu de ufw (ce qui le fait silencieusement) (---)

D'après ce que je peux dire, ufw a un ensemble de règles par défaut et cela devrait suffire à un bureau typique.

Cependant, je préfère l'approche iptables car je connais assez bien iptables et parce que j'aime configurer manuellement mon pare-feu plutôt que de laisser ufw ou un logiciel de contrôle de pare-feu aléatoire créer mes règles pour moi.

Ceci est mon jeu de règles pour iptables (NOT ufw) sur mes ordinateurs de base sans autre écoute, et n'est pas verrouillé comme mon ordinateur portable personnel. Il réalise également à peu près exactement la même chose que le système UFW:

iptables -A INPUT -i lo -j ACCEPT - Faut autoriser localhost, non?

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED - Permet au trafic déjà établi de finir d'entrer. Autorise le trafic lié aux communications sortantes.

iptables -A INPUT -p icmp -j ACCEPT - Autorise les paquets ICMP dans (ping, etc.). Vous n'en avez pas besoin, mais vous pouvez l'avoir si vous le voulez.

iptables -A INPUT -j REJECT --reject-with icmp-Host-unreachable - Cela empêche tout ce qui va vers l'ordinateur.

La valeur système par défaut pour iptables sans règles ufw ou autres règles activées est "ACCEPT" pour INPUT, OUTPUT et FORWARD. J'ajoute donc manuellement la règle "Rejeter tout autre trafic" à la fin.

(Notez que c'est presque exactement ce que l'IPtables HowTo fournit sur les pages d'aide d'Ubunt . Plus quelques modifications mineures)

7
Thomas Ward