web-dev-qa-db-fra.com

Pourquoi Ubuntu est-il permissif avec les connexions sortantes par défaut?

Je suis plutôt novice en Linux, car la plupart des ordinateurs pour les ressources de mon école utilisent Linux, je viens d'installer Ubuntu pour apprendre.

Par défaut, iptables et ufw définissent la politique comme suit:

IPTABLES -P INPUT DROP
IPTABLES -P FORWARD DROP
IPTABLES -P OUTPUT ACCEPT

ufw default deny (entrant par défaut).

Dans les deux cas, toutes les distributions Linux font confiance à toutes les applications, y compris les célèbres serveurs ftp, smtp, ssh, courrier et toutes les autres autorisant le trafic sortant sans préavis ni concentration. Ce qui à son tour laisse tous les ports 0 à 65535 ouverts pour le trafic sortant de toutes les applications installées.

En outre, il n’existe pas de contrôle particulier de l’application permettant à des applications telles que firefox, opera ou autres, d’accéder à Internet dans les pare-feu jusqu’à présent, j’ai essayé. Toute application installée peut profiter librement de toute liberté d'accès à Internet.

Dans toutes les principales distributions, netstat est tempéré pour fournir un minimum d'informations.

Ce qui me préoccupe, c’est la sécurité .... Quelle sécurité offre le système d’exploitation (Linux), qui autorise tout le trafic sortant et ne fait que bloquer l’accès au trafic entrant?

3
Insecure Linux

Ce genre de discussion revient de temps en temps et, selon l’OMI, la meilleure réponse est que Linux n’est pas Windows et que la stratégie de pare-feu actuelle est jugée suffisante par les développeurs/l’équipe de sécurité d’Ubuntu car, par défaut, il n’ya pas de ports ouverts.

Voir: https://wiki.ubuntu.com/SecurityTeam/Policies

L’utilité d’un pare-feu dans le type de préoccupations que vous avez (logiciels malveillants ou pirate informatique utilisant le système pour des activités non autorisées) a été débattue, mais l’opinion générale est qu’il n’est pas nécessaire par défaut (comme vous pouvez le constater). d'accord avec la décision l'esprit toi;)

Vous êtes libre de ne pas être d'accord avec la décision et de modifier vos politiques ou d'envoyer un courrier à l'équipe de sécurité si vous le souhaitez.

En ce qui concerne un pare-feu au niveau de l’application tel qu’il existe dans certaines applications Windows, disons simplement qu’il n’est pas si facile à mettre en œuvre et que j’ai déjà vu quelques tentatives pour coder un pare-feu au niveau des applications au fil des ans, mais, technologie IMO, n'est pas encore là.

Vous voudrez peut-être regarder léopardflower Je ne l'utilise pas et ne peux pas garantir de l'efficacité de son fonctionnement.

Une autre tentative plus ancienne était tuxguardian , mais comme vous pouvez le constater, elle n'est plus maintenue et je ne vous conseillerais pas de l'utiliser.

La chose la plus proche dans Ubuntu serait Apparmor.

https://wiki.ubuntu.com/AppArmor

Non, ce n’est pas précisément ce que vous demandez, c’est aussi proche que possible.

Sinon, IMO, cette discussion est ancienne, si vous effectuez une recherche dans les forums Ubuntu, vous trouverez un certain nombre de discussions, et

http://brainstorm.ubuntu.com/idea/4137

Bonne chance, j'espère que cet article vous fournira au moins quelques informations, même si ce n'est probablement pas la réponse que vous recherchiez.

4
Panther

Les connexions sortantes exigent qu’elles proviennent de l’intérieur du pare-feu. Dans la plupart des cas, il s'agira d'une activité initiée par l'utilisateur. La configuration d'un pare-feu avec une stratégie fermée pour le trafic sortant est une entreprise difficile qui nécessite une maintenance pour chaque nouveau service ou client Internet installé. En fonction du logiciel installé et de l'utilisation du système, il est possible que le pare-feu résultant soit presque complètement ouvert sur tous les ports, à l'exception des ports privilégiés.

Une stratégie ouverte pour les services sortants fournit un pare-feu raisonnablement sécurisé sans nécessiter un niveau de compétence important de la part de l'utilisateur. Les règles de saisie et de transmission constituent une barrière solide contre les attaques extérieures et rendent le système relativement invisible pour les sondes externes.

Il existe des programmes qui requièrent davantage que la plupart des ports non privilégiés soient ouverts. Cela ne laisse que les ports sécurisés (<1024) pouvant être sécurisés. Comme sur les systèmes Linux (UNIX), ces ports nécessitent des privilèges root avant de pouvoir être ouverts, peu de programmes peuvent les utiliser.

La configuration d'un pare-feu avec une stratégie fermée pour le trafic sortant est une entreprise difficile. Des règles de pare-feu sont requises pour chaque service auquel vous accédez, et dans certains cas, le logiciel client ou la pile réseau peut nécessiter une configuration spéciale. De nombreux clients utilisent par défaut des ports éphémères pour un accès sortant pour TCP, UPD ou les deux en tant que source et destination. La plage de ports éphémères comprend tous les ports sur 1024 pour le transfert des routeurs et des adresses distantes.

1
BillThor