Comment protéger vos ports USB sous Linux

Comment protéger vos ports USB sous Linux / Linux

Le bus série universel (USB) Qu'est-ce que l'USB Type-C? Qu'est-ce que l'USB Type-C? Ah, la prise USB. Il est aussi omniprésent maintenant qu’il est notoire de ne jamais pouvoir être branché correctement la première fois. Read More est l'épée à double tranchant qui a révolutionné la manière dont nous nous connectons à nos appareils. Sa nature plug and play a simplifié le transfert de données entre appareils. Les clés USB ne sont pas sans défauts cependant. Ils sont rapidement devenus le moyen d’infecter des réseaux entiers avec des virus et des logiciels malveillants..

Crédit d'image: Marek R. Swadzba via Shutterstock.com

Entrez le périphérique USB Kill, qui peut complètement frire votre port USB ou détruire votre carte mère. Il y parvient en chargeant ses condensateurs à partir du port USB et en renvoyant la tension brutale au port. Cela se produit plusieurs fois jusqu'à ce que débranché, ou l'hôte meurt.

Voyons comment vous pouvez essayer d'atténuer les risques de tels dispositifs.

Les bases

Avant d'entrer dans les détails, voici quelques règles simples que vous pouvez suivre:

  • N'insérez pas de clés USB abandonnées par terre.
  • N'insérez pas de clés USB données par une personne au hasard.
  • Demandez à des personnes de confiance de vous envoyer des fichiers via le cloud.
  • N'insérez pas de clés USB. Comment protéger et chiffrer un lecteur flash avec un mot de passe: 5 méthodes simples Comment protéger et chiffrer un lecteur flash avec un mot de passe: 5 méthodes simples Besoin de créer un lecteur flash USB crypté? Voici les meilleurs outils gratuits pour protéger et chiffrer votre mot de passe par mot de passe. En savoir plus sur des fournisseurs connus tels que Samsung, SanDisk, etc..
  • Ne laissez pas votre ordinateur sans surveillance.

Cette liste devrait couvrir la plupart des cas. Cependant, la sécurité des périphériques USB peut encore être améliorée.

Protégez votre BIOS

Si vous avez une machine qui doit être laissée sans surveillance, accéder à cette machine est relativement simple. Tout ce que quelqu'un a à faire est de créer un lecteur USB amorçable et de démarrer à partir du lecteur dans un environnement en direct. Cela leur donnera accès à tous les fichiers non cryptés. Dans le cas de Windows, vous pouvez même effacer les mots de passe des utilisateurs. Protégez votre système de base par mot de passe (BIOS) Comment entrer le BIOS sur votre ordinateur Comment saisir le BIOS sur votre ordinateur Dans le BIOS, vous pouvez modifier les paramètres de base de votre ordinateur, tels que la séquence d'amorçage. La clé exacte dont vous avez besoin pour frapper dépend de votre matériel. Nous avons compilé une liste de stratégies et de clés pour entrer… Lire plus signifie qu'un mot de passe doit être saisi avant même que les options de démarrage apparaissent.

Consultez la documentation de votre fabricant de matériel pour savoir comment entrer dans le BIOS. En général, cela se fait en tapant plusieurs fois sur la Effacer clé au démarrage de votre ordinateur, mais cela varie selon les fabricants. Le mot de passe doit être défini sous le Sécurité section dans votre BIOS.

USBGuard a votre dos

Avez-vous besoin de laisser un PC ou un serveur sans surveillance? Si tel est le cas, vous pouvez empêcher les attaques avec un utilitaire bien nommé, USBGuard. Ceci est conçu pour vous protéger contre les périphériques USB malveillants, également appelés BadUSB. Vos périphériques USB ne sont plus sûrs, grâce à BadUSB Vos périphériques USB ne sont plus sûrs, grâce à BadUSB En savoir plus. Les exemples incluent des périphériques USB pouvant émuler un clavier et émettre des commandes pour un utilisateur connecté. Ces périphériques peuvent également usurper les cartes réseau et modifier les paramètres DNS d'un ordinateur pour rediriger le trafic..

USBGuard arrête essentiellement les périphériques USB non autorisés en mettant en œuvre des fonctionnalités de base de listes noires et de listes blanches. Dans l’idéal, vous ne devriez autoriser aucun périphérique USB, à l’exception d’un petit nombre de personnes de confiance. Lorsque vous connectez un périphérique USB ou un concentrateur, USBGuard analysera d'abord le périphérique. Il examine ensuite son fichier de configuration de manière séquentielle pour vérifier si ce périphérique est autorisé ou rejeté. La grande chose à propos de USBGuard est qu’il utilise une fonctionnalité directement implémentée dans le noyau Linux..

Si vous utilisez Ubuntu 16.10 ou une version ultérieure, vous pouvez installer USBGuard en tapant:

sudo apt install usbguard

Si vous êtes sur l'un des plus anciens * Buntus, vous pouvez suivre les instructions sur GitHub [N'est plus disponible]. Notre exemple suivra un simple permettre qui montrera comment autoriser un appareil avec un identifiant spécifique. Pour être opérationnel, utilisez:

usbguard generate-policy> rules.conf nano rules.conf

Prenez un moment pour examiner la politique sur le point d'être ajoutée. Cette étape ajoutera et autorisera tout ce qui est actuellement branché sur votre machine. Vous pouvez supprimer ou mettre en commentaire les lignes des périphériques que vous ne souhaitez pas autoriser..

sudo installer -m 0600 -o racine -g racine rules.conf /etc/usbguard/rules.conf sudo systemctl redémarrer usbguard

Mettez-le à l'épreuve

À l'heure actuelle, aucun périphérique connecté à votre ordinateur ne fonctionnera, même s'il semble avoir été détecté. IPlug dans un lecteur USB pour vérifier cela en exécutant lsusb pour lister tous les périphériques USB connectés au système. Prenez note de l'identifiant SanDisk, nous en aurons besoin plus tard.

Bien que le périphérique ait été détecté dans Ubuntu, rien n’indique qu’il soit monté Comment monter un périphérique flash USB sous Linux et votre Raspberry Pi Comment monter un périphérique flash USB dans Linux et votre Raspberry Pi Périphériques USB et cartes SD avec des distributions populaires (nous utilisons Ubuntu) et des distributions moins répandues, telles que le système d'exploitation Raspbian Jessie du Raspberry Pi. Lire la suite !

Pour ajouter ce périphérique à la liste des périphériques autorisés, exécutez la commande suivante:

sudo nano /etc/usbguard/rules.conf

Maintenant, ajoutez l’identifiant SanDisk au rules.conf fichier pour le définir comme l'un des périphériques autorisés.

Il ne reste plus maintenant qu’à un redémarrage rapide du service USBGuard:

sudo systemctl redémarrer usbguard

Débranchez maintenant, puis reconnectez le lecteur USB. USBGuard vérifie rules.conf, reconnaît l'identifiant en tant que périphérique autorisé et l'autorise à être utilisé.

Immédiatement, votre appareil devient disponible pour une utilisation régulière. Il s’agissait d’une méthode simple permettant simplement à l’appareil de identifiant. Pour être vraiment spécifique, vous pouvez ajouter une règle à rules.conf le long de ces lignes:

autorise 0781: 5151 le nom "SanDisk Corp. Cruzer Micro Flash Drive" série "0001234567" via-port "1-2" refuse le port via "1-2"

Les règles ci-dessus autorisent uniquement un périphérique correspondant à cet identifiant, nom, série uniquement sur un port spécifique. La règle de rejet n'autorise aucun autre périphérique connecté à ce port. Les options sont quasiment infinies, mais on peut s'y référer en ligne.

Prophylactique physique

USBGuard ne va probablement pas vous protéger contre le fameux USB Killer. Alors que peux-tu faire? Si vous avez le contrôle sur vos ports USB et que vous devez toujours brancher des clés USB douteuses, certaines solutions sont disponibles. Le prix d'un concentrateur USB 3 raisons pour lesquelles vous avez besoin d'un concentrateur USB (ou peut-être pas pour vous) 3 raisons pour lesquelles vous avez besoin d'un concentrateur USB (ou peut-être pas pour vous) Presque tous les appareils utilisent actuellement les ports USB un autre. En tant que tel, un hub USB peut s'avérer extrêmement utile pour la plupart des gens. Voici quelques raisons pour lesquelles vous pourriez en vouloir un. En savoir plus sur un nouvel ordinateur portable est microscopique. L’un des grands avantages de cette technologie est que ses accessoires sont largement disponibles et bon marché. Vous pouvez en prendre un de bonne qualité et au lieu de brancher des périphériques fragmentaires directement sur votre ordinateur, branchez-le via le concentrateur USB. Si la clé USB est un USB Killer, le hub USB sera frit et votre machine sera en sécurité..

Le gouvernement américain est une autre solution à votre cas d'utilisation. Le périphérique est un pare-feu matériel situé entre un périphérique USB suspect et votre ordinateur. Il est compatible avec les souris, les claviers et les clés USB. Il vous protégera contre BadUSB en filtrant les activités malveillantes et en transmettant les données dont vous avez besoin..

Crédit d'image: Robert Fisk

N'est-ce pas exagéré?

Selon l'environnement dans lequel vous travaillez, cela peut être le cas. Si vous pouvez vous permettre de ne pas brancher un appareil sur lequel vous n'avez pas un contrôle total et que vous êtes la seule personne à avoir accès à votre ordinateur, alors ce serait le cas. Le bon côté des choses, c'est qu'en plus des gens qui cherchent des moyens de nuire, il y a aussi des gens qui réfléchissent aux moyens de prévenir ces dommages..

Avez-vous déjà eu de mauvaises expériences avec des périphériques USB douteux? Comment vous assurez-vous que votre entreprise dispose de mesures USB sûres? Faites-nous savoir dans les commentaires ci-dessous!

Crédits d'image: Frantisek Keclik / Shutterstock

En savoir plus sur: Sécurité informatique, USB.