Jakie są zagrożenia NIEUŻYWANIA zapory ogniowej (komputera domowego)?

51

Ponieważ wymagane jest hasło, aby być superużytkownikiem (do instalowania i modyfikowania programów), jakie jest ryzyko, że nie będzie używać zapory sieciowej w systemie Ubuntu? W szczególności, jeśli korzystam z routera NAT?

riimzzai
źródło

Odpowiedzi:

40

To zależy. Większość ludzi korzysta z routera między komputerem stacjonarnym a Internetem i domyślnie nie ma znaczących otwartych portów, więc w zdecydowanej większości przypadków zapora ogniowa dodaje bardzo mało.

Może to pomóc, jeśli nieumyślnie zainstalujesz serwer, taki jak VNC lub SSH.

Lepszym pytaniem jest, do czego chcesz używać zapory?

Widzieć:

https://wiki.ubuntu.com/SecurityTeam/FAQ#UFW

https://wiki.ubuntu.com/SecurityTeam/Policies#No_Open_Ports

https://help.ubuntu.com/community/UFW

Jeśli potrzebujesz graficznego narzędzia do firewalla, użyj gufw

wprowadź opis zdjęcia tutaj

Pantera
źródło
Dziękuję za odpowiedź. W rzeczywistości używam już gufw z otwartym portem dla mojego klienta torrent. I muszę powiedzieć, że jest to bardziej zwyczaj Windows, ponieważ korzystanie z systemu Windows bez zapory jest dość samobójcze.
riimzzai
Tak, Windows ma wiele udokumentowanych i nieudokumentowanych otwartych portów, chociaż może się poprawiać (nie używał żadnej wersji Windows wyższej niż XP).
Panther
Nawet w systemie Windows NAT chroni przed większą liczbą zagrożeń niż większość ludzi zdaje sobie sprawę. Ale po prostu nie widzę dobrego powodu, aby NIE używać zapory.
davidcl
1
@davidcl - Tylko uważaj, aby nie włączyć UPnP na routerze to wszystko;) W przeciwnym razie +1 do routera (który jest wyposażony w firewall / NAT).
Panther
11

Wygląda na to, że pytanie dotyczy zapory opartej na hoście na komputerze Ubuntu.

JEŚLI urządzenie nigdy nie opuszcza sieci opartej na NAT (tj. Nie jest to laptop, który zabierasz do kawiarni i używasz w bezpłatnych sieciach Wi-Fi),

ORAZ w routerze nie ma otwartych portów, które można by zmapować na maszynę Ubuntu,

ORAZ router nie ma żadnych funkcji, które mogłyby pomóc ci w otwarciu portów na podstawie zdarzeń w sieci (UPnP)

I nigdy nie będziesz mieć w swojej sieci lokalnej żadnych innych urządzeń, które mogłyby zostać naruszone i zaatakować twoje urządzenie Ubuntu

NASTĘPNIE twój system jest prawdopodobnie bezpieczny bez zapory opartej na hoście.

Jeśli jednak niektóre z tych rzeczy nie są prawdą lub mogą stać się nieprawdziwe, zapora oparta na hoście jest naprawdę dobrym pomysłem. Biorąc pod uwagę potencjalne korzyści i ograniczone wady, dlaczego nie włączyć?

davidcl
źródło
9

Używając NAT, jeśli nie masz portu przekierowującego do twojego komputera, nie jest on dostępny z Internetu, chyba że jawnie otworzysz połączenie z nim (na przykład za pomocą vnc lub teamviewer), więc myślę, że nie ma problemu z użyciem zapory na nim . Niepowtarzalny problem może wynikać z dostępu wewnętrznego (LAN), ale zwykle nie dotyczy to domowej sieci LAN.

Laurent
źródło
Nie prawda; czytaj dalej na STUN. Istnieje wiele usterek związanych z STUN, które umożliwiają usługom zewnętrznym otwieranie portów dla komputerów w zaporze.
puszysty
Funkcja ogłuszania jest przeznaczona dla klientów VoIP do przejścia przez NAT / zaporę ogniową, więc jeśli ją włączysz (zwykle nie jest to potrzebne), i tak otworzysz maszynę dla tych portów i powinieneś podjąć odpowiednie środki (np. Nie włączać UPnP na routerze dla przykład).
laurent
Funkcja STUN traversal nie jest „za” niczym, jest artefaktem działania NAT, który został wykorzystany w celu ulepszenia protokołów sieciowych peer-to-peer, takich jak SIP i tym podobne. Można go używać na dobre. Można go również wykorzystać do zła.
puszysty
2

Absolutnie nic.

Funkcja zapory ogniowej polega na blokowaniu dostępu do usług, które w innym przypadku by na to pozwoliły. Ubuntu nie ma domyślnie żadnych usług nasłuchiwania, więc nie ma nic do zablokowania. Ponadto, ponieważ jesteś za routerem NAT, masz już skutecznie zaporę ogniową.

psusi
źródło
2
Nie jest to do końca prawdą, ponieważ niektóre routery mają UPnP, a ludzie niechcący włączają udostępnianie pulpitu (VNC). Prowadzi to do najczęstszego pęknięcia, jakie widziałem na Ubuntu. Oczywiście mogą równie dobrze otworzyć port VNC bez myślenia ... Myślę, że naszą pozycją powinna być edukacja, a nie rezygnacja z uogólnień i absolutnych roszczeń.
Panther
@ bodhi.zazen, nie widzę, jak można włączyć to przez przypadek, a jeśli miałeś problem z włączeniem go, wyobrażam sobie, że chcesz, aby działał, więc zapora byłaby nieproduktywna. Domyślnie wyświetla się monit o autoryzację, gdy ktoś się łączy, więc nawet jeśli pozostawiłeś je włączone i nie ustawiłeś hasła, nadal nie wpuści nikogo bez Twojej zgody.
psusi
Oto przykład tego, jak może się to stać przez przypadek: miket5au.blogspot.com/2011/03/beware-vnc-and-upnp.html Czasami chcesz udostępniać na pulpicie w sieci LAN, ale nie chcę włączać go dla świat zewnętrzny.
davidcl
To powiedziawszy, twoja zapora oparta na hoście prawdopodobnie nie pomaga ci w tym scenariuszu.
davidcl
@davidcl rzeczywiście zapora sieciowa oparta na hoście zablokowałaby ją również w sieci LAN. I w pierwszym wierszu tego artykułu przyznaje „Byłem nieostrożny”. Jeśli jesteś wystarczająco nieostrożny, aby pozostawić otwarte drzwi frontowe (włącz vnc bez hasła lub monitu), możesz równie łatwo być wystarczająco nieostrożnym, aby pozostawić otwartą bramę (zapora ogniowa). Posiadanie bramy lub nie ma znaczenia, jeśli nie zostawisz otwartych drzwi wejściowych.
psusi
1

Myślę, że jedną z najczęściej używanych funkcji zapory ogniowej jest zapobieganie „pękniętym” programom sprawdzającym licencję w Internecie. Jeśli „pęknięta” aplikacja nie musi być aktualizowana lub nie korzysta z funkcji „online”, możesz uniemożliwić jej dostęp do Internetu, ustawiając określoną regułę zapory. Smutne ale prawdziwe.

Serafini
źródło
0

Ogólnie rzecz biorąc, będąc albo komputerami publicznymi, albo komputerami bez bezpiecznego połączenia, takimi jak te, które w mniejszym lub większym stopniu przejmują połączenia internetowe od innych użytkowników w sąsiednich portach (tj. W sąsiednich domach / mieszkaniach), to sam - jak sądzę - dałby przykład jak zapora ogniowa (dyskrecja) może być lepszą częścią męstwa, że ​​tak powiem. Ponadto powstrzymują osoby wokół ciebie przed zagłębianiem się w Twoje dane, niezależnie od tego, czy są to dane osobiste, czy nawet głupie, z którymi możesz się pieprzyć. Chodzi o prywatność.

Kiedy mówię ogólnie, znowu mam na myśli miejsca takie jak miejsca publiczne. Biblioteki, w których wszystko, zanim użyjesz przenośnych nośników, takich jak USB, cokolwiek, naprawdę, dyski - nawet jeśli chcesz zrobić coś pochopnego, takiego jak zabranie własnego zewnętrznego dysku twardego w inne miejsce i podłączenie go, nie ma gwarancji, że kolejny port jest chroniony przez programy blokujące wirusy lub oprogramowanie szpiegujące, a wszystko to może się zatrzasnąć i przenieść z powrotem na oryginalny domowy laptop / komputer stacjonarny, dzięki czemu będzie się czuł jak w domu.

Tak więc, chociaż w wielu przypadkach może nie być gwałtownej potrzeby, aby zapora ogniowa chroniła przed wieloma rzeczami, z pewnością przydadzą się one w przypadku niektórych - jeśli izolowanych - przypadków.


źródło
0

W międzyczasie znalazłem kilka interesujących uwag na temat zapory ogniowej .

W artykule wyjaśniono pojęcie „nasłuchiwania usługi”, „otwartego portu” i „routera NAT”, które mogą być źle zrozumiane, aby stwierdzić, że: - lepiej z niż bez (nawet jeśli jeździsz czołgiem, zapnij pasy bezpieczeństwa) i - pomyśl dwa razy przed zrobieniem czegoś wpływającego na system (względy edukacyjne)

riimzzai
źródło