Myślę, że te pytania są zbyt szerokie, aby uzyskać obiektywną i prawidłową odpowiedź.
Stefano Palazzo
Zakładam, że masz na myśli firewall oparty na hoście, a nie samodzielny. Zgadzam się jednak ze Stefano, że jest to zbyt szeroki temat, aby można było uzyskać jednoznaczną odpowiedź. Wiele zależy od kontekstu - gdzie znajduje się twój system, jakie usługi prowadzisz, jakie inne zabezpieczenia są na miejscu, jaka jest wartość twojego czasu sprawności (w przypadku odmowy usługi) i danych (finansowych, zastrzeżonych, niezastąpionych) itp. Ogólna zasada ostrożnego bezpieczeństwa polega na stosowaniu wielu zabezpieczeń. Jeśli nie przeszkadza to w codziennej działalności, dodanie dodatkowej warstwy zabezpieczeń ma kilka wad i prawdopodobne korzyści.
belacqua
Również sudo nmap localhost. Czy masz teraz otwarte porty? (Szacunkowe przybliżenie.)
Belacqua
sudo nmap localhostto polecenie nie działa
TheXed
1
@ TheX thats bo namp nie jest zainstalowany?
theTuxRacer
Odpowiedzi:
7
Tak, bardziej niż kiedykolwiek. Internet niewiele się zmienił od czasów dawnych. Tak więc zapora ogniowa jest nadal koniecznością. Zapora ogniowa jak gufw z podstawowymi regułami działa. Użyj iptables, jeśli jesteś maniakiem CLI;)
do diabła, proszę skomentować, dlaczego przegłosowałeś.
theTuxRacer
1
głosowanie ++; echo "Use iptables" - I assume I\'m a real CLI geek then :p;
Lekensteyn,
1
Niepoprawna odpowiedź.
psusi
1
@psusi Czy mówisz, że jest to niepoprawne, ponieważ nie zgadzasz się z założeniem, że używanie zapory opartej na hoście jest dobrym pomysłem, czy też nie zgadzasz się z ocenami ufw / iptables?
belacqua
1
@ jgbelacqua jest niepoprawny, ponieważ zapora oparta na hoście dla systemu komputerowego Ubuntu jest bezcelowa i nie jest potrzebna bardziej niż kiedykolwiek. Pytanie powiązane z Manish ma bardzo dobre wyjaśnienie, dlaczego.
psusi
5
Sprawdź tę odpowiedź, aby zapoznać się z kolejną dyskusją na temat zapór ogniowych na Ubuntu.
Niewątpliwie wystarczy tylko jeden oportunistyczny snooper, aby nie spowodować końca kłopotów. Zamieszanie polega na tym, jak masz pewność, że jesteś za zaporą ogniową.
Jest to omówione bardziej szczegółowo tutaj: Czy jest fabrycznie zainstalowana lub automatyczna zapora ogniowa? ale w skrócie, jeśli jesteś w sieci domowej, za routerem bezprzewodowym, wtedy router zwykle wykonuje zaporę ogniową. Oczywiście dobrze jest skonsultować się z producentem, zanim zaczniesz na czymkolwiek polegać (zależy to również od konfiguracji routera).
GUFW nie jest samo w sobie zaporą ogniową, tylko GUI dla domyślnej zapory ogniowej (UFW) w Ubuntu. UFW jest domyślnie wyłączony. Ogólnie rzecz biorąc, wskazane jest, aby uruchomić tylko jedną zaporę ogniową, aby uniknąć potencjalnych konfliktów, więc pod warunkiem, że jesteś w zaufanej sieci domowej (i masz pewność, że router zapewnia odpowiednią ochronę), radzę wyłączyć zaporę programową (UFW).
Oczywiście, włącz go ponownie, gdy jesteś w sieci publicznej / niezaufanej.
Uruchamianie zapory osobistej oprogramowania nie szkodzi ... jest to ogólnie dobry pomysł i oferuje „głęboką ochronę” przed wszelkimi źle działającymi maszynami w sieci lokalnej.
Nerdfest,
Zgadzam się, o ile zapory są skonfigurowane w ten sam sposób. Liczba godzin ive spędzony diagnozowania problemów z siecią, tylko do odkrycia dwóch zapór nie zgadzają się na to, czego pozwalając dzięki ...
richzilla
1
W mojej sieci LAN: bez zapory. W obliczu Internetu: oczywiście zapora ogniowa. Zapora sieciowa opiera się na zaufaniu do komputerów, z którymi się łączę.
djeikyb
2
Polecam zainstalować zaporę ogniową. Coś jest zawsze lepsze niż nic. prawda? Ubuntu, domyślnie ma zaporę ogniową „ ufw ”. gufw (wspomniany w pytaniu) to nic innego jak GUI „ufw”.
Tylko uwaga: iptables nie jest zaporą ogniową. Netfilter jest częścią jądra Linuksa. iptables to tylko narzędzie wiersza poleceń, które służy do modyfikowania / odpytywania zestawu reguł netfilter.
LGB
Kolejna nieprawidłowa odpowiedź.
psusi
@LGB z wikipedia: iptables to aplikacja do obsługi przestrzeni użytkownika, która pozwala administratorowi systemu konfigurować tabele dostarczone przez zaporę jądra Linux (zaimplementowaną jako różne moduły Netfilter) oraz przechowywane w niej łańcuchy i reguły. Teraz jestem zmieszany.
theTuxRacer
@aneesheep Powiedziałbym, że jest to mylące, ponieważ uwfjest to interfejs dla iptables(który jest interfejsem do netfilter). Nie możesz zainstalować ufw bez zainstalowanego iptables.
belacqua
Dziękuję znajomym za poprowadzenie mnie we właściwym kierunku. Usunąłem sekcję iptables z mojej odpowiedzi.
aneeshep
1
Ubuntu powinien również posiadać domyślną zaporę ogniową aktywowaną za pomocą narzędzia GUI. Dziwię się, że to nie pochodzi. Wiem, że iptables już tam jest, ale nie ma załadowanych reguł. Musisz to zrobić ręcznie lub zainstalować coś takiego jak Firestarter, aby uruchomić podstawy dla Ciebie.
Byłem tak zaskoczony, gdy pewnego dnia dowiedziałem się, że mój dostawca usług internetowych zapewnia mi moje publiczne IP za każdym razem, gdy włączam DSL. Wyobraź sobie, ile trafień, prób logowania ssh, innych skanów i exploitów MS (tak, ktoś uruchamiał to na adresach IP mojego usługodawcy internetowego), przez cały czas mój komputer. LOL! :)
A twoja maszyna całkiem szczęśliwie ignoruje je wszystkie bez potrzeby zapory ogniowej.
psusi
Maszyna nie ignoruje, jeśli usługa nasłuchuje na określonym porcie. W rzeczywistości twierdzę, że maszyna chętnie przyjmuje połączenia.
theTuxRacer
1
@ Kaustubh P jeśli na porcie nasłuchuje usługa, CHCESZ ją zaakceptować połączenia i otworzysz ten port w zaporze. Jeśli nie, odrzuca połączenia z tym portem.
psusi
1
Z definicji zapora blokuje komunikację, która w innym przypadku byłaby dozwolona. Komputer stacjonarny z systemem Ubuntu nie ma domyślnie zainstalowanych usług, które akceptują połączenia, więc zapora nie blokuje dostępu. Dlatego jest całkowicie bezużyteczny.
Powodem, dla którego zapora ogniowa jest uważana za niezbędną w systemie Windows, jest to, że jest ona dostarczana z domyślnie zainstalowanymi kilkoma martwymi mózgami usługami, które akceptują połączenia i umożliwiają drugiej stronie robienie rzeczy z komputerem, których nie chcesz.
„całkowicie bezużyteczne” - źle. Zapora ogniowa dodaje dodatkową warstwę obrony. Podajesz także nieprawidłowe informacje, domyślna instalacja Ubuntu udostępnia usługi publicznie. Na przykład zapewnia CUPS (Common Unix Printing System) nasłuchiwanie na porcie UDP 631.
Lekensteyn
1
Jeśli zainstalujesz nową usługę, która używa innych portów, będą one pozostały otwarte, chyba że je zamknąć, lub regulować je z firewallem .
theTuxRacer
OP nie wspomina o komputerze stacjonarnym ani serwerze. Nawet w systemie stacjonarnym, jak mówi @Kaustubh, nie ma gwarancji, że po wyjściu z pierwotnej konfiguracji porty nie będą otwarte. A czasami porty są nieumyślnie pozostawione otwarte w aktualizacjach.
belacqua
@Lekensteyn: To nie jest źle. Sugeruję przeczytanie drugiego pytania, które Manish powiązało z tym, gdzie zostało również jasno wyjaśnione. Gdy port jest już zamknięty, program, który zamyka porty, jest bezużyteczny. CUPS domyślnie akceptuje również połączenia z localhost.
Wraz z wprowadzeniem IPv6 zapora stanie się jeszcze bardziej krytyczna. W przeciwieństwie do IPv4, gdzie większość systemów jest względnie zabezpieczona na prywatnych zakresach adresów IP, urządzenia IPv6 prawdopodobnie będą w pełni dostępne.
Posiadanie zapory z domyślnymi zasadami odmowy będzie jeszcze bardziej krytyczne. Znalezienie urządzeń do skanowania będzie trudniejsze ze względu na rzadkie użycie adresów. Utrzymanie niektórych protokołów, takich jak SMB na lokalnych adresach linków, pomoże, ale nie będzie magiczną kulą.
To powiedziawszy w domyślnej instalacji, aktywna zapora ogniowa to tylko dodatkowa warstwa bezpieczeństwa. Wiele aplikacji obsługujących otwarte porty wymaga otwarcia ich portów, aby umożliwić im działanie. Całkiem dobrze wszystkie mają dodatkowe metody ich zabezpieczenia. Włącz wszystkie odpowiednie warstwy zgodnie z wymaganiami.
EDYCJA: Pojawiło się wiele komentarzy na temat umożliwienia kontroli dostępu do aplikacji i innych powodów, dla których nie ma zapory. Niestety wiele aplikacji nie ma kontroli dostępu. Inni nasłuchują na wszystkich adresach, więc zapora ogniowa staje się jedynym sposobem ograniczenia dostępu z niektórych interfejsów.
Jak zauważyłem powyżej, zapora ogniowa to tylko jedna warstwa bezpieczeństwa. Bezpieczne aplikacje to kolejne, ale nie można łatwo zapewnić, że użytkownicy będą uruchamiać tylko bezpieczne aplikacje. Zapora ogniowa to jeden ze sposobów ochrony użytkowników.
Żadne uzasadnione środki bezpieczeństwa nie są całkowicie bezpieczne. Chociaż wielu użytkowników może nie być wystarczająco zainteresowanych lub wykształconych, aby w pełni zrozumieć zaporę, nie jest to powód, aby nie używać zapory lub nie mieć zapory.
Domyślną zasadą BEZ zapory jest odrzucanie połączeń. Nie potrzebujesz do tego zapory ogniowej; używasz zapory sieciowej, aby zmienić zasady POWRÓT, aby odrzucić, gdy już zainstalowano usługę, która próbuje zaakceptować. Oczywiście, jeśli chcesz to zrobić, to po prostu nie instaluj usługi, aby zaakceptować połączenie.
psusi
1
@psusi. Odinstalowanie usługi jest rozwiązaniem typu tak / nie. Korzystanie z zapory pozwala na dokładną kontrolę.
BillThor
umożliwia kontrolę drobnoziarnistą, ale sama usługa zwykle pozwala na jeszcze bardziej szczegółową kontrolę. Podczas instalowania usługi konfigurujesz ją tak, aby akceptowała pożądane połączenia, a nie używała oddzielnego narzędzia do jej ograniczenia. Usługi mają również rozsądne ustawienia domyślne, więc podczas ich instalacji akceptują tylko połączenia z lokalnego hosta lub sieci lokalnej, więc ponownie nie ma potrzeby zapory.
psusi
@psusi Udzielone usługi często mają drobiazgową kontrolę. Ale nie zawsze logują się, gdy porzucają połączenie w spójny sposób. Zapora może zapewniać spójne rejestrowanie, chociaż skanowanie innych dzienników jest przydatne. Zapora może także rejestrować sondy brakujących usług. Może to pozwolić na proaktywne blokowanie hosta inicjującego.
BillThor,
przeciętny użytkownik pulpitu nie wie ani nie obchodzi tego rodzaju rzeczy. Oczywiście są pewne rzeczy, które możesz zrobić z ipchains, których nie możesz zrobić z danym demonem, ale nic, co przeciętny użytkownik komputera uzna za „konieczny”.
psusi
0
Wszyscy mają rację, bądź ostrożny i prawdopodobnie używaj jakiegoś rodzaju ochrony, może to powodować pewne kłopoty w zależności od tego, co robisz, ale czasami nie zauważysz, jak bardzo ten dodatkowy problem naprawdę cię chroni.
Jednym ze sposobów na dodanie dodatkowej ochrony, która wcale nie jest nachalna, jest zajrzenie do OpenDNS , po prostu dodaje fajne funkcje kontrolne i dodatkowe zabezpieczenia dla podstawowego korzystania z Internetu.
sudo nmap localhost
. Czy masz teraz otwarte porty? (Szacunkowe przybliżenie.)sudo nmap localhost
to polecenie nie działaOdpowiedzi:
Tak, bardziej niż kiedykolwiek. Internet niewiele się zmienił od czasów dawnych. Tak więc zapora ogniowa jest nadal koniecznością. Zapora ogniowa jak gufw z podstawowymi regułami działa. Użyj iptables, jeśli jesteś maniakiem CLI;)
źródło
echo "Use iptables" - I assume I\'m a real CLI geek then :p
;Sprawdź tę odpowiedź, aby zapoznać się z kolejną dyskusją na temat zapór ogniowych na Ubuntu.
Dlaczego zapora jest domyślnie wyłączona?
źródło
Niewątpliwie wystarczy tylko jeden oportunistyczny snooper, aby nie spowodować końca kłopotów. Zamieszanie polega na tym, jak masz pewność, że jesteś za zaporą ogniową.
Jest to omówione bardziej szczegółowo tutaj: Czy jest fabrycznie zainstalowana lub automatyczna zapora ogniowa? ale w skrócie, jeśli jesteś w sieci domowej, za routerem bezprzewodowym, wtedy router zwykle wykonuje zaporę ogniową. Oczywiście dobrze jest skonsultować się z producentem, zanim zaczniesz na czymkolwiek polegać (zależy to również od konfiguracji routera).
GUFW nie jest samo w sobie zaporą ogniową, tylko GUI dla domyślnej zapory ogniowej (UFW) w Ubuntu. UFW jest domyślnie wyłączony. Ogólnie rzecz biorąc, wskazane jest, aby uruchomić tylko jedną zaporę ogniową, aby uniknąć potencjalnych konfliktów, więc pod warunkiem, że jesteś w zaufanej sieci domowej (i masz pewność, że router zapewnia odpowiednią ochronę), radzę wyłączyć zaporę programową (UFW).
Oczywiście, włącz go ponownie, gdy jesteś w sieci publicznej / niezaufanej.
źródło
Polecam zainstalować zaporę ogniową. Coś jest zawsze lepsze niż nic. prawda? Ubuntu, domyślnie ma zaporę ogniową „ ufw ”. gufw (wspomniany w pytaniu) to nic innego jak GUI „ufw”.
Mam nadzieję że to pomoże.
źródło
uwf
jest to interfejs dlaiptables
(który jest interfejsem do netfilter). Nie możesz zainstalować ufw bez zainstalowanego iptables.Ubuntu powinien również posiadać domyślną zaporę ogniową aktywowaną za pomocą narzędzia GUI. Dziwię się, że to nie pochodzi. Wiem, że iptables już tam jest, ale nie ma załadowanych reguł. Musisz to zrobić ręcznie lub zainstalować coś takiego jak Firestarter, aby uruchomić podstawy dla Ciebie.
Byłem tak zaskoczony, gdy pewnego dnia dowiedziałem się, że mój dostawca usług internetowych zapewnia mi moje publiczne IP za każdym razem, gdy włączam DSL. Wyobraź sobie, ile trafień, prób logowania ssh, innych skanów i exploitów MS (tak, ktoś uruchamiał to na adresach IP mojego usługodawcy internetowego), przez cały czas mój komputer. LOL! :)
źródło
Z definicji zapora blokuje komunikację, która w innym przypadku byłaby dozwolona. Komputer stacjonarny z systemem Ubuntu nie ma domyślnie zainstalowanych usług, które akceptują połączenia, więc zapora nie blokuje dostępu. Dlatego jest całkowicie bezużyteczny.
Powodem, dla którego zapora ogniowa jest uważana za niezbędną w systemie Windows, jest to, że jest ona dostarczana z domyślnie zainstalowanymi kilkoma martwymi mózgami usługami, które akceptują połączenia i umożliwiają drugiej stronie robienie rzeczy z komputerem, których nie chcesz.
źródło
Wraz z wprowadzeniem IPv6 zapora stanie się jeszcze bardziej krytyczna. W przeciwieństwie do IPv4, gdzie większość systemów jest względnie zabezpieczona na prywatnych zakresach adresów IP, urządzenia IPv6 prawdopodobnie będą w pełni dostępne.
Posiadanie zapory z domyślnymi zasadami odmowy będzie jeszcze bardziej krytyczne. Znalezienie urządzeń do skanowania będzie trudniejsze ze względu na rzadkie użycie adresów. Utrzymanie niektórych protokołów, takich jak SMB na lokalnych adresach linków, pomoże, ale nie będzie magiczną kulą.
To powiedziawszy w domyślnej instalacji, aktywna zapora ogniowa to tylko dodatkowa warstwa bezpieczeństwa. Wiele aplikacji obsługujących otwarte porty wymaga otwarcia ich portów, aby umożliwić im działanie. Całkiem dobrze wszystkie mają dodatkowe metody ich zabezpieczenia. Włącz wszystkie odpowiednie warstwy zgodnie z wymaganiami.
EDYCJA: Pojawiło się wiele komentarzy na temat umożliwienia kontroli dostępu do aplikacji i innych powodów, dla których nie ma zapory. Niestety wiele aplikacji nie ma kontroli dostępu. Inni nasłuchują na wszystkich adresach, więc zapora ogniowa staje się jedynym sposobem ograniczenia dostępu z niektórych interfejsów.
Jak zauważyłem powyżej, zapora ogniowa to tylko jedna warstwa bezpieczeństwa. Bezpieczne aplikacje to kolejne, ale nie można łatwo zapewnić, że użytkownicy będą uruchamiać tylko bezpieczne aplikacje. Zapora ogniowa to jeden ze sposobów ochrony użytkowników.
Żadne uzasadnione środki bezpieczeństwa nie są całkowicie bezpieczne. Chociaż wielu użytkowników może nie być wystarczająco zainteresowanych lub wykształconych, aby w pełni zrozumieć zaporę, nie jest to powód, aby nie używać zapory lub nie mieć zapory.
źródło
Wszyscy mają rację, bądź ostrożny i prawdopodobnie używaj jakiegoś rodzaju ochrony, może to powodować pewne kłopoty w zależności od tego, co robisz, ale czasami nie zauważysz, jak bardzo ten dodatkowy problem naprawdę cię chroni.
Jednym ze sposobów na dodanie dodatkowej ochrony, która wcale nie jest nachalna, jest zajrzenie do OpenDNS , po prostu dodaje fajne funkcje kontrolne i dodatkowe zabezpieczenia dla podstawowego korzystania z Internetu.
źródło