Чому брандмауер вимкнено за замовчуванням?

64

Чому брандмауер ufw включений в Ubuntu, коли він не включений і попередньо налаштований за замовчуванням? Більшість користувачів навіть не знають, що це там, тому що не надається інтерфейс GUI.

— 6205
джерело

6

Я був шокований, коли випадково дізнався, що встановлений брандмауер, але відключений! Аргументи, згадані тут, досить слабкі.

— HRJ

1

У мене виникає те саме питання, чому я приземлився тут, я просто дивно здогадуюсь, що користувачі Linux (на відміну від користувачів Windows, які, швидше за все, є звичайними настільними користувачами), використовують різні способи використання Linux: деякі для пенітерування, деякі використовують ssh, деякі ні, багато використовують його як веб-сервер, базу даних або сервер smtp ... Філософія Linux дозволить кожному користувачу налаштувати свій брандмауер так, як він вважає за потрібне.

— користувач10089632

Це неймовірно погане дизайнерське рішення. Просто дивно погано!

— іоно

37

У вікні Ubuntu постачається без портів TCP або UDP, отже, існує думка, що немає підстав запускати Нескладний брандмауер (ufw) за замовчуванням. Я згоден, однак, що втратити ufw - це дивне рішення. Моє міркування полягає в тому, що недосвідчені користувачі можуть встановити такі речі, як Samba, Apache тощо, як вони експериментують із системою, поставленою перед ними. Якщо вони не зрозуміють наслідків цього, вони піддадуть себе зловмисній поведінці в Інтернеті.

Приклад - у мене ноутбук налаштований на Samba, що добре в домашній мережі, захищений WPA2. Але якщо я візьму свій ноутбук до Starbucks, я, можливо, нічого про це не думаю, але цей ноутбук зараз рекламує мої акції всім і всьому. За допомогою брандмауера я можу обмежити свої порти samba лише своїм домашнім сервером або одноранговими пристроями. Зараз не потрібно так сильно хвилюватися, хто може намагатися підключитися до мого ноутбука. Те саме стосується VNC, SSH або величезної кількості інших корисних послуг, з якими мій ноутбук працює або намагається підключитися.

Ubuntu дуже підходить до вимкнення певних елементів безпеки - філософія, з якою я не можу погодитися. Безпека може бути технічно увімкнена або вимкнена, але, накладаючи елементи безпеки один над одним, ви отримуєте кращу систему. Звичайно, безпека Ubuntu досить хороша для великої кількості випадків використання, але не для всіх.

Підсумок, виконайте ufw. Краще перестрахуватися, ніж потім шкодувати.

Нескладний брандмауер має ряд графічних передніх кінців, але найпростішим є Gufw .

sudo apt-get install gufw

Тут я дозволяю весь трафік від конкретних серверів VLAN в моєму корпоративному середовищі, і я додав правило, щоб дозволити необхідним портам для зворотного сеансу SSH відскакувати від цієї машини.

Скріншот GUFW

— Ланцюг
джерело

ufw просто керує iptables - тому він не включений за замовчуванням. Просунуті користувачі можуть використовувати iptables.

— papukaija

3

@papukaija - досвідчені користувачі iptables можуть використовувати iptables. Просунутий користувач у системі bsd використовував би pf, але це не робить цього користувача, приходячи до ubuntu, раптом непідданим. Так само і з тим, хто в першу чергу є мережевим інженером - ця людина знала б логіку Cisco або Juniper ACL. Це не для всіх, але ufw може зробити конфігурацію більш доступною, і, на мою думку, це гарна річ.

— belacqua

2

@jgbelacqua: Це правда, але відповідь scine дає зображення, що ufw - це брандмауер, тоді як це лише перехід до iptables.

— papukaija

1

(Агресивне попередження педанта) Я рекомендую користувачам не допускати випадкових вхідних пакетів UDP / 53 на основі спонсорованої адреси джерела. Вони використовувались у атаках у реальному світі (отрута DNS, DoS через посилений трафік). Вам би потрібно було це зробити чому?

— sourcejedi

Так, мабуть, правда. Це дуже поганий скріншот старого ПК, на якому я просто хотів, щоб OpenDNS вийшов із моїх журналів. Це не найкраща практика. Якщо у мене з’явиться час, я спробую оновити скріншот, оскільки GUFW так чи інакше виглядає в ці дні.

— Scaine

28

На відміну від Microsoft Windows, робочий стіл Ubuntu не потребує брандмауера, щоб бути безпечним в Інтернеті, оскільки за замовчуванням Ubuntu не відкриває порти, які можуть вводити проблеми безпеки.

Взагалі, належним чином зміцнена система Unix або Linux не потребує брандмауера. Брандмауери (крім певних проблем із безпекою комп’ютерів Windows) мають більше сенсу блокувати внутрішні мережі в Інтернеті. У цьому випадку локальні комп'ютери можуть спілкуватися між собою через відкриті порти, які є блоками назовні зовнішнім брандмауером. У цьому випадку комп'ютери навмисно відкриваються для внутрішніх комунікацій, які не повинні бути доступними поза внутрішньою мережею.

Стандартний робочий стіл Ubuntu цього не потребував, отже, ufw не включена за замовчуванням.

— txwikinger
джерело

Хіба не (g) uwf - це лише передній план? Я маю на увазі справжній брандмауер iptables, чи не так?

— papukaija

9

Навіть правильно затверділі системи виграють від брандмауера. Наприклад, якщо ви запускаєте Samba, ви відкриваєте різні порти для всіх. За допомогою брандмауера ви можете обмежити це лише вашим сервером або колегами.

— Scaine

netfilter + iptables або netfilter + ufw (що включає iptables) забезпечує брандмауер. Але якщо у вас є ufw, у вас буде функціонування брандмауера.

— belacqua

4

[цитата потрібна]

— ζ--

7

Це абсолютно абсурдно. Брандмауер використовується для захисту та відключення комунікацій від нелегального використання ... Це означає, що якщо ви встановите, скажімо, музичний плеєр, який відкриває порт неправильно, у вас було б відкрите підключення до Інтернету. Це називається вигідною безпекою, ви захищаєте від речей, які можуть статися. Ця відповідь дає людям помилкове відчуття безпеки в середовищі Linux.

— Даніель

8

В Ubuntu або будь-якому іншому Linux брандмауер є частиною базової системи і називається iptables / netfilter. Це завжди ввімкнено.

iptables складається з набору правил, що робити і як поводитись, коли пакет виходить, якщо ви входите. Якщо ви хочете явно заблокувати вхідні з'єднання з певного IP, вам потрібно буде додати правило. Насправді вам цього не потрібно. Розслабтесь.

Якщо ви хочете забезпечити безпеку від будь-чого, пам’ятайте, що не встановлюйте випадкових програмних програм ніде. Це може призвести до виправлення налаштувань безпеки за замовчуванням. Не запускається як root ніколи. Завжди довіряйте офіційним репостам.

Я думаю, що ви хотіли запитати, що якщо інтерфейс встановлений чи ні?

— Маніш Сінга
джерело

8

Звучить, що брандмауер "увімкнено завжди", що не так. Він може бути інтегрований, але якщо ви не включите його sudo ufw enable, перший фрагмент встановленого серверного програмного забезпечення відкриє порт, з яким вбудовані iptables не збираються нічого робити.

— Scaine

4

@Scaine: ufw не виконує роботи; це робиться iptables, який включений за замовчуванням.

— papukaija

7

Привіт, народ. UFW - це передній край iptables - я розумію. Однак за замовчуванням iptables робить саме НІЧОГО. Це не функціонує. Це не брандмауер. Це готово, але марно. Ви ОБОВ'ЯЗКОВО запускаєтесь, sudo ufw enableперш ніж iptables буде налаштований на те, щоб робити що-небудь. Маніш, ваша відповідь звучить так, як працює брандмауер. Ви говорите "технічно це є", а технічно ви праві. Але це нічого не робить, тому ви створюєте масово помилкове враження безпеки там, де її немає.

— Scaine

3

@manish, щодо "звичайних користувачів, які встановлюють серверне програмне забезпечення". Багато хто встановить Samba, як на моєму прикладі. Багато інших використовуватимуть вбудований сервер VNC у налаштуваннях / віддаленому робочому столі. Це добре в домашніх умовах (напевно), але, переносячи цей ноутбук назовні з увімкненими послугами, ви потенційно піддаєтеся шкідливій поведінці.

— Scaine

2

Порти ssh, пов'язані з друком та поштою також часто відкриваються для цілком звичайних операцій на робочому столі чи сервері. Вони можуть бути заблоковані (наприклад, джерелом IP-адреси) або повністю закриті за допомогою ufw або іншого аромату брандмауера / ACL.

— белаква

4

Крім того, gufwможна надати графічний інтерфейс GUI. (Мені це не дуже інтуїтивно зрозуміло, ніж ufw в командному рядку, але це дає вам більш візуальне нагадування про те, що там є.) Я погоджуюся, що брандмауер не рекламується належним чином. Якби я здогадувався, я б сказав, що це не дозволяє новим користувачам стріляти в ногу.

— белакква
джерело

-1

Тому що: паролі або криптовалюти.

Це правильна відповідь ІМО, і поки що, зовсім інша відповідь, ніж інші. ufwвимкнено за замовчуванням для зручності більшості користувачів Ubuntu, які знають, що паролі є важливою формою захисту для забезпечення конфіденційності та обмеженого контролю. Більшість користувачів Ubuntu будуть "перевіряти" програмне забезпечення, встановлюючи зі сховищ, затверджених Ubuntu, і обережно ставляться до інших джерел, щоб мінімізувати ризики взагалі, а не лише ризики, пов'язані з портами. Роблячи це, вони проходять довгий шлях до мінімізації ризику, пов’язаного з портами, який був уже малим, оскільки вони використовують "звичайні" паролі та дуже малі, якщо використовують жорсткі пароти або криптовалюти.

Деякі з цитованих ризиків, такі як файловий сервер Samba, сервер Apache HTTP, SSH, VNC на Wi-Fi Starbucks (загальнодоступний), як правило, усуваються жорсткими паротами на хості.

ufw"ламає" програмне забезпечення, як і брандмауер, через що його вимкнено за замовчуванням. Щоб перевірити це на новому встановленні Ubuntu, сервера A, встановіть sshта увійдіть з іншої машини, клієнта B, у ту ж локальну мережу, і ви побачите, що це працює негайно. Вийти. Потім поверніться до сервера A і sudo ufw enable. Поверніться до клієнта B, і ви не зможете sshперейти на сервер А.

— H2ONaCl
джерело

1

Паролі знаходяться на значно більшому рівні стеку. Системи можуть атакуватися за допомогою простого перевиконання буфера на нижчих рівнях стеку.

— HRJ

Чому потік?

— H2ONaCl

@HRJ, "системи можуть бути атаковані", це не спростовує значення зручності. Ви не зверталися до правильності того, що я написав. Я правий. Ти на дотичній.

— H2ONaCl