Які ризики НЕ використовувати брандмауер (домашній комп'ютер)?

51

Оскільки паролем потрібен супервайзер (для встановлення та зміни програм), які ризики не використовувати брандмауер під Ubuntu? Більш конкретно, якщо я використовую NAT-роутер?

security  firewall  router  nat 
ріімзай
джерело

Відповіді:

40

Це залежить. Більшість людей використовують маршрутизатор між робочим столом та Інтернетом, і за замовчуванням немає значних відкритих портів, тому в переважній більшості випадків користувач брандмауер додає дуже багато, якщо що.

Це може допомогти, якщо ви ненавмисно встановите сервер, наприклад VNC або SSH.

Краще питання - для чого ви хочете використовувати брандмауер?

Побачити:

https://wiki.ubuntu.com/SecurityTeam/FAQ#UFW

https://wiki.ubuntu.com/SecurityTeam/Policies#No_Open_Ports

https://help.ubuntu.com/community/UFW

Якщо ви хочете графічний інструмент для вашого брандмауера, використовуйте gufw

введіть тут опис зображення

Пантера
джерело
Thx для вашого відгуку. Насправді я вже використовую gufw з відкритим портом для свого торрент-клієнта. І я мушу сказати, що це більше звичка до Windows, оскільки використання Windows без брандмауера є досить самогубним.
riimzzai
Так, Windows має ряд відкритих портів, що підтверджуються документально, та без документації, хоча це може вдосконалюватися (не використовували жодної версії Windows, вищої за XP).
Пантера
Навіть у Windows NAT захищає від більшої кількості загроз, ніж більшість людей усвідомлює. Але я просто не бачу вагомих причин НЕ використовувати брандмауер.
davidcl
1
@davidcl - Просто слідкуйте за тим, щоб не включити UPnP на вашому маршрутизаторі;) Інакше +1 до маршрутизатора (які постачаються з брандмауером / NAT).
Пантера
11

Здається, питання про хост-брандмауер на ПК Ubuntu.

ЯКЩО машина ніколи не покидає мережу, засновану на NAT (тобто, це не ноутбук, який ви берете в кафе і користуєтеся у безкоштовних мережах Wi-Fi),

І на вашому маршрутизаторі немає відкритих портів, які можна було б відобразити на вашій машині Ubuntu,

І ваш маршрутизатор не має жодних функцій, які б корисно відкривали для вас порти на основі речей, які відбуваються у вашій мережі (UPnP)

І ви ніколи не матимете жодних інших пристроїв у вашій локальній мережі, які могли б поставити під загрозу та атакувати ваш Ubuntu box,

ТОГО ваша система, ймовірно, захищена без хост-брандмауера.

Однак, якщо деякі з цих речей не відповідають дійсності або можуть стати неправдивими в майбутньому, брандмауер на основі хоста - це дійсно гарна ідея. Зважаючи на потенційні переваги та обмежені недоліки, чому б не зробити це можливим?

davidcl
джерело
9

Використовуючи NAT, якщо у вас немає переадресації порту на вашу машину, він не доступний з Інтернету, якщо ви явно не відкриєте підключення до нього (наприклад, з vnc або teamviewer), тому я думаю, що немає проблеми з використанням брандмауера на ньому . Єдине занепокоєння може виникнути через внутрішній (LAN) доступ, але зазвичай це не стосується домашньої мережі.

ларан
джерело
Неправда; читати на траверсі STUN. Існує багато недоліків, пов'язаних зі STUN, які дозволяють зовнішнім службам відкривати порти для машин всередині брандмауера.
пухнастий
Приголомшливий траверс - це те, щоб клієнти VoIP переходили через NAT / брандмауер, тому якщо ви ввімкнете це (як правило, не потрібно), ви все одно відкриєте машину для цих портів, і, звичайно, слід вжити відповідних заходів (наприклад, не вмикати UPnP на маршрутизаторі для приклад).
Лоран
Перехід STUN - це не "для" нічого, це артефакт того, як працює NAT, який був використаний з метою вдосконалення мережевих протоколів однорангових мереж, таких як SIP тощо. Це можна використовувати назавжди. Його також можна використовувати для зла.
пухнастий
2

Нічого.

Функція брандмауера - блокувати доступ до служб, які б інакше це дозволяли. У Ubuntu за промовчанням немає служб прослуховування, тому немає чого блокувати. Крім того, оскільки ви знаходитесь позаду маршрутизатора NAT, у вас вже є ефективний брандмауер.

псусі
джерело
2
Це не зовсім вірно, оскільки деякі маршрутизатори мають UPnP, і люди ненавмисно включають обмін робочим столом (VNC). Це призводить до найпоширенішої тріщини, яку я бачив на Ubuntu. Звичайно, вони цілком можуть відкрити порт VNC, не замислюючись ... Я думаю, що наша позиція повинна бути освітою, а не робити над досягненням узагальнень та абсолютних претензій.
Пантера
@ bodhi.zazen, я не бачу, як ви можете це включити випадково, і якщо ви вирішили ввімкнути це, я думаю, ви хочете, щоб він працював, тож брандмауер був би протидіючим. Він також за замовчуванням запрошує вас на авторизацію, коли хтось підключається, тому навіть якщо ви залишили його та не встановили пароль, він все одно не буде пускати нікого без вашого погодження.
psusi
Ось приклад того, як це може статися випадково: miket5au.blogspot.com/2011/03/beware-vnc-and-upnp.html Іноді ви хочете надати спільний доступ на робочому столі в локальній мережі, але не означаєте ввімкнути його для зовнішній світ.
davidcl
Однак, ваш хост-брандмауер, ймовірно, не допомагає вам у цьому сценарії.
davidcl
@davidcl, дійсно, брандмауер на базі хоста також заблокував би його в локальній мережі. І перший рядок тієї статті він визнає: "Я був необережний". Якщо ви недостатньо недбалі, щоб залишити вхідні двері відкритими (увімкнути vnc без пароля чи підказки), ви можете так само легко бути досить недбалим, щоб залишити ворота відкритими (брандмауер). Якщо ворота чи ні, немає значення, якщо ви не залишите вхідні двері відкритими.
psusi
1

Я думаю, що однією з найбільш використовуваних функцій брандмауера є запобігання "тріщинам" програм для перевірки ліцензії в Інтернеті. Якщо "зламану" програму не потрібно оновлювати або не використовувати "онлайн" функції, ви можете запобігти її доступу до Інтернету, встановивши певне правило брандмауера. Сумно але правда.

Серафим
джерело
0

У загальних випадках, якщо ви є загальнодоступними комп’ютерами чи комп’ютерами без захищеного зв'язку, як-от ті, що більш-менш викрадають Інтернет-з'єднання від інших користувачів у сусідніх портах (тобто сусідніх будинках / квартирах), то тільки це - я думаю - дав би приклад як брандмауер (на розсуд) може бути кращою частиною доблесті, так би мовити. Крім того, вони не дозволяють оточуючим копатися у вашій інформації, будь то особиста чи навіть якась туга, з якою ви могли б закручуватися. Сенс у конфіденційності.

Коли я кажу загальне, я знову маю на увазі такі місця, як громадські місця. Бібліотеки, де все і багато, перш ніж використовувати портативні носії, такі як USB що-небудь, насправді, диски - навіть якщо ви зробили щось, можливо, необдумані, наприклад, взяти власний зовнішній жорсткий диск в іншому місці та підключити його, немає гарантії, що наступний порт буде захищений блокаторами вірусів або шпигунських програм, і все це може зафіксуватись і перенестися на ваш оригінальний домашній ноутбук / робочий стіл, таким чином зробивши себе вдома.

Тож, хоча у багатьох випадках може не виникати необхідності у захисті від брандмауеру для багатьох випадків, вони, безумовно, стануть у нагоді у певних - якщо поодиноких - випадках.

0

Між тим, я знайшов кілька цікавих міркувань щодо брандмауера .

У статті пояснюються поняття «послуга прослуховування», «відкритий порт» та «NAT маршрутизатор», з якого можна неправильно зробити висновок, що: - краще, ніж без (навіть якщо ви їдете на танк, надягайте ремінь безпеки) і - подумайте двічі перед тим, як робити щось, що впливає на систему (освітні міркування)

ріімзай
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.