Чи дійсно необхідний брандмауер у ці дні? [зачинено]

13

Наразі це запитання не підходить для нашого формату запитань. Ми очікуємо, що відповіді будуть підкріплені фактами, посиланнями або експертними знаннями, але це питання, ймовірно, вимагатиме дискусій, аргументів, опитувань чи розширеної дискусії. Якщо ви вважаєте, що це питання можна вдосконалити та, можливо, знову відкрити, відвідайте довідковий центр для ознайомлення .

Закрито 9 років тому .

я повинен встановити щось на кшталт gufw?

security firewall

— TheXed
джерело

5

Я думаю, що це питання занадто широке, щоб отримати об'єктивну правильну відповідь.

— Стефано Палацо

Я припускаю, що ви маєте на увазі хост-брандмауер, а не окремий. Але я погоджуюся зі Стефано, що це занадто широка тема для чіткої відповіді. Багато що залежить від контексту - де знаходиться ваша система, які послуги ви запускаєте, які інші засоби захисту існують, яке значення вашої тривалості роботи (для відмови в обслуговуванні) та даних (фінансові, майнові, незамінні) тощо Загальний принцип обережної безпеки полягає у використанні безлічі захистів. Якщо це не перешкоджає вашій повсякденній діяльності, додавання додаткового рівня безпеки має кілька недоліків та ймовірних переваг.

— belacqua

Також sudo nmap localhost. У вас зараз відкриті порти? (Приблизна оцінка.)

— belacqua

sudo nmap localhostця команда не працює

— TheXed

1

@TheX це тому, що namp isnt встановлений?

— theTuxRacer

7

Так, як ніколи. Інтернет не дуже змінився з давніх-давен. Таким чином, брандмауер в наші дні залишається необхідним. Брандмауер, як gufw, з основними правилами працює. Використовуйте iptables, якщо ви - виклик CLI;)

— theTuxRacer
джерело

dangit, будь ласка, прокоментуйте, чому ви відмовились.

— theTuxRacer

1

голосувати ++; echo "Use iptables" - I assume I\'m a real CLI geek then :p;

— Лекенштейн

1

Неправильна відповідь.

— psusi

1

@psusi Ви хочете сказати, що це неправильно, оскільки ви не погоджуєтесь з припущенням, що використання брандмауера на основі хоста є хорошою ідеєю або тому, що ви не згодні з оцінками ufw / iptables?

— belacqua

1

@jgbelacqua це невірно, оскільки брандмауер на основі хоста для настільної системи Ubuntu є безглуздим, не потрібен більше, ніж будь-коли. Питання, з яким пов'язаний Меніш, має дуже хороші пояснення того, чому.

— psusi

5

Будь ласка, ознайомтесь з цією відповіддю для подальшої дискусії на Брандмауері на Ubuntu.

Чому брандмауер вимкнено за замовчуванням?

— Маніш Сінга
джерело

3

Безперечно, потрібно лише один опортуністичний снупер, щоб не викликати неприємностей. Плутанина полягає в тому, як ви хочете забезпечити, що ви знаходитесь за брандмауером.

Це детальніше обговорюється тут: Чи є попередньо встановлений або автоматичний брандмауер? але якщо коротко, якщо ви перебуваєте в домашній мережі, за бездротовим маршрутизатором, ваш маршрутизатор зазвичай виконуватиме функції брандмауера. Очевидно, що непогано проконсультуватися з виробником, перш ніж покластися на що-небудь (це також залежить від конфігурації роутера).

GUFW сам по собі не є брандмауером, а лише графічним інтерфейсом для брандмауера ubuntu за замовчуванням (UFW). UFW вимкнено за замовчуванням. Взагалі кажучи, рекомендується запускати лише один брандмауер, щоб уникнути можливих конфліктів, тому за умови, що ви перебуваєте в надійній домашній мережі (і ви впевнені, що ваш маршрутизатор забезпечує належний захист), я радимо вимкнути брандмауер програмного забезпечення (UFW).

Очевидно, увімкніть його знову, коли ви знаходитесь у загальнодоступній / ненадійній мережі.

— richzilla
джерело

Запуск брандмауера особистого програмного забезпечення не шкодить ... це взагалі гарна ідея та запропонувати "глибоку захист" проти будь-яких машин, які погано поводяться у вашій локальній мережі.

— Нердфест

Я згоден, доки брандмауери налаштовані однаково. Кількість годин, які я провів на діагностику мережевих проблем, лише щоб виявити два брандмауери, не згодні з тим, що вони дозволяють через ...

— richzilla

1

Всередині моєї локальної мережі: немає брандмауера. Облицювання в Інтернеті: звичайно, брандмауер. Я брандмауер базується на тому, як я довіряю комп’ютерам, до яких я підключаюся.

— djeikyb

2

Я рекомендую встановити брандмауер. Щось завжди краще, ніж нічого. чи не так ?. Ubuntu, за замовчуванням поставляється брандмауер ' ufw '. gufw (згадується у питанні) - це не що інше, як GUI 'ufw'.

Сподіваюсь, це допомагає.

— анешеп
джерело

1

Лише зауваження: iptables - це не брандмауер. Netfilter є частиною ядра Linux. iptables - це лише утиліта командного рядка, яка використовується для зміни / запиту набору правил netfilter.

— ЛГБ

Ще одна неправильна відповідь.

— psusi

@LGB від wikipedia: iptables - програма для користувальницького простору, яка дозволяє системному адміністратору конфігурувати таблиці, надані брандмауером ядра Linux (реалізовані як різні модулі Netfilter), а також ланцюги та правила, які він зберігає. Тепер я розгублений.

— theTuxRacer

@aneesheep Я б сказав, що це вводить в оману, тому що uwfце фронт-енд для iptables(що є інтерфейсом для netfilter). Ви не можете встановити ufw без iptables на місці.

— belacqua

Дякую друзям, що вели мене в правильному напрямку. Я видалив розділ iptables зі своєї відповіді.

— aneeshep

1

Ubuntu має також мати брандмауер за замовчуванням, активований інструментом GUI. Я здивований, що з цим не йдеться. Я знаю, що iptables вже є, але правил немає. Ви повинні зробити це вручну або встановити щось на кшталт Firestarter, щоб отримати основні основи для вас.

Я був настільки здивований одного разу, коли дізнався, що мій провайдер надає мені власний IP-адреси кожного разу, коли я включаю DSL. Уявіть, скільки звернень, спроб входу в SSH, інших сканів та MS-подвигів (так, хтось працював над цим IP-адресами мого провайдера) моя машина отримувала весь час. ЛОЛ! :)

— Маркі
джерело

2

І ваша машина цілком радісно ігнорує їх усіх, не потребуючи брандмауера.

— psusi

Машина не ігнорує, якщо на певному порту є послуга прослуховування. Насправді, я смію сказати, що машина прагне приймати з'єднання.

— theTuxRacer

1

@Kaustubh P, якщо на порту є послуга прослуховування, ви хочете, щоб він приймав з'єднання, і відкрив би цей порт у брандмауері. Якщо немає, він відхиляє з'єднання з цим портом.

— psusi

1

За визначенням брандмауер блокує зв’язок, який інакше було б дозволено. На робочому столі Ubuntu машина не встановлена за замовчуванням служб, які б приймали з'єднання, тому брандмауер нічого не блокував би доступ. Тому він абсолютно марний.

Причина, коли брандмауер вважається необхідним в Windows, полягає в тому, що він постачається за допомогою стандартних встановлених сервісів декількох мозку, які приймають з'єднання та дозволяють іншій стороні робити з вашим комп'ютером речі, які ви не хочете.

— псусі
джерело

"абсолютно марно" - неправильно. Брандмауер додає додатковий рівень захисту. Ви також надаєте невірну інформацію, установка Ubuntu за замовчуванням має послуги, які піддаються громадськості. Наприклад, він забезпечує прослуховування CUPS (загальної системи друку Unix) на порту UDP 631.

— Lekensteyn

1

Якщо ви встановите нову службу, яка використовує інші порти, вони залишаться відкритими, якщо ви їх не закриєте або не регулюєте брандмауером .

— theTuxRacer

ОП не згадує робочий стіл або сервер. Навіть у настільній системі, як говорить @Kaustubh, немає гарантії, що після відходу від оригінальної настройки порти не будуть відкриті. І іноді порти ненавмисно залишаються відкритими в оновленнях.

— belacqua

@Lekensteyn: Це не помиляється. Я пропоную вам прочитати інше питання, яке Маніш пов’язав із тим, де воно також було чітко пояснено. Коли порт вже закритий, програма, яка закриває порти, марна. CUPS також приймає з'єднання з localhost за замовчуванням.

— psusi

2

Перегляньте wiki.ubuntu.com/SecurityTeam/FAQ#UFW Якщо ви хочете ввімкнути ufw, це тривіально. "sudo ufw enable"

— Kees Cook

1

З впровадженням IPv6 наявність брандмауера стане ще більш критичною. На відміну від IPv4, де більшість систем відносно захищені в приватних діапазонах IP, пристрої IPv6, ймовірно, будуть повністю доступними.

Наявність брандмауера з політикою заборони за замовчуванням буде ще критичнішою. Пошук пристроїв для сканування буде складніше через рідке використання адрес. Зберігання деяких протоколів, таких як SMB на локальних адресах посилань, допоможе, але не стане чарівною кулею.

Однак, встановлення за замовчуванням активного брандмауера - лише додатковий рівень безпеки. Багато програм, які роблять відкриті порти, вимагають відкрити їх порти, щоб вони могли працювати. Досить добре всі мають додаткові методи їх захисту. Увімкніть усі необхідні шари за потребою.

EDIT: Було багато коментарів щодо заборони доступу до програми та інших причин не мати брандмауера. На жаль, у багатьох додатках немає контролю доступу. Інші прослуховують усі адреси, тому брандмауер стає єдиним способом обмеження доступу з певних інтерфейсів.

Як я зазначав вище, брандмауер - це лише один рівень безпеки. Безпечні програми - це ще одна, але ви не можете легко забезпечити, щоб ваші користувачі виконували лише захищені програми. Брандмауер - це один із способів захисту користувачів.

Жодні розумні заходи безпеки не є повністю безпечними. Хоча багато користувачів можуть не бути зацікавленими або недостатньо освіченими, щоб повністю зрозуміти брандмауер, це не є причиною не використовувати брандмауер, або для них немає брандмауера.

— BillThor
джерело

3

Політикою за замовчуванням БЕЗ брандмауера є відхилення з'єднань. Для цього вам не потрібен брандмауер; ви використовуєте брандмауер, щоб змінити політику BACK для відхилення, коли ви вже встановили службу, яка намагається прийняти. Звичайно, якщо ви хочете це зробити, то просто не встановлюйте службу, щоб прийняти з'єднання в першу чергу.

— psusi

1

@psusi. Видалення послуги - це рішення "так / ні". Використання брандмауера дозволяє тонкозернистий контроль.

— BillThor

це дозволяє контролювати дрібнозернистий контроль, але сама послуга зазвичай дозволяє ще більш дрібнозернистий контроль. Під час встановлення послуги ви налаштовуєте її на прийняття потрібного типу з'єднань, а не на використання окремого інструменту для її обмеження. Служби також мають здорові параметри за замовчуванням, так що при їх встановленні вони приймають лише з'єднання з локального хоста чи локальної мережі, тому знову не потрібно в брандмауері.

— psusi

@psusi Надані послуги часто мають тонкозернистий контроль. Але вони не завжди реєструються, коли послідовно переривають з'єднання. Брандмауер може забезпечувати послідовний журнал, хоча сканування інших журналів корисно. Брандмауер також може записувати зонди відсутніх служб. Це може дозволити активне блокування вихідного хоста.

— BillThor

ваш середній користувач настільних ПК не знає і не цікавиться подібними речами. Звичайно, є деякі речі, які ви можете зробити з ipchains, які ви не можете зробити із заданим демоном, але нічого, що пересічний користувач настільних ПК вважатиме "необхідним".

— psusi

0

Всі правильно, будьте обережні і, ймовірно, використовуйте якийсь захист, це може створити певні клопоти залежно від того, що ви робите, але іноді ви не помічаєте, наскільки ця зайва клопота насправді захищає вас.

Один із способів ви можете додати додатковий захист, який насправді зовсім не нав'язливий, - це заглянути в OpenDNS , в основному це просто додає приємного контролю та додаткових функцій безпеки для базового використання Інтернету.

— Джон Пенов
джерело