Действительно ли брандмауэр необходим в наши дни? [закрыто]

13

я должен установить что-то вроде gufw?

security  firewall 
TheXed
источник
5
Я думаю, что эти вопросы слишком широки, чтобы получить объективный , правильный ответ.
Стефано Палаццо
Я предполагаю, что вы имеете в виду брандмауэр на основе хоста, а не автономный. Но я согласен со Стефано, что это слишком широкая тема для однозначного ответа. Многое зависит от контекста - где находится ваша система, какие сервисы вы используете, какие другие меры безопасности установлены, какова ценность вашего времени безотказной работы (для отказа в обслуживании) и данных (финансовых, проприетарных, незаменимых) и т. Д. Общий принцип осторожной безопасности - использовать несколько защит. Если это не мешает вашей повседневной деятельности, добавление дополнительного уровня безопасности имеет несколько недостатков и вероятных преимуществ.
belacqua
Также sudo nmap localhost. У вас есть открытые порты сейчас? (Грубая оценка.)
belacqua
sudo nmap localhostэта команда не работает
TheXed
1
@ TheX, потому что namp не установлен?
theTuxRacer

Ответы:

7

Да, больше, чем когда-либо. Интернет не сильно изменился с давних времен. Таким образом, брандмауэр все еще необходим в наши дни. Брандмауэр, как Gufw, с основными правилами работает. Используйте iptables, если вы фанат CLI;)

theTuxRacer
источник
dangit, пожалуйста, прокомментируйте, почему вы проголосовали.
theTuxRacer
1
голосовать ++; echo "Use iptables" - I assume I\'m a real CLI geek then :p;
Лекенштейн
1
Неправильный ответ.
psusi
1
@psusi Вы говорите, что это неправильно, потому что вы не согласны с посылкой, что использование брандмауэра на основе хоста - хорошая идея, или потому, что вы не согласны с оценками ufw / iptables?
belacqua
1
@jgbelacqua это неверно, потому что брандмауэр на базе хоста для настольной системы Ubuntu бессмысленен, и не нужен больше, чем когда-либо. Вопрос, с которым связан Маниш, очень хорошо объясняет, почему.
psusi
3

Несомненно, для того, чтобы положить конец беде, нужен всего один оппортунистический снупер. Путаница заключается в том, как обеспечить защиту за брандмауэром.

Это обсуждается более подробно здесь: есть ли предустановленный или автоматический брандмауэр? но вкратце, если вы находитесь в домашней сети, за беспроводным маршрутизатором, то ваш маршрутизатор будет обычно выполнять функции брандмауэра. Очевидно, это хорошая идея, чтобы проконсультироваться с производителем, прежде чем полагаться на что-либо (это также зависит от конфигурации маршрутизатора).

GUFW сам по себе не является брандмауэром, это просто графический интерфейс для Ubuntu по умолчанию брандмауэр (UFW). UFW выключен по умолчанию. Вообще говоря, рекомендуется избегать использования только одного брандмауэра, чтобы избежать потенциальных конфликтов, поэтому при условии, что вы находитесь в надежной домашней сети (и уверены, что ваш маршрутизатор обеспечивает адекватную защиту), id советует отключить программный брандмауэр (UFW).

Очевидно, включите его снова, когда вы находитесь в публичной / ненадежной сети.

richzilla
источник
Нет ничего плохого в том, чтобы запускать персональный программный брандмауэр ... это, как правило, хорошая идея, предлагающая «глубокую защиту» от любых плохо управляемых компьютеров в вашей локальной сети.
Nerdfest
Я согласен, если брандмауэры настроены одинаково. Количество часов, которые я потратил на диагностику сетевых проблем, но обнаружил, что два брандмауэра не согласны с тем, что они пропускают ...
richzilla
1
Внутри моей локальной сети: нет брандмауэра. Лицом к интернету: конечно, брандмауэр. Я брандмауэр, основанный на том, как я доверяю компьютерам, к которым я подключаюсь.
djeikyb
2

Я бы порекомендовал установить брандмауэр. Что-то всегда лучше, чем ничего. не так ли? Ubuntu, по умолчанию поставляется с брандмауэром ' UFW '. Gufw (упоминается в вопросе) - это не что иное, как графический интерфейс UFW.

Надеюсь это поможет.

aneeshep
источник
1
Просто примечание: iptables не является брандмауэром. Netfilter, который является частью ядра Linux. iptables - это только утилита командной строки, которая используется для изменения / запроса набора правил сетевого фильтра.
ЛГБ
Еще один неверный ответ.
psusi
@LGB из Википедии: iptables - это прикладная программа в пространстве пользователя, которая позволяет системному администратору настраивать таблицы, предоставляемые брандмауэром ядра Linux (реализованные в виде различных модулей Netfilter), а также цепочки и правила, которые он хранит. Теперь я в замешательстве.
theTuxRacer
@aneesheep Я бы сказал, что это вводит в заблуждение, потому что uwfэто интерфейс для iptables(который является интерфейсом к netfilter). Вы не можете установить UFW без iptables на месте.
belacqua
Спасибо друзья за то, что привели меня в правильном направлении. Я удалил раздел iptables из своего ответа.
Aneeshep
1

Ubuntu должен поставляться с брандмауэром по умолчанию, активированным с помощью инструмента с графическим интерфейсом. Я удивлен, что это не идет с этим. Я знаю, что iptables уже есть, но нет загруженных правил. Вы должны сделать это вручную или установить что-то вроде Firestarter, чтобы запустить основы для вас.

Однажды я был очень удивлен, когда узнал, что мой провайдер дает мне свой публичный IP-адрес каждый раз, когда я включаю DSL. Представьте, сколько обращений, попыток входа в систему через ssh, других сканирований и эксплойтов MS (да, кто-то выполнял это на IP-адресах моего провайдера) моя машина все время получала. ЛОЛ! :)

Marky
источник
2
И ваша машина, к счастью, игнорирует их все без брандмауэра.
psusi
Машина не игнорирует, если есть служба, прослушивающая определенный порт. На самом деле, я полагаю, машина готова принимать соединения.
theTuxRacer
1
@ Kaustubh P если служба прослушивает порт, то вы ХОТИТЕ, чтобы она принимала подключения, и откроет этот порт в брандмауэре. Если нет, то он отклоняет подключения к этому порту.
psusi
1

По определению брандмауэр блокирует связь, которая в противном случае была бы разрешена. На настольном компьютере с Ubuntu по умолчанию не установлены службы, которые будут принимать подключения, поэтому брандмауэру некуда заблокировать доступ. Поэтому это совершенно бесполезно.

Причина, по которой брандмауэр считается необходимым в Windows, заключается в том, что он поставляется с несколькими установленными по умолчанию «мертвыми» службами, которые принимают подключения и позволяют другой стороне делать с вашим компьютером то, что вам не нужно.

psusi
источник
«совершенно бесполезно» - неправильно. Брандмауэр добавляет дополнительный уровень защиты. Вы также предоставляете неверную информацию, при установке по умолчанию в Ubuntu есть общедоступные службы. Например, он обеспечивает прослушивание CUPS (Common Unix Printing System) через порт UDP 631.
Lekensteyn
1
Если вы устанавливаете новую услугу, которая использует другие порты, они будут оставили открытыми, если не закрывать их, или регулировать их с помощью брандмауэра .
theTuxRacer
ОП не упоминает рабочий стол или сервер. Даже в настольной системе, как говорит @Kaustubh, нет гарантии, что после выхода из исходной настройки порты не будут открыты. И иногда порты непреднамеренно остаются открытыми в обновлениях.
belacqua
@Lekensteyn: это не так. Я предлагаю вам прочитать другой вопрос, который Маниш связал с тем, где он также был четко объяснен. Когда порт уже закрыт, программа, которая закрывает порты, бесполезна. CUPS также принимает соединения только от localhost по умолчанию.
Псуси
2
Пожалуйста, смотрите wiki.ubuntu.com/SecurityTeam/FAQ#UFW. Если вы хотите включить ufw, это тривиально. «sudo ufw enable»
Kees Cook
1

С введением IPv6 наличие брандмауэра станет еще более критичным. В отличие от IPv4, где большинство систем относительно защищены на частных IP-диапазонах, устройства IPv6, вероятно, будут полностью доступны.

Наличие брандмауэра с политикой запрета по умолчанию будет еще более критичным. Поиск устройств для сканирования будет более сложным из-за редкого использования адресов. Поддержание некоторых протоколов, таких как SMB, на локальных адресах ссылок поможет, но не будет волшебной пулей.

Тем не менее, при установке по умолчанию активный брандмауэр - это просто дополнительный уровень безопасности. Многие приложения, которые открывают порты, требуют, чтобы их порты были открыты, чтобы позволить им работать. Довольно хорошо у всех есть дополнительные методы для их защиты. Включите все соответствующие слои, как требуется.

РЕДАКТИРОВАТЬ: было много комментариев о том, чтобы позволить приложению контролировать доступ и другие причины не иметь брандмауэр. К сожалению, многие приложения не имеют контроля доступа. Другие прослушивают все адреса, поэтому межсетевой экран становится единственным способом ограничения доступа с определенных интерфейсов.

Как я уже отмечал выше, брандмауэр - это только один уровень безопасности. Безопасные приложения - это другое, но вы не можете легко гарантировать, что ваши пользователи запускают только защищенные приложения. Брандмауэр - это один из способов защиты ваших пользователей.

Никакие разумные меры безопасности не являются полностью безопасными. Хотя многие пользователи могут быть не заинтересованы или не достаточно образованы, чтобы полностью понимать брандмауэр, это не причина для того, чтобы не использовать брандмауэр или для него не иметь брандмауэр.

BillThor
источник
3
Политика по умолчанию БЕЗ брандмауэра - отклонять соединения. Вам не нужен брандмауэр, чтобы сделать это; вы используете брандмауэр, чтобы изменить политику НАЗАД, чтобы отклонить, когда вы уже установили службу, которая пытается принять. Конечно, если вы хотите это сделать, просто не устанавливайте службу, чтобы сначала принять соединение.
psusi
1
@psusi. Удаление службы - это решение да / нет. Использование брандмауэра позволяет осуществлять мелкозернистый контроль.
BillThor
он допускает мелкозернистый контроль, но сама служба обычно позволяет еще более мелкозернистый контроль. Когда вы устанавливаете сервис, вы настраиваете его для принятия того типа соединений, который вам нужен, вместо того, чтобы использовать отдельный инструмент для его ограничения. Службы также имеют разумные значения по умолчанию, поэтому при их установке они либо принимают соединения только с локального хоста или локальной сети, поэтому, опять же, нет необходимости в брандмауэре.
psusi
@psusi Предоставленные сервисы часто имеют точный контроль. Но они не всегда регистрируются, когда они сбрасывают соединение согласованным образом. Брандмауэр может обеспечить согласованное ведение журнала, хотя сканирование других журналов полезно. Брандмауэр также может регистрировать зонды отсутствующих сервисов. Это может позволить блокировать исходный хост в упреждающей манере.
BillThor
ваш обычный пользователь настольного компьютера не знает и не заботится о подобных вещах. Конечно, есть некоторые вещи, которые вы можете сделать с ipchains, которые вы не можете сделать с данным демоном, но ничего, что обычный пользователь рабочего стола посчитал бы «необходимым».
psusi
0

Все правы, будьте осторожны и, вероятно, пользуйтесь какой-то защитой, это может создать определенные трудности в зависимости от того, что вы делаете, но иногда вы не замечаете, насколько эта дополнительная проблема действительно вас защищает.

Один из способов добавить дополнительную защиту, которая на самом деле совсем не навязчива, - это взглянуть на OpenDNS , просто добавив некоторые удобные элементы управления и дополнительные функции безопасности для базового использования Интернета.

Джон Фенов
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.