Güvenlik duvarı neden varsayılan olarak devre dışıdır?


65

Neden UFW güvenlik duvarı, Ubuntu’da, varsayılan olarak etkinleştirilmemiş ve önceden yapılandırılmışsa dahil? Çoğu kullanıcı orada olduğunu bile bilmiyor, çünkü GUI arayüzü yok.


6
Yanlışlıkla bir güvenlik duvarının kurulu olduğunu ancak devre dışı bırakıldığını öğrendiğimde şok oldum! Burada belirtilen argümanlar oldukça zayıf.
HRJ 12:11

1
Bu yüzden de buraya indiğim soruyu yaşıyorum, sadece Linux kullanıcılarının (normal masaüstü kullanıcıları olma olasılığı daha yüksek olan Windows kullanıcılarının aksine) Linux’un çeşitli kullanımlarına sahip olduğuna dair çok çılgınca bir tahminim var: bazıları kullanır ssh, bazıları kullanmaz , pek çok web sunucusu, veritabanı veya smtp sunucusu olarak kullanılır ... Linux felsefesi her kullanıcının güvenlik duvarını uygun gördüğü şekilde yapılandırmasına izin verir.
user10089632

Bu inanılmaz derecede kötü bir tasarım kararıdır. Sadece şaşırtıcı derecede kötü!
iono

Yanıtlar:


37

Kutudan çıktığında, Ubuntu açık TCP veya UDP portları olmadan gönderilir, bu nedenle varsayılan olarak Komplike Olmayan Güvenlik Duvarı'nı (ufw) çalıştırmak için hiçbir neden olmadığı inancı vardır . Yine de, ufw'un engelli olmasının garip bir karar olduğu konusunda hemfikirim. Sebep olduğum deneyimsiz kullanıcılar, Samba, Apache gibi şeyleri ve önceden koydukları sistemde deney yaptıkları gibi bir şeyler kuracaklar. Bunun anlamını anlamıyorlarsa, kendilerini internetteki kötü niyetli geliştiricilere maruz bırakacaklar.

Örnek - Dizüstü bilgisayarımı, ev ağımda WPA2 ile korunan Samba ile yapılandırdım. Ama eğer dizüstü bilgisayarımı bir Starbucks'a götürürsem, onun hakkında hiçbir şey düşünmeyebilirim, ama o dizüstü bilgisayar şimdi hisseleri herkese ve muhteliflere ilan ediyor. Bir güvenlik duvarıyla, samba bağlantı noktalarımı yalnızca ev sunucum veya eş aygıtlarım ile sınırlayabilirim. Artık dizüstü bilgisayarıma kim bağlanmaya çalışıyor olabileceği konusunda endişelenmenize gerek yok. Aynı şey VNC, SSH veya dizüstü bilgisayarımın çalıştığı veya bağlanmaya çalıştığı çok sayıda başka yararlı hizmet için de geçerli.

Ubuntu, bazı güvenlik unsurlarına, aynı fikirde olamayacağım bir felsefeye çok açık / kapalı bir yaklaşım getiriyor. Güvenlik teknik olarak açık veya kapalı olabilir, ancak güvenlik unsurlarını birbirinin üzerine yerleştirerek daha iyi bir sisteme sahip olursunuz. Elbette, Ubuntu’nun güvenliği çok sayıda kullanım durumu için yeterli, ancak hepsi değil.

Alt satırda, ufw çalıştırın. Pişman olmaktansa sağlamcı davranmak iyidir.

Karmaşık Güvenlik Duvarı'nda birkaç grafik ön ucu vardır, ancak en basit olanı Gufw .

GUFW Logosu

sudo apt-get install gufw

Burada, şirket ortamımdaki belirli sunucu VLAN'larından gelen tüm trafiğe izin veriyorum ve ters SSH oturumu için gerekli bağlantı noktalarının bu makineden atlamasını sağlamak için bir kural ekledim.

GUFW Ekran Görüntüsü


UFW sadece iptables kontrol eder - bu yüzden varsayılan olarak etkin değildir. İleri düzey kullanıcılar iptables kullanabilir.
papukaija

3
@papukaija - iptables'ın ileri kullanıcıları iptables'ı kullanabilirler. Bir bsd sistemindeki ileri bir kullanıcı pf kullanır, ancak bu kullanıcının ubuntu'ya gelmesini aniden karmaşıklaştırmaz. Aynı şekilde, öncelikle bir ağ mühendisi olan biriyle - bu kişi Cisco veya Juniper ACL mantığını bilirdi. Bu herkes için değil, ancak ufw yapılandırmayı daha erişilebilir hale getirebilir ve bence bu iyi bir şey.
belacqua

2
@jgbelacqua: Doğru, ancak scainin cevabı ufw'un güvenlik duvarı olduğuna dair bir görüntü veriyor;
papukaija

1
(Agresif bilgiç uyarısı) Kullanıcıların öneriyoruz değil spoofable kaynak adresi esas alınarak rastgele gelen UDP / 53 paketlere izin. Gerçek dünya saldırılarında kullanılmıştır (DNS zehirlenmesi, güçlendirilmiş trafik tarafından DoS). Bunu neden yapmanız gerekiyor?
sourcejedi

Evet, muhtemelen doğru. Bu gerçekten, OpenDNS'i günlüklerimden çıkarmak istediğim eski bir PC için gerçekten kötü bir ekran görüntüsü. Bu iyi bir uygulama değil. Zaman alırsam, GUFW bugünlerde oldukça farklı göründüğü için ekran görüntüsünü güncellemeye çalışacağım.
Scaine

28

Microsoft Windows'un aksine, bir Ubuntu masaüstünün Internet'te güvenli olması için bir güvenlik duvarına ihtiyacı yoktur, çünkü varsayılan olarak Ubuntu güvenlik sorunları oluşturabilecek bağlantı noktaları açmaz.

Genel olarak düzgün bir şekilde sertleştirilmiş bir Unix veya Linux sistemi bir güvenlik duvarına ihtiyaç duymayacaktır. Güvenlik duvarları (Windows bilgisayarlardaki belirli güvenlik sorunları dışında), iç ağları Internet'e engellemede daha anlamlı olur. Bu durumda, yerel bilgisayarlar birbirleriyle, güvenlik duvarı tarafından dışarıya doğru bloklanan açık portlar üzerinden iletişim kurabilirler. Bu durumda, bilgisayarlar dahili ağ dışında bulunmaması gereken dahili iletişim için kasıtlı olarak açılır.

Standart Ubuntu masaüstü bunu gerektirmez, dolayısıyla ufw varsayılan olarak etkin değildir.


(G) sadece bir ön uç değil mi? Yani gerçek güvenlik duvarı iptables, değil mi?
papukaija

9
Düzgün bir şekilde sertleştirilmiş sistemler bile güvenlik duvarından faydalanacaktır. Örneğin, Samba'yı çalıştırırsanız, herkese çeşitli portlar açarsınız. Bir güvenlik duvarı ile bunu yalnızca sunucunuz veya eşlerinizle sınırlayabilirsiniz.
Scaine

netfilter + iptables veya netfilter + ufw (iptables içeren) güvenlik duvarını sağlar. Ancak eğer ufw'ınız varsa, güvenlik duvarı işlevselliğine sahip olacaksınız.
belacqua

4
[kaynak belirtilmeli]
ζ--

7
Bu tamamen saçma. Bir güvenlik duvarı, iletişimleri meşru olmayan kullanımlardan korumak için kullanılır ... Bir başka deyişle, yanlış bir bağlantı noktası açan bir müzik çalar yüklerseniz, internete açık bir bağlantı kuracağınız anlamına gelir. Buna koruyucu güvenlik denir, olabilecek olaylardan korunursunuz. Bu cevap, insanlara linux ortamlarda sahte bir güvenlik hissi verir.
Daniel

8

Ubuntu veya başka bir Linux'ta güvenlik duvarı temel sistemin bir parçasıdır ve iptables / netfilter olarak adlandırılır. Her zaman etkindir.

iptables ne yapılacağına ve bir paket içeri girerken ne zaman davranacağına dair bir kurallar grubundan oluşur. Belirli bir IP'den gelen bağlantıları açıkça engellemek istiyorsanız, bir kural eklemeniz gerekir. Aslında bunu yapmana gerek yok. Rahatlayın.

Herhangi bir şeyden iyi bir güvenlik istiyorsanız, herhangi bir yerden rastgele yazılım yüklemeyin. Varsayılan güvenlik ayarlarınızı bozabilir. Hiç root olarak çalıştırılmaz. Her zaman resmi depolara güven.

Bence sormak istediğin şey UI kurulu olup olmadığı mıydı?


8
Bir güvenlik duvarı gibi "her zaman etkin" olduğu gibi ses çıkarıyorsunuz, ki durum böyle değil. Entegre olabilir, ancak açmazsanız sudo ufw enable, yüklediğiniz ilk sunucu yazılımı, yerleşik iptables öğelerinin hakkında bir şey yapmayacağı bir bağlantı noktası açar.
Scaine

4
@ SCcaine: ufw iş yapmaz; varsayılan olarak etkin olan iptables tarafından yapılır.
papukaija

7
Merhaba millet. UFW iptables üzerinde bir ön uç - anlıyorum. Ancak, varsayılan olarak, iptables kesin olarak hiçbir şey yapmaz. İşe yaramıyor. Bu bir güvenlik duvarı değil. Hazır, ama işe yaramaz. Sen ZORUNDASINIZ sudo ufw enablebir iptables şey yapmak üzere yapılandırılmıştır önce. Manish, cevabınız güvenlik duvarı çalışıyor gibi görünüyor. "Teknik olarak" diyorsun ve teknik olarak haklısın. Ama hiçbir şey yapmıyor, bu yüzden hiçbirinin olmadığı yerde, büyük ölçüde yanlış bir güvenlik izlenimi veriyorsunuz.
Scaine,

3
@manish, "sunucu yazılımı yükleyen normal kullanıcılar" ile ilgili. Pek çok kişi benim örneğime göre Samba'yı kuracak Diğerleri dahili VNC sunucusunu tercihlerde / uzak masaüstünde kullanacaktır. Bu ev ortamında gayet iyi (muhtemelen), ancak dizüstü bilgisayarı bu hizmetlerin etkin olduğu durumlarda dışarıda götürün, kendinizi kötü niyetli davranışlara maruz bırakıyorsunuzdur.
Scaine

2
ssh, yazdırmayla ilgili ve posta bağlantı noktaları da tamamen normal masaüstü veya sunucu işlemleri için sıkça açılır. Bunlar kilitlenebilir (örneğin kaynak IP ile) veya ufw veya başka bir güvenlik duvarı / ACL tadıyla tamamen kapatılabilir.
belacqua

4

Ayrıca, gufwbir GUI ön uç sağlayabilir. (Komut satırındaki ufw'den daha sezgisel değil, bana göre, ama size orada ne olduğuna dair daha görsel bir hatırlatma veriyor.) Güvenlik duvarının şu anda iyi tanıtılmadığını kabul ediyorum. Tahmin edersem, bunun yeni kullanıcıların kendilerini vurmalarını engellemek olduğunu söyleyebilirim.


-1

Çünkü: şifreler veya şifreleme tuşları.

Bu IMO, doğru cevap ve şu ana kadar diğerlerinden oldukça farklı bir cevap. ufwParolaların gizlilik ve kısıtlı kontrol sağlamak için önemli bir koruma biçimi olduğunu bilen Ubuntu kullanıcılarının çoğunluğunun rahatlığı için varsayılan olarak devre dışı bırakılmıştır. Ubuntu kullanıcılarının çoğunluğu, Ubuntu onaylı havuzlardan kurarak yazılımı "veteriner" edecek ve yalnızca limanlarla ilgili riski değil, genel olarak riskleri en aza indirgemek için diğer kaynaklar konusunda dikkatli olacaktır. Bunu yaparak liman ile ilgili riski en aza indirgemek için uzun bir yol kat ediyorlar çünkü zaten "normal" şifreler kullanıyorlar ve brüt zor şifreler veya kripto anahtarları kullanıyorlarsa çok küçükler.

Samba dosya sunucusu, Apache HTTP sunucusu, SSH, Starbucks (halka açık) WiFi üzerindeki VNC gibi risklerin bazıları, genellikle ana makinedeki kaba kullanımı zor şifrelerle ortadan kaldırılır.

ufwYazılımı bir güvenlik duvarı olarak "sonlandırır", varsayılan olarak devre dışı bırakılmasının nedeni budur. Bunu Ubuntu'nun yeni bir kurulumunda test etmek için, sunucu A, sshaynı yerel ağda başka bir makineden, B istemcisinden yükleyin ve giriş yapın ve hemen çalıştığını göreceksiniz. Çıkış Yap. Ardından A ve sudo ufw enable. B istemcisine geri dönün, sshA sunucusunda başarısız olursunuz .


1
Parolalar yığının çok daha yüksek bir seviyesine oturur. Sistemler, istifin daha düşük seviyelerinde basit tampon taşmaları ile saldırıya uğrayabilir.
HRJ

Neden aşağı oy?
H2ONaCl,

@HRJ, "sistemlere saldırılabilir" bu kolaylıkların önemini reddetmiyor. Yazdıklarımın doğruluğundan bahsetmedin. Haklıyım. Bir teğetlisin.
H2ONaCl,
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.