Bu gün Güvenlik Duvarı gerçekten gerekli mi? [kapalı]


13

gufw gibi bir şey kurmalı mıyım?


5
Bu soruların objektif ve doğru bir cevap alamayacak kadar geniş olduğunu düşünüyorum .
Stefano Palazzo

Tek başına değil, ana bilgisayar tabanlı bir güvenlik duvarı anlamına geldiğinizi varsayıyorum. Ama Stefano'ya katılıyorum, bunun açık bir cevap için çok geniş bir konu. Çok şey bağlama bağlıdır - sisteminizin nerede, hangi hizmetleri çalıştırdığınız, diğer güvenlik kontrollerinin ne olduğu, çalışma sürenizin (hizmet reddi için) ve verilerinizin değeri (finansal, tescilli, yeri doldurulamaz) vb. Temkinli güvenlik için genel prensip çoklu koruma kullanmaktır. Günlük etkinliğinize engel olmazsa, ekstra bir güvenlik katmanı eklemenin birkaç dezavantajı ve olası faydaları vardır.
belacqua

Ayrıca sudo nmap localhost,. Şimdi açık limanlarınız var mı? (Kaba bir tahmin.)
belacqua

sudo nmap localhostbu komut çalışmıyor
TheXed

1
@TheX namp yüklü olmadığı için mi?
theTuxRacer

Yanıtlar:


7

Evet, her zamankinden daha fazla. Eski günlerden beri internet çok değişmedi. Yani bugünlerde güvenlik duvarı hala bir zorunluluk. Gufw gibi bir güvenlik duvarı temel kurallarla çalışır. Eğer CLI geek iseniz iptables kullanın;)


dangit, lütfen neden indirdiğinizi yorumlayın.
theTuxRacer

1
++ oy; echo "Use iptables" - I assume I\'m a real CLI geek then :p;
Lekensteyn

1
Yanlış cevap.
psusi

1
@psusi Bunun yanlış olduğunu söylüyorsunuz çünkü ana bilgisayar tabanlı bir güvenlik duvarı kullanmanın iyi bir fikir olduğu fikrine katılmıyorsunuz veya ufw / iptables değerlendirmelerine katılmıyorsunuz?
belacqua

1
@jgbelacqua bu yanlış çünkü bir Ubuntu masaüstü sistemi için ana bilgisayar tabanlı bir güvenlik duvarı anlamsız, şimdi hiç olmadığı kadar gerekli değil. Manish'in bağlı olduğu sorunun nedenine dair çok iyi açıklamaları var.
psusi


3

Kuşkusuz, beladan kurtulmak için sadece tek bir fırsatçı snooper gerekir. Karışıklık, bir güvenlik duvarının arkasında olduğunuzdan emin olmanızda yatıyor.

Bu, burada daha ayrıntılı olarak ele alınmaktadır: Önceden kurulmuş veya otomatik bir güvenlik duvarı var mı? ancak kısacası bir ev ağında, kablosuz bir yönlendiricinin arkasındaysanız, yönlendiriciniz normalde güvenlik duvarı görevlerini yerine getirecektir. Açıkçası, herhangi bir şeye güvenmeden önce üreticiye danışmak iyi bir fikirdir (yönlendirici yapılandırmasına da bağlıdır).

GUFW kendi başına bir güvenlik duvarı değil, sadece ubuntu'nun varsayılan güvenlik duvarı (UFW) için bir GUI değildir. UFW varsayılan olarak kapalıdır. Genel olarak konuşursak, olası bir çatışmayı önlemek için yalnızca bir güvenlik duvarı çalıştırmanız önerilir, bu nedenle güvenilir bir ev ağında olmanız (ve yönlendiricinizin yeterli koruma sağladığından eminseniz), güvenlik duvarı yazılımınızı (UFW) kapatmanızı öneririz.

Herkese açık / güvenilir olmayan bir ağdayken tekrar açın.


Kişisel yazılım güvenlik duvarı çalıştırmanın bir zararı yoktur ... Bu genellikle iyi bir fikirdir ve yerel ağınızdaki kötü davranış gösteren makinelere karşı 'derinlemesine savunma' sunar.
Nerdfest

Güvenlik duvarları aynı şekilde yapılandırıldığı sürece katılıyorum. Ağ sorunlarını teşhis etmek için harcadığım saat sayısı, sadece iki güvenlik duvarını keşfetmek için izin verdikleri şey üzerinde
hemfikir değil

1
LAN'ımın içinde: güvenlik duvarı yok. İnternete bakarken: tabii ki güvenlik duvarı. Bağlandığım bilgisayarlara nasıl güvendiğime dayalı olarak güvenlik duvarım var.
djeikyb

2

Güvenlik duvarı yüklemenizi tavsiye ederim. Bir şey her zaman hiçlikten daha iyidir. değil mi? Ubuntu, Varsayılan olarak bir güvenlik duvarı ' ufw ' ile birlikte gelir . gufw (Söz konusu), 'ufw'nin GUI'sinden başka bir şey değildir.

Bu yardımcı olur umarım.


1
Sadece bir not: iptables bir güvenlik duvarı değildir. Netfilter, linux çekirdeğinin bir parçasıdır. iptables sadece netfilter kural setini değiştirmek / sorgulamak için kullanılan bir komut satırı yardımcı programıdır.
LGB

Başka bir yanlış cevap.
psusi

Wikipedia'dan @LGB: iptables, bir sistem yöneticisinin Linux çekirdek güvenlik duvarı (farklı Netfilter modülleri olarak uygulanır) ve depoladığı zincirler ve kurallar tarafından sağlanan tabloları yapılandırmasına izin veren bir kullanıcı alanı uygulama programıdır. Şimdi kafam karıştı.
theTuxRacer

@aneesheep Bunun yanıltıcı olduğunu söyleyebilirim, çünkü uwfbir ön uç iptables(netfilter için bir arayüz). İptables yerinde olmadan ufw kurulu olamaz.
belacqua

Beni doğru yöne götürdüğün için teşekkürler arkadaşlar. Cevabımdan iptables bölümünü kaldırdım.
aneeshep

1

Ubuntu, bir GUI aracıyla etkinleştirilen varsayılan bir güvenlik duvarıyla birlikte gelmelidir. Onunla gelmediğine şaşırdım. Iptables zaten orada biliyorum ama hiçbir kural yüklü. Temel bilgileri sizin için çalıştırmak için bunu manuel olarak yapmanız veya Firestarter gibi bir şey yüklemeniz gerekir .

Bir gün, DSL'imi her etkinleştirdiğimde ISP'min kendi genel IP adresimi verdiğini öğrendiğimde çok şaşırdım. Kaç vuruş, ssh giriş denemesi, diğer taramalar ve MS istismarları (evet biri ISP'min IP'lerinde çalışıyor) makinemin tüm zamanını aldığını düşünün. LOL! :)


2
Ve makineniz bir güvenlik duvarına ihtiyaç duymadan hepsini mutlu bir şekilde yok sayar.
psusi

Belirli bir bağlantı noktasını dinleyen bir hizmet varsa makine yok saymaz. Aslında, makinenin bağlantıları kabul etmeye istekli olduğunu cüret ediyorum .
theTuxRacer

1
@Kaustubh P bağlantı noktasını dinleyen bir hizmet varsa, bağlantıları kabul etmesini İSTER ve bu bağlantı noktasını güvenlik duvarında açmış olursunuz. Yoksa, o bağlantı noktasına olan bağlantıları reddeder.
psusi

1

Tanım olarak, bir güvenlik duvarı aksi halde izin verilecek iletişimi engeller. Bir masaüstü Ubuntu makinesinde varsayılan olarak, bağlantıları kabul edecek hiçbir hizmet yüklü değildir; Bu nedenle, tamamen işe yaramaz.

Güvenlik duvarının Windows'da gerekli görülmesinin nedeni, varsayılan olarak, bağlantıları kabul eden ve diğer tarafın bilgisayarınızla istemediğiniz şeyleri yapmasına izin veren birkaç beyin ölü hizmeti ile birlikte gelmesidir.


"tamamen yararsız" - yanlış. Güvenlik duvarı ekstra bir savunma katmanı ekler. Siz de yanlış bilgi veriyorsunuz, varsayılan bir Ubuntu kurulumunun halka açık hizmetleri var. Örneğin, UDP bağlantı noktası
631'de

1
Diğer bağlantı noktalarını kullanan yeni bir hizmet yüklerseniz , siz kapatmadıkça veya güvenlik duvarıyla düzenlemediğiniz sürece bunlar açık bırakılır .
theTuxRacer

OP masaüstü veya sunucudan bahsetmiyor. @Kaustubh'un dediği gibi bir masaüstü sisteminde bile, orijinal kurulumdan ayrıldıktan sonra bağlantı noktalarının açılmayacağının garantisi yoktur. Ve bazen, portlar güncellemelerde yanlışlıkla açık bırakılır.
belacqua

@Lekensteyn: Yanlış değil. Manish'in de açıklandığı yerle bağlantılı olduğu diğer soruyu okumanızı tavsiye ederim. Bağlantı noktası zaten kapalı olduğunda, bağlantı noktalarını kapatan bir program işe yaramaz. CUPS ayrıca varsayılan olarak yalnızca yerel ana bilgisayardan gelen bağlantıları kabul eder.
psusi

2
Lütfen wiki.ubuntu.com/SecurityTeam/FAQ#UFW adresine bakın. Ufw'yi etkinleştirmek istiyorsanız, bunu yapmak önemsizdir. "sudo ufw enable"
Kees Cook

1

IPv6'nın girmesiyle bir güvenlik duvarına sahip olmak daha da kritik hale gelecektir. Çoğu sistemin özel IP aralıklarında nispeten güvenli olduğu IPv4'ten farklı olarak, IPv6 cihazlarına tam olarak erişilebilir olması muhtemeldir.

Varsayılan reddetme ilkesine sahip bir güvenlik duvarına sahip olmak daha da kritik olacaktır. Adreslerin seyrek kullanımı nedeniyle taranacak cihazları bulmak daha zor olacaktır. SMB gibi bazı protokolleri bağlantı yerel adreslerinde tutmak yardımcı olacaktır, ancak sihirli bir mermi olmayacaktır.

Varsayılan kurulumda aktif bir güvenlik duvarının sadece ekstra bir güvenlik katmanı olduğunu söyledi. Açık bağlantı noktaları yapan uygulamaların çoğunun çalışabilmesi için bağlantı noktalarının açılması gerekir. Onları güvence altına almak için ek yöntemler var. Tüm uygun katmanları gerektiği gibi etkinleştirin.

DÜZENLEME: Uygulamanın erişimi denetlemesine izin verme ve güvenlik duvarına sahip olmamak için diğer nedenlerle ilgili birçok yorum var. Ne yazık ki, birçok uygulamanın erişim denetimleri yoktur. Diğerleri tüm adresleri dinler, böylece güvenlik duvarı belirli arabirimlerden erişimi kısıtlamanın tek yolu haline gelir.

Yukarıda belirttiğim gibi, güvenlik duvarı yalnızca bir güvenlik katmanıdır. Güvenli uygulamalar başka bir yöntemdir, ancak kullanıcılarınızın yalnızca güvenli uygulamalar çalıştırmasını kolayca sağlayamazsınız. Güvenlik duvarı, kullanıcılarınızı korumanın bir yoludur.

Hiçbir makul güvenlik önlemi tamamen güvenli değildir. Birçok kullanıcı, bir güvenlik duvarını tam olarak anlayacak kadar ilgilenmemiş veya eğitilmemiş olsa da, bu bir güvenlik duvarı kullanmamanın veya güvenlik duvarına sahip olmamasının bir nedeni değildir.


3
Güvenlik duvarı OLMADAN varsayılan ilke bağlantıları reddetmektir. Bunu yapmak için bir güvenlik duvarına ihtiyacınız yoktur; kabul etmeye çalışan bir hizmeti yüklediğinizde reddetmek üzere GERİ politikasını değiştirmek için bir güvenlik duvarı kullanırsınız. Tabii ki, bunu yapmak istiyorsanız, bağlantıyı ilk etapta kabul etmek için hizmeti yüklemeyin.
psusi

1
@psusi. Hizmetin kaldırılması bir evet / hayır çözümüdür. Güvenlik duvarı kullanmak, hassas kontrol sağlar.
BillThor

ince taneli kontrole izin verir, ancak hizmetin kendisi genellikle daha ince taneli kontrole izin verir. Bir hizmeti yüklediğinizde, hizmeti kısıtlamak için ayrı bir araç kullanmak yerine istediğiniz bağlantı türlerini kabul edecek şekilde yapılandırırsınız. Hizmetler ayrıca aklı başında varsayılanlara sahiptir, böylece bunları yüklediğinizde, yalnızca yerel ana bilgisayardan veya yerel ağdan bağlantıları kabul ederler, bu nedenle tekrar güvenlik duvarına gerek yoktur.
psusi

@psusi Verilen hizmetlerin genellikle hassas denetimi vardır. Ancak bağlantıyı tutarlı bir şekilde bıraktıklarında her zaman oturum açmazlar. Güvenlik duvarı, diğer günlükleri taramak yararlı olsa da, tutarlı günlük kaydı sağlayabilir. Güvenlik duvarı, eksik hizmetlerin sondalarını da kaydedebilir. Bu, kaynak konağın proaktif bir şekilde bloke edilmesine izin verebilir.
BillThor

ortalama masaüstü kullanıcınız bu tür şeyleri bilmez veya önemsemez. Tabii ki, belirli bir arka plan programı ile yapamayacağınız ipchains ile yapabileceğiniz bazı şeyler vardır, ancak ortalama bir masaüstü kullanıcısının "gerekli" olduğunu düşündüğü hiçbir şey yoktur.
psusi

0

Herkes doğrudur, dikkatli olun ve muhtemelen bir tür koruma kullanın, ne yaptığınıza bağlı olarak biraz güçlük yaratabilir, ancak bazen ekstra güçlüğün sizi gerçekten ne kadar koruduğunu fark etmezsiniz.

Gerçekten müdahaleci olmayan bazı ekstra koruma ekleyebilmenin bir yolu, OpenDNS'e bakmak olacaktır , temel olarak sadece temel internet kullanımı için bazı güzel kontrol ve ekstra güvenlik özellikleri ekler.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.