Bir sunucudaki bir bağlantı noktasına telnet yapmaya çalıştığımda ve bu bağlantı noktasını dinleyen bir program yoksa telnet "Bağlanılamıyor ..." hatasıyla ölüyor. Onu anlıyorum. Ancak, herhangi bir bağlantı noktasını dinleyen program yoksa neden bir güvenlik duvarına ihtiyacımız var?
Yanıtlar:
Şu anda çalışan bir hizmet olmayabilir, ama yarın ne olacak? Hepsini kapattınız, ama kullanıcılarınız ne olacak? Unix / windows / mac sistemindeki herkes erişimi olan herhangi bir makinede 1024'ten büyük bir bağlantı noktası açabilir. Kötü amaçlı yazılımlar ne olacak? Bir virüs ne olacak? Ayrıca bağlantı noktalarını açabilir ve dünyaya bilgi sunmaya başlayabilir veya ağdan bağlantıları dinlemeye başlayabilirler.
Güvenlik duvarının temel amacı, devre dışı bırakıldığını bildiğiniz hizmetlerin bağlantı noktalarını engellemek değil, bilmediğiniz hizmetlerin bağlantı noktalarını engellemektir. Bunu, yetkilendirdiğiniz hizmetler için yalnızca belirli deliklerle varsayılan bir reddetme olarak düşünün . Bir kullanıcı tarafından başlatılan herhangi bir kullanıcı veya program, erişimi olan bir sistemde bir sunucu başlatabilir, güvenlik duvarı başka birinin bu hizmete bağlanmasını önler.
İyi bir yönetici hangi hizmetlerin ifşa edilmesi gerektiğini bilir ve bunları etkinleştirebilir. Güvenlik duvarı çoğunlukla sisteminizde veya ağınızda çalışan bilinmeyen sunuculardan kaynaklanan riski azaltmak ve merkezi bir yerden ağa izin verilenleri yönetmek içindir.
Makinenizde / sunucunuzda neyin çalıştığını bilmek ve yalnızca ihtiyacınız olanı etkinleştirmek önemlidir, ancak bir güvenlik duvarı bilmediğiniz şeylere karşı ekstra koruma sağlar.
hg servemakinenizde bir web sunucusu başlatan bir geliştiriciyseniz . Mesele şu ki, ister 'masaüstü' ya da 'sunucu' olarak kullanılıyor olsun, herhangi bir makinede bir sunucu başlatmak önemsizdir. Ve bu sunucu başlatıldığında ve onu bilmiyorsan ... işte eğlence başlıyor.
Herhangi bir bağlantı noktasını dinleyen program yoksa, güvenlik duvarına ihtiyacınız yoktur, ancak sunucunuza bağlanamazsınız çünkü dünyanın geri kalanından 'mühürlenmiştir'.
Öte yandan ... diyelim ki sunucunuzda herhangi bir bağlantı noktasını dinleyen yerel olarak çalışan bir program yok, ancak arkasındaki diğer bilgisayarlar için ağ geçidi görevi görüyor. Bu durumda, maskelenmeyi (NAT) yönetmek için bir güvenlik duvarı kullanırsınız ve isteğe bağlı olarak paket iletmedeki bazı şeyleri filtreleyebilirsiniz.
/etc/ssh/sshd_configmakineyi sabitlemek için kullanmalısınız . PermitRootLoginHayır olarak ayarlanmalıdır, güvenli bir parola kullanmalı ve makineyi sudo ile korumalısınız (sudo izinlerine sahip bir hesapla oturum açtıktan sonra sudo kullanabilirsiniz). Güvenlik duvarıyla kısıtlamaları ayarlamak iş için yanlış bir araçtır. Aynı şey bir postgresqlveritabanı için de geçerlidir : İzinleri ayarlamak ve iptal etmek için veritabanı yapılandırmasını kullanın.
Kesin olarak söylemek gerekirse, güvenlik duvarının ağ bağlantı noktaları üzerinden bağlantıları reddetmekten daha fazla işlevsellik sağlayabileceğini unutmayın. Örneğin, DROP ve REJECT davranışı.
Ancak, herhangi bir bağlantı noktasını dinleyen program yoksa neden bir güvenlik duvarına ihtiyacımız var?
Eğer bir varsa Tek Kullanıcı Masaüstü değil, bir sunucu varsayılan Ubuntu yüklemesinde olarak, çalışan hiçbir hizmet varsa, sen bir güvenlik duvarı gerekmez.
Windows, ağ bağlantısı kurduktan sonra, bakım, güncellemeler, dahili mesaj geçişi vb.Için varsayılan olarak çalışan bazı servislere sahipti. Pencerelerin çalışmasını durdurmadan onları durduramadınız, ancak dış saldırılara karşı savunmasızlar. Windows kullanıcıları bir güvenlik duvarına ve herkesin bir güvenlik duvarına ihtiyaç duyduğu memeye hızla yayıldı.
Genellikle sunucu yöneticileri olan Linux kullanıcılarıyla tanıştıklarında, 'linux'da bir güvenlik duvarına ihtiyacınız yok' demiyorlardı ama 'neredeyse on yıl boyunca iptables gibi ücretsiz güvenlik duvarlarımız var' demiyorlardı.
Bir kişisel güvenlik duvarı , bu koruyacaktır sistemde oturan ya iyi bir fikir değildir.
desktophala bir serverkelime olmadığı anlamına gelmez . Kişisel desktopait sahiptir bol serversolduğu potansiyel üzerinde çalıştırın ve zaten muhtemelen o olabilir.
t allow anything) on RedHat, start CUPS and see if you can connect to it from outside. Then look at iptables-save`: Voila - CUPS bağlantı noktası, kılavuzda görünmeden açık ...