Почему брандмауэр отключен по умолчанию?

65

Почему брандмауэр UFW включен в Ubuntu, когда он не включен и предварительно настроен по умолчанию? Большинство пользователей даже не знают, что это там, потому что не предоставляется интерфейс GUI.

6205
источник
6
Я был шокирован, когда случайно обнаружил, что брандмауэр установлен, но отключен! Аргументы, упомянутые здесь, довольно слабы.
HRJ
1
У меня тот же вопрос, поэтому я приземлился здесь, просто получил очень дикое предположение, что пользователи Linux (в отличие от пользователей Windows, которые чаще всего являются обычными пользователями настольных компьютеров) используют Linux в различных целях: некоторые для пентестинга, некоторые используют ssh, некоторые нет, многие используют его в качестве веб-сервера, базы данных или SMTP-сервера ... Философия Linux позволит каждому пользователю настраивать свой брандмауэр так, как он считает нужным.
user10089632
Это невероятно плохое дизайнерское решение. Просто поразительно плохо!
Ионо

Ответы:

37

Из коробки Ubuntu поставляется без открытых портов TCP или UDP, поэтому существует мнение, что по умолчанию не нужно запускать Uncomplicated Firewall (ufw) . Я согласен, однако, что отключение UFW - странное решение. Я полагаю, что неопытные пользователи, вероятно, собираются установить такие вещи, как Samba, Apache и тому подобное, когда они экспериментируют с системой, поставленной перед ними. Если они не понимают последствий этого, они подвергают себя злонамеренному вреду в Интернете.

Пример - у меня ноутбук настроен на Samba, что нормально в моей домашней сети, защищенной WPA2. Но если я возьму свой ноутбук в Starbucks, я ничего не подумаю об этом, но этот ноутбук теперь рекламирует мои акции всем и каждому. С помощью брандмауэра я могу ограничить свои порты Samba только своим домашним сервером или одноранговыми устройствами. Больше не нужно беспокоиться о том, кто пытается подключиться к моему ноутбуку. То же самое касается VNC, SSH или огромного количества других полезных сервисов, которые могут работать на моем ноутбуке или пытаться подключиться.

Ubuntu применяет очень строгий подход к определенным элементам безопасности, с философией, с которой я не согласен. С технической точки зрения безопасность может быть включена или выключена, но, накладывая друг на друга элементы безопасности, вы получаете лучшую систему. Конечно, безопасность Ubuntu достаточно хороша для большого количества случаев использования, но не для всех.

Итог, беги UFW. Береженого Бог бережет.

Несложный брандмауэр имеет несколько графических интерфейсов, но самым простым является Gufw .

GUFW Logo

sudo apt-get install gufw

Здесь я разрешаю весь трафик из определенных серверных VLAN в моей корпоративной среде и добавил правило, позволяющее портам, необходимым для обратного сеанса SSH, отскакивать от этой машины.

Скриншот GUFW

Scaine
источник
UFW просто контролирует iptables - поэтому он не включен по умолчанию. Опытные пользователи могут использовать iptables.
Папукайя
3
@papukaija - продвинутые пользователи iptables могут использовать iptables. Опытный пользователь в системе bsd будет использовать pf, но это не делает этого пользователя, пришедшего в ubuntu, внезапно бесхитростным. Точно так же с кем-то, кто прежде всего является сетевым инженером - этот человек знал бы логику ACL Cisco или Juniper. Это не для всех, но ufw может сделать настройку более доступной, и, на мой взгляд, это хорошо.
Белаква
2
@jgbelacqua: Да, но ответ Скоина дает представление о том, что UFW - это брандмауэр, в то время как это всего лишь интерфейс для iptables.
Папукайя
1
(Предупреждение агрессивного педанта) Я бы порекомендовал пользователям не разрешать случайные входящие пакеты UDP / 53 на основе поддельного адреса источника. Они использовались в реальных атаках (яд DNS, DoS усиленным трафиком). Вам нужно сделать это почему?
sourcejedi
Да, наверное, правда. Это действительно плохой скриншот старого компьютера, на котором я просто хотел, чтобы OpenDNS был в моих журналах. Это не хорошая практика. Если у меня будет время, я постараюсь обновить скриншот, так как GUFW в наши дни выглядит совсем по-другому.
Scaine
28

В отличие от Microsoft Windows, рабочий стол Ubuntu не нуждается в брандмауэре для безопасности в Интернете, поскольку по умолчанию Ubuntu не открывает порты, которые могут создавать проблемы безопасности.

Как правило, для надлежащей защиты системы Unix или Linux не требуется брандмауэр. Брандмауэры (за исключением некоторых проблем безопасности с компьютерами Windows) имеют больше смысла блокировать внутренние сети в Интернет. В этом случае локальные компьютеры могут связываться друг с другом через открытые порты, которые являются брандмауэрами наружу. В этом случае компьютеры преднамеренно открыты для внутренних коммуникаций, которые не должны быть доступны за пределами внутренней сети.

Стандартный рабочий стол Ubuntu не требует этого, поэтому ufw не включен по умолчанию.

txwikinger
источник
Разве (g) UWF не просто интерфейс? Я имею в виду настоящий брандмауэр это iptables, не так ли?
Папукайя
9
Даже правильно защищенные системы выиграют от брандмауэра. Например, если вы запускаете Samba, вы открываете различные порты для всех. С помощью firwall вы можете ограничить это только своим сервером или коллегами.
Scaine
netfilter + iptables или netfilter + ufw (который включает iptables) обеспечивает брандмауэр. Но если у вас есть UFW, у вас будет функциональность брандмауэра.
Белаква
4
[нужная цитата]
ζ--
7
Это совершенно абсурдно. Брандмауэр используется для защиты входящих и исходящих соединений от незаконного использования ... Это означает, что если вы установите, скажем, музыкальный проигрыватель, который неправильно открывает порт, у вас будет открытое подключение к Интернету. Это называется упреждающей безопасностью, вы защищаете от того, что может случиться. Этот ответ дает людям ложное чувство безопасности в среде Linux.
Даниил
8

В Ubuntu или любом другом Linux брандмауэр является частью базовой системы и называется iptables / netfilter. Это всегда включено.

iptables состоит из набора правил о том, что делать и как вести себя, когда пакет выходит из очереди. Если вы хотите явно блокировать входящие соединения с определенного IP-адреса, вам необходимо добавить правило. На самом деле вам не нужно этого делать. Расслабьтесь.

Если вам нужна надежная защита от чего-либо, помните, что не устанавливайте случайные программы из любого места Это может испортить ваши настройки безопасности по умолчанию. Никогда не запускайте как root. Всегда доверяйте официальным репо.

Я думаю, что вы хотели спросить, был ли интерфейс установлен или нет?

Маниш Синха
источник
8
Вы говорите так, будто брандмауэр «всегда включен», а это не так. Возможно, он интегрирован, но если вы не включите его sudo ufw enable, то первая часть установленного вами серверного программного обеспечения откроет порт, с которым встроенная программа iptables ничего не сделает.
Scaine
4
@Scaine: UFW не делает работу; это делается с помощью iptables, который включен по умолчанию.
Папукайя
7
Привет, друзья. UFW - это интерфейс iptables - я понял. Однако, по умолчанию, iptables точно НИЧЕГО не делает. Это не работает. Это не брандмауэр. Это готово, но бесполезно. Вы ДОЛЖНЫ работать sudo ufw enableдо того, как iptables настроен на что-либо. Маниш, твой ответ звучит так, будто запущен брандмауэр. Вы говорите «технически это так», и технически вы правы. Но он ничего не делает, поэтому вы создаете ложное представление о безопасности там, где ее нет.
Scaine
3
@manish, относительно "обычных пользователей, устанавливающих серверное программное обеспечение". Многие установят Samba, согласно моему примеру. Многие другие будут использовать встроенный VNC-сервер в настройках / удаленном рабочем столе. Это хорошо в домашней среде (вероятно), но выньте этот ноутбук на улицу с включенными службами, вы потенциально подвергаете себя злонамеренному поведению.
Scaine
2
ssh, связанные с печатью и почтовые порты также часто открываются для совершенно обычных операций на рабочем столе или на сервере. Они могут быть заблокированы (например, по IP-адресу источника) или полностью закрыты с помощью ufw или другого варианта межсетевого экрана / ACL.
belacqua
4

Кроме того, gufwможет предоставить интерфейс GUI. (Для меня это не более интуитивно понятно, чем UFW в командной строке, но это дает вам более наглядное напоминание о том, что там есть.) Я согласен, что в настоящее время брандмауэр не очень хорошо рекламируется. Если бы я догадался, я бы сказал, что это предотвращает новых пользователей от стрельбы в ногу.

belacqua
источник
-1

Потому что: пароли или крипто-ключи.

Это ИМО правильный ответ, и пока что ответ совсем другой, чем у других. ufwпо умолчанию отключено для удобства большинства пользователей Ubuntu, которые знают, что пароли являются важной формой защиты для обеспечения конфиденциальности и ограниченного контроля. Большинство пользователей Ubuntu будут «проверять» программное обеспечение, устанавливая его из утвержденных Ubuntu репозиториев, и будут осторожны с другими источниками, чтобы минимизировать риски в целом, а не только риски, связанные с портами. Тем самым они проходят долгий путь к минимизации риска, связанного с портом, который уже был небольшим, потому что они используют «нормальные» пароли, и очень малы, если они используют трудно взломанные пароли или крипто-ключи.

Некоторые из перечисленных рисков, таких как файловый сервер Samba, HTTP-сервер Apache, SSH, VNC в Wi-Fi Starbucks (общедоступный), обычно устраняются с помощью сложных паролей на хосте.

ufw«ломает» программное обеспечение, как и брандмауэр, поэтому по умолчанию оно отключено. Чтобы проверить это на новой установке Ubuntu, сервера A, установите sshи войдите с другой машины, клиента B, в той же локальной сети, и вы увидите, что она работает немедленно. Выйти. Затем вернитесь на сервер A и sudo ufw enable. Вернитесь к клиенту B, и вы не сможете sshк серверу A.

H2ONaCl
источник
1
Пароли находятся на гораздо более высоком уровне стека. Системы могут быть атакованы с помощью простого переполнения буфера на нижних уровнях стека.
HRJ
Почему отрицательный голос?
H2ONaCl
@ HRJ, «системы могут быть атакованы» не опровергает, что удобство имеет значение. Вы не обратились к правильности того, что я написал. Я прав. Вы на касательной.
H2ONaCl