Каковы риски НЕ использовать брандмауэр (домашний компьютер)?

51

Поскольку для суперпользователя требуется пароль (для установки и изменения программ), каковы риски не использовать брандмауэр под Ubuntu? В частности, если я использую маршрутизатор NAT?

riimzzai
источник

Ответы:

40

По-разному. Большинство людей используют маршрутизатор между своим настольным компьютером и Интернетом, и по умолчанию нет значительных открытых портов, поэтому в подавляющем большинстве случаев брандмауэр добавляет очень мало, если что-нибудь.

Это может помочь, если вы случайно установите сервер, такой как VNC или SSH.

Лучший вопрос: для чего вы хотите использовать брандмауэр?

Видеть:

https://wiki.ubuntu.com/SecurityTeam/FAQ#UFW

https://wiki.ubuntu.com/SecurityTeam/Policies#No_Open_Ports

https://help.ubuntu.com/community/UFW

Если вам нужен графический инструмент для вашего брандмауэра, используйте gufw

введите описание изображения здесь

пантера
источник
Спасибо за ваш ответ. На самом деле я уже использую gufw с открытым портом для моего торрент-клиента. И я должен сказать, что это больше привычка Windows, так как использование Windows без брандмауэра довольно самоубийственно.
riimzzai
Да, в Windows есть несколько открытых и недокументированных открытых портов, хотя это может улучшаться (не использовалась ни одна версия Windows выше XP).
Пантера
Даже в Windows NAT защищает от большего количества угроз, чем думает большинство людей. Но я просто не вижу веской причины НЕ использовать брандмауэр.
davidcl
1
@davidcl - просто будьте осторожны, чтобы не включить UPnP на вашем маршрутизаторе, это все;) В противном случае +1 к маршрутизатору (который поставляется с брандмауэром / NAT).
Пантера
11

Похоже, речь идет о брандмауэре на основе хоста на ПК с Ubuntu.

ЕСЛИ аппарат никогда не покидает сеть на основе NAT (т. Е. Это не ноутбук, который вы берете в кафе и используете в бесплатных сетях Wi-Fi),

И на вашем маршрутизаторе нет открытых портов, которые могли бы быть сопоставлены с вашей машиной Ubuntu,

И у вашего роутера нет никаких функций, которые бы помогли вам открыть порты на основе событий, которые происходят в вашей сети (UPnP)

И у вас никогда не будет других устройств в вашей локальной сети, которые могут быть скомпрометированы и атаковать ваш Ubuntu box,

Тогда ваша система, вероятно, защищена без брандмауэра на основе хоста.

Однако, если некоторые из этих вещей не соответствуют действительности или могут стать неверными в будущем, межсетевой экран на основе хоста - это действительно хорошая идея. Учитывая потенциальные выгоды и ограниченные недостатки, почему бы не включить его?

davidcl
источник
9

Используя NAT, если у вас нет переадресации портов на ваш компьютер, он не будет доступен из Интернета, если вы не откроете к нему явное соединение (например, с помощью vnc или teamviewer), поэтому я думаю, что нет проблем с использованием брандмауэра на нем. , Единственное беспокойство может быть связано с внутренним доступом (LAN), но обычно это не так на домашней сети.

Laurent
источник
Не правда; читать о STUN обхода. Существует много недостатков, связанных с STUN, которые позволяют внешним службам открывать порты для компьютеров внутри брандмауэра.
пушистый
Функция Stun Traversal предназначена для VoIP-клиентов для прохождения NAT / межсетевого экрана, поэтому, если вы включаете его (обычно не требуется), вы все равно открываете машину для этих портов и, конечно, должны принять соответствующие меры (например, не включать UPnP на маршрутизаторе для пример).
Лоран
Обход STUN - не «для чего-либо», это артефакт работы NAT, который был использован для улучшения одноранговых сетевых протоколов, таких как SIP и тому подобное. Это может быть использовано во благо. Это также может быть использовано для зла.
пушистый
2

Никак нет.

Функция брандмауэра состоит в том, чтобы блокировать доступ к сервисам, которые иначе позволили бы это. Ubuntu по умолчанию не имеет служб прослушивания, поэтому блокировать нечего. Кроме того, поскольку вы находитесь за NAT-маршрутизатором, у вас уже есть брандмауэр.

psusi
источник
2
Это не совсем верно, поскольку некоторые маршрутизаторы имеют UPnP, и люди невольно включают совместное использование рабочего стола (VNC). Это приводит к самой распространенной трещине, которую я видел в Ubuntu. Конечно, они вполне могут открыть порт VNC, не задумываясь ... Я думаю, что нашей позицией должно быть образование, а не достижение обобщений и абсолютных требований.
Пантера
@ bodhi.zazen, я не понимаю, как вы можете включить его случайно, и если у вас возникли проблемы с его включением, я полагаю, вы хотите, чтобы он работал, поэтому брандмауэр был бы контрпродуктивным. Он также по умолчанию запрашивает у вас авторизацию, когда кто-то подключается, поэтому, даже если вы оставили его включенным и не установили пароль, он все равно никого не пропустит без вашего разрешения.
psusi
Вот пример того, как это может произойти случайно: miket5au.blogspot.com/2011/03/beware-vnc-and-upnp.html Иногда вы хотите использовать общий доступ к рабочему столу в локальной сети, но не хотите включать его для внешний мир.
davidcl
Тем не менее, ваш брандмауэр на основе хоста, вероятно, не поможет вам в этом сценарии.
davidcl
@davidcl, действительно, брандмауэр на основе хоста блокирует его и в локальной сети. И в первой строке этой статьи он признается: «Я был неосторожен». Если вы достаточно небрежны, чтобы оставить входную дверь открытой (включите vnc без пароля или приглашения), то вы также можете быть достаточно небрежны, чтобы оставить ворота открытыми (брандмауэр). Наличие ворот или нет не имеет значения, если вы не оставите входную дверь открытой.
psusi
1

Я думаю, что одной из наиболее часто используемых функций брандмауэра является предотвращение «взломанных» программ проверки лицензии в Интернете. Если «взломанное» приложение не нуждается в обновлении или не использует «онлайн» функции, вы можете запретить ему доступ к Интернету, настроив определенное правило брандмауэра. Грустно, но правда.

серафим
источник
0

В общем случае, будучи общедоступными компьютерами или компьютерами без защищенного соединения, такими как те, которые более или менее угоняют интернет-соединения от других пользователей в соседних портах (то есть домах / квартирах по соседству), тогда один этот - я думаю - мог бы привести пример как брандмауэр (по своему усмотрению) может быть лучшей частью доблести, так сказать. Кроме того, они не дают окружающим копаться в вашей информации, будь то личная информация или даже просто что-то глупое, с чем вы могли бы подшучивать. Дело в конфиденциальности.

Когда я снова говорю «генерал», я имею в виду такие места, как общественные места. Библиотеки, где все и вся, прежде чем использовать портативные носители, такие как USB-что-нибудь, на самом деле, диски - даже если вы должны были сделать что-то необдуманное, например, взять свой собственный внешний жесткий диск в другом месте и подключить его, нет гарантии, что последующий порт будет защищенный от вирусов или шпионских программ, и все это может защелкнуться и перенести себя обратно на ваш оригинальный домашний ноутбук / настольный компьютер, тем самым чувствуя себя как дома.

Поэтому, хотя во многих случаях может не быть острой необходимости в брандмауэре для защиты от многих вещей, они, безусловно, пригодятся в определенных, если не в отдельных случаях.


источник
0

Между ними я нашел несколько интересных соображений по поводу брандмауэра .

В статье объясняются понятия «прослушивание службы», «открытый порт» и «маршрутизатор NAT», которые могут быть неверно истолкованы, чтобы прийти к выводу, что: - лучше с чем без (даже если вы водите танк, наденьте свой ремень безопасности) и - подумайте дважды прежде чем делать что-то, влияющее на систему (образовательные соображения)

riimzzai
источник