Những rủi ro của việc KHÔNG sử dụng tường lửa (máy tính ở nhà) là gì?

51

Vì mật khẩu bắt buộc phải là siêu người dùng (để cài đặt và sửa đổi chương trình), những rủi ro khi không sử dụng tường lửa trong Ubuntu là gì? Đặc biệt hơn nếu tôi đang sử dụng bộ định tuyến NAT?

security  firewall  router  nat 
riimzzai
nguồn

Câu trả lời:

40

Nó phụ thuộc. Hầu hết mọi người sử dụng bộ định tuyến giữa máy tính để bàn của họ và internet và theo mặc định không có cổng mở đáng kể, vì vậy, trong phần lớn các trường hợp người dùng, tường lửa sẽ thêm rất litte, nếu có bất cứ điều gì.

Nó có thể giúp đỡ nếu bạn vô tình cài đặt một máy chủ, chẳng hạn như VNC hoặc SSH.

Một câu hỏi tốt hơn là bạn muốn sử dụng tường lửa để làm gì?

Xem:

https://wiki.ubfox.com/SecurityTeam/FAQ#UFW

https://wiki.ubfox.com/SecurityTeam/Polaho#No_Open_Ports

https://help.ubfox.com/community/UFW

Nếu bạn muốn có một công cụ đồ họa cho tường lửa của mình, hãy sử dụng gufw

nhập mô tả hình ảnh ở đây

Con beo
nguồn
Thx cho phản hồi của bạn. Trong thực tế, tôi đã sử dụng gufw với cổng mở cho máy khách torrent của mình. Và tôi phải nói rằng đây là một thói quen của windows, vì sử dụng tường lửa witout của windows khá tự tử.
riimzzai
Có, Windows có một số cổng mở được ghi lại và không có tài liệu, mặc dù nó có thể được cải thiện (chưa sử dụng bất kỳ phiên bản nào của Windows cao hơn XP).
Panther
Ngay cả trên Windows, NAT bảo vệ chống lại nhiều mối đe dọa hơn hầu hết mọi người nhận ra. Nhưng tôi chỉ không thấy một lý do chính đáng KHÔNG sử dụng tường lửa.
davidcl
1
@davidcl - Chỉ cần lưu ý không bật UPnP trên bộ định tuyến của bạn là tất cả;) Nếu không thì +1 với bộ định tuyến (đi kèm với tường lửa / NAT).
Panther
11

Có vẻ như câu hỏi là về một tường lửa dựa trên máy chủ trên PC Ubuntu.

NẾU máy không bao giờ rời khỏi mạng dựa trên NAT (nghĩa là nó không phải là máy tính xách tay mà bạn mang đến quán cà phê và sử dụng trên mạng wifi miễn phí),

không có cổng nào mở trên bộ định tuyến của bạn có thể được ánh xạ tới máy Ubuntu của bạn,

bộ định tuyến của bạn không có bất kỳ tính năng nào giúp mở cổng một cách hữu ích cho bạn dựa trên những điều xảy ra trên mạng của bạn (UPnP)

bạn sẽ không bao giờ có bất kỳ thiết bị nào khác trên mạng cục bộ của mình có thể bị xâm phạm và tấn công hộp Ubuntu của bạn,

THEN hệ thống của bạn có thể an toàn mà không cần tường lửa dựa trên máy chủ.

Tuy nhiên, nếu một số trong những điều này không đúng hoặc có thể trở thành sai sự thật trong tương lai, tường lửa dựa trên máy chủ là một ý tưởng thực sự tốt. Với những lợi ích tiềm năng và những hạn chế hạn chế, tại sao không kích hoạt nó?

davidcl
nguồn
9

Sử dụng NAT, nếu bạn không có cổng chuyển tiếp đến máy của mình thì không thể truy cập được từ internet trừ khi bạn mở kết nối với nó một cách rõ ràng (ví dụ như với vnc hoặc teamviewer) vì vậy tôi nghĩ không có vấn đề gì khi không sử dụng tường lửa trên nó . Lo lắng duy nhất có thể đến từ truy cập nội bộ (LAN) nhưng thường không phải là trường hợp trên lan nhà.

laurent
nguồn
Không đúng; đọc lên trên STUN traversal. Có nhiều lỗ hổng liên quan đến STUN cho phép các dịch vụ bên ngoài mở cổng cho các máy bên trong tường lửa.
lông tơ
Stun traversal là dành cho các máy khách voip để vượt qua NAT / tường lửa, vì vậy nếu bạn bật nó (thường là không cần thiết), bạn vẫn mở máy cho các cổng đó và dĩ nhiên bạn nên thực hiện các biện pháp thích hợp (như không bật UPnP trên bộ định tuyến thí dụ).
laurent
STUN traversal không phải là 'vì' bất cứ điều gì, đó là một sự giả tạo về cách NAT hoạt động đã được tận dụng nhằm mục đích cải thiện các giao thức mạng ngang hàng như SIP và tương tự. Nó có thể được sử dụng cho tốt. Nó cũng có thể được sử dụng cho cái ác.
fluffy
2

Không có gì.

Chức năng của tường lửa là chặn truy cập vào các dịch vụ mà nếu không sẽ cho phép. Ubuntu không có dịch vụ nghe theo mặc định, vì vậy không có gì để chặn. Hơn nữa, vì bạn đứng sau một bộ định tuyến NAT, nên bạn đã có một tường lửa.

psusi
nguồn
2
Điều đó không hoàn toàn đúng vì một số bộ định tuyến có UPnP và mọi người vô tình kích hoạt tính năng chia sẻ máy tính để bàn (VNC). Điều này dẫn đến vết nứt phổ biến nhất mà tôi đã thấy trên Ubuntu. Tất nhiên, họ cũng có thể mở cổng VNC mà không cần suy nghĩ ... Tôi nghĩ rằng vị trí của chúng ta nên là giáo dục chứ không phải là đạt được sự khái quát hóa và tuyên bố tuyệt đối.
Panther
@ bodhi.zazen, tôi không thấy làm thế nào bạn có thể kích hoạt nó một cách tình cờ và nếu bạn gặp rắc rối khi kích hoạt nó, tôi tưởng tượng bạn muốn nó hoạt động, vì vậy một tường lửa sẽ phản tác dụng. Nó cũng mặc định nhắc bạn ủy quyền khi có ai đó kết nối, vì vậy ngay cả khi bạn bật nó và không đặt mật khẩu, nó vẫn sẽ không cho phép bất cứ ai vào mà không có sự chấp thuận của bạn.
psusi
Đây là một ví dụ về cách nó có thể xảy ra một cách tình cờ: miket5au.blogspot.com/2011/03/bnterest-vnc-and-upnp.html Đôi khi bạn muốn chia sẻ máy tính để bàn trên mạng LAN, nhưng không có nghĩa là bật nó cho thế giới bên ngoài.
davidcl
Điều đó nói rằng, tường lửa dựa trên máy chủ của bạn có thể không giúp bạn trong tình huống này.
davidcl
@davidcl, thực sự, tường lửa dựa trên máy chủ cũng sẽ chặn nó trên mạng LAN. Và dòng đầu tiên của bài báo đó, anh thừa nhận "Tôi đã bất cẩn". Nếu bạn không đủ cẩn thận để mở cửa trước (bật vnc mà không cần mật khẩu hoặc lời nhắc), thì bạn có thể dễ dàng đủ bất cẩn để mở cổng (tường lửa). Có cổng hay không không có gì khác biệt nếu bạn không để cửa trước mở.
psusi
1

Tôi nghĩ một trong những tính năng tường lửa được sử dụng nhiều nhất là ngăn chặn các chương trình "bẻ khóa" để kiểm tra giấy phép trên internet. Nếu ứng dụng "bẻ khóa" không cần cập nhật hoặc không sử dụng các tính năng "trực tuyến", bạn có thể ngăn ứng dụng truy cập internet bằng cách thiết lập quy tắc tường lửa cụ thể. Đáng buồn nhưng là sự thật.

Seraphim
nguồn
0

Trong các trường hợp chung, là máy tính công cộng hoặc máy tính không có kết nối an toàn, chẳng hạn như những kẻ chiếm quyền kết nối internet ít nhiều từ những người dùng khác ở các cổng liền kề (ví dụ như nhà / căn hộ bên cạnh), thì tôi nghĩ - sẽ đưa ra một ví dụ về làm thế nào một tường lửa (tùy ý) có thể là phần tốt hơn của valor, có thể nói như vậy. Thêm vào đó, họ giữ cho những người xung quanh bạn không đào sâu vào thông tin của bạn cho dù đó là thông tin cá nhân hay thậm chí chỉ là thứ gì đó ngớ ngẩn mà bạn có thể làm hỏng. Quan điểm là sự riêng tư.

Khi tôi nói chung, một lần nữa, tôi có nghĩa là những nơi như địa điểm công cộng. Các thư viện chứa tất cả và lặt vặt trước khi bạn sử dụng các thiết bị di động như USB, thực sự là đĩa - ngay cả khi bạn phải làm gì đó có thể phát ban như lấy ổ cứng ngoài của mình ở nơi khác và cắm vào, không có gì đảm bảo rằng cổng tiếp theo là được bảo vệ bởi các trình chặn virus hoặc phần mềm gián điệp và tất cả những thứ đó có thể bám vào và tự quay trở lại máy tính xách tay / máy tính để bàn ban đầu của bạn, do đó tự làm ở nhà.

Vì vậy, trong khi có thể không có nhu cầu kịch liệt trong nhiều trường hợp để tường lửa bảo vệ chống lại nhiều thứ, chúng chắc chắn có ích để chống lại một số trường hợp - nếu bị cô lập -.

0

Ở giữa, tôi tìm thấy một số cân nhắc thú vị về tường lửa .

Bài báo giải thích khái niệm "nghe dịch vụ", "cổng mở" và "bộ định tuyến NAT" có thể bị hiểu nhầm để kết luận rằng: - tốt hơn là không có (ngay cả khi bạn lái xe tăng, cài dây an toàn) và - suy nghĩ kỹ trước khi làm một cái gì đó ảnh hưởng đến hệ thống (xem xét giáo dục)

riimzzai
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.