Là một tường lửa thực sự cần thiết những ngày này? [đóng cửa]

13

Vì hiện tại, câu hỏi này không phù hợp với định dạng Hỏi & Đáp của chúng tôi. Chúng tôi hy vọng câu trả lời sẽ được hỗ trợ bởi các sự kiện, tài liệu tham khảo hoặc chuyên môn, nhưng câu hỏi này có thể sẽ thu hút tranh luận, tranh luận, bỏ phiếu hoặc thảo luận mở rộng. Nếu bạn cảm thấy rằng câu hỏi này có thể được cải thiện và có thể mở lại, hãy truy cập trung tâm trợ giúp để được hướng dẫn.

Đóng cửa 8 năm trước .

Tôi có nên cài đặt một cái gì đó như gufw?

security firewall

— TheXed
nguồn

5

Tôi nghĩ rằng câu hỏi này là quá rộng để có được một câu trả lời khách quan , chính xác.

— Stefano Palazzo

Tôi giả sử bạn có nghĩa là một tường lửa dựa trên máy chủ, không phải là một tường lửa độc lập. Nhưng tôi đồng ý với Stefano rằng đây là một chủ đề quá rộng cho một câu trả lời rõ ràng. Rất nhiều tùy thuộc vào ngữ cảnh - hệ thống của bạn đang ở đâu, bạn đang chạy dịch vụ gì, có kiểm soát bảo mật nào khác, giá trị thời gian hoạt động của bạn (để từ chối dịch vụ) và dữ liệu là gì (tài chính, độc quyền, không thể thay thế), v.v. Nguyên tắc chung cho an ninh thận trọng là sử dụng nhiều biện pháp bảo vệ. Nếu nó không cản trở hoạt động hàng ngày của bạn, việc thêm một lớp bảo mật bổ sung có một số nhược điểm và lợi ích có thể xảy ra.

— belacqua

Ngoài ra, sudo nmap localhost. Bạn có cổng mở bây giờ không? (Một ước tính sơ bộ.)

— belacqua

sudo nmap localhostlệnh này không hoạt động

— TheXed

1

@TheX đó là vì namp không được cài đặt?

— theTuxRacer

7

Vâng, hơn bao giờ hết. Internet đã không thay đổi nhiều, kể từ ngày xưa. Vì vậy, một tường lửa vẫn là một điều cần thiết trong những ngày này. Một tường lửa như gufw, với các quy tắc cơ bản hoạt động. Sử dụng iptables, nếu bạn là người đam mê CLI;)

— theTuxRacer
nguồn

nguy hiểm, xin vui lòng bình luận tại sao bạn downvote.

— theTuxRacer

1

bỏ phiếu ++; echo "Use iptables" - I assume I\'m a real CLI geek then :p;

— Lekensteyn

1

Câu trả lời không chính xác.

— psusi

1

@psusi Bạn đang nói rằng điều này không đúng vì bạn không đồng ý với tiền đề rằng sử dụng tường lửa dựa trên máy chủ là một ý tưởng hay, hoặc vì bạn không đồng ý với các đánh giá ufw / iptables?

— belacqua

1

@jgbelacqua không chính xác vì tường lửa dựa trên máy chủ cho hệ thống máy tính để bàn Ubuntu là vô nghĩa, không cần thiết hơn bao giờ hết. Câu hỏi Manish liên quan đến có những giải thích rất hay về lý do tại sao.

— psusi

5

Vui lòng kiểm tra trả lời này để thảo luận về furthur trên Tường lửa trên Ubuntu.

Tại sao tường lửa bị tắt theo mặc định?

— Manish Sinha
nguồn

3

Không còn nghi ngờ gì nữa, chỉ cần một kẻ rình mò cơ hội duy nhất để không gây ra rắc rối. Sự nhầm lẫn nằm ở cách bạn đi về việc đảm bảo bạn đứng sau tường lửa.

Điều này được thảo luận chi tiết hơn ở đây: Có tường lửa được cài đặt sẵn hoặc tự động không? nhưng trong ngắn hạn, nếu bạn ở trên mạng gia đình, đằng sau bộ định tuyến không dây, thì bộ định tuyến của bạn thường sẽ thực hiện các nhiệm vụ tường lửa. Rõ ràng đó là một ý tưởng tốt để kiểm tra với nhà sản xuất trước khi bạn dựa vào bất cứ điều gì (nó cũng phụ thuộc vào cấu hình bộ định tuyến).

GUFW, bản thân nó không phải là một tường lửa, chỉ là một GUI cho tường lửa mặc định (UFW) của Ubuntu. UFW được tắt theo mặc định. Nói chung, chỉ nên chạy một tường lửa, để tránh xung đột tiềm ẩn, vì vậy miễn là bạn đang ở trên một mạng gia đình đáng tin cậy (và bạn khẳng định rằng bộ định tuyến của bạn cung cấp bảo vệ đầy đủ), id khuyên nên tắt tường lửa phần mềm (UFW).

Rõ ràng, bật lại nó một lần nữa khi bạn đang ở trên một mạng công cộng / không đáng tin cậy.

— nhà giàu
nguồn

Không có hại gì khi chạy tường lửa phần mềm cá nhân ... nói chung đó là một ý tưởng hay và cung cấp 'phòng thủ chuyên sâu' chống lại bất kỳ máy nào hoạt động kém trên mạng cục bộ của bạn.

— Nerdfest

Tôi đồng ý, miễn là tường lửa được cấu hình theo cùng một cách. Số giờ tôi đã dành để chẩn đoán các sự cố mạng, chỉ để phát hiện ra hai tường lửa không đồng ý với những gì họ cho phép thông qua ...

— richzilla

1

Trong mạng LAN của tôi: không có tường lửa. Đối mặt với internet: tất nhiên là tường lửa. Tôi tường lửa dựa trên cách tôi tin tưởng các máy tính tôi kết nối.

— djeikyb

2

Tôi khuyên bạn nên cài đặt một tường lửa. Một cái gì đó luôn luôn tốt hơn không có gì. phải không? Ubuntu, theo mặc định đi kèm với tường lửa ' ufw '. gufw (Được đề cập trong câu hỏi) không gì khác ngoài GUI của 'ufw'.

Hi vọng điêu nay co ich.

— aneeshep
nguồn

1

Chỉ cần một lưu ý: iptables không phải là tường lửa. Netfilter là một phần của kernel linux. iptables là một tiện ích dòng lệnh chỉ được sử dụng để sửa đổi / truy vấn bộ quy tắc netfilter.

— LGB

Một câu trả lời không chính xác.

— psusi

@LGB từ wikipedia: iptables là chương trình ứng dụng không gian người dùng cho phép quản trị viên hệ thống định cấu hình các bảng được cung cấp bởi tường lửa nhân Linux (được triển khai dưới dạng các mô-đun Netfilter khác nhau) và các chuỗi và quy tắc mà nó lưu trữ. Bây giờ tôi đang bối rối.

— theTuxRacer

@aneesheep Tôi sẽ nói điều này là sai lầm, bởi vì uwflà một front-end cho iptables(đó là một giao diện để netfilter). Bạn không thể cài đặt ufw mà không có iptables.

— belacqua

Cảm ơn bạn bè đã dẫn tôi đi đúng hướng. Tôi đã xóa phần iptables khỏi câu trả lời của tôi.

— aneeshep

1

Ubuntu cũng nên đi kèm với tường lửa mặc định được kích hoạt bằng công cụ GUI. Tôi ngạc nhiên khi nó không đi kèm với nó. Tôi biết iptables đã có nhưng không có quy tắc nào được tải. Bạn phải làm điều đó bằng tay hoặc cài đặt một cái gì đó như Firestarter để có được những điều cơ bản chạy cho bạn.

Một ngày nọ tôi rất ngạc nhiên khi tôi phát hiện ra rằng ISP của tôi cung cấp cho tôi IP công cộng của riêng tôi mỗi khi tôi kích hoạt DSL. Hãy tưởng tượng có bao nhiêu lần truy cập, các lần thử đăng nhập ssh, các lần quét và khai thác MS khác (vâng, có ai đó đang chạy trên IP của ISP của tôi) máy của tôi đã nhận được toàn bộ thời gian. CƯỜI LỚN! :)

— Marky
nguồn

2

Và máy của bạn khá vui vẻ bỏ qua tất cả chúng mà không cần tường lửa.

— psusi

Máy không bỏ qua, nếu có một dịch vụ nghe trên một cổng cụ thể. Trên thực tế, tôi dám khẳng định máy rất muốn chấp nhận kết nối.

— theTuxRacer

1

@Kaustubh P nếu có một dịch vụ nghe trên cổng, thì bạn MUỐN nó chấp nhận kết nối và sẽ mở cổng đó trong tường lửa. Nếu không có thì nó từ chối các kết nối đến cổng đó.

— psusi

1

Theo định nghĩa, tường lửa chặn giao tiếp nếu không sẽ được cho phép. Một máy tính để bàn Ubuntu không có dịch vụ nào được cài đặt theo mặc định sẽ chấp nhận các kết nối, do đó không có gì để tường lửa chặn truy cập. Do đó, nó hoàn toàn vô dụng.

Lý do tường lửa được coi là cần thiết trên Windows là vì nó đi kèm với một số dịch vụ chết não được cài đặt theo mặc định chấp nhận kết nối và cho phép bên kia thực hiện mọi việc với máy tính của bạn mà bạn không muốn.

— psusi
nguồn

"Hoàn toàn vô dụng" - sai. Một tường lửa thêm một lớp phòng thủ. Bạn cũng đang cung cấp thông tin không chính xác, cài đặt Ubuntu mặc định có các dịch vụ được hiển thị cho công chúng. Ví dụ: nó cung cấp CUPS (Hệ thống in ấn Unix phổ biến) nghe trên cổng UDP 631.

— Lekensteyn

1

Nếu bạn cài đặt một dịch vụ mới, sử dụng các cổng khác, chúng sẽ bị bỏ ngỏ, trừ khi bạn đóng chúng hoặc điều chỉnh chúng bằng tường lửa .

— theTuxRacer

OP không đề cập đến máy tính để bàn hoặc máy chủ. Ngay cả trên một hệ thống máy tính để bàn, như @Kaustubh nói, không có gì đảm bảo rằng, một khi bạn rời khỏi thiết lập ban đầu, các cổng sẽ không được mở. Và đôi khi, các cổng vô tình bị bỏ ngỏ trong các bản cập nhật.

— belacqua

@Lekensteyn: Không sai. Tôi đề nghị bạn đọc câu hỏi khác mà Manish liên kết đến nơi nó cũng được giải thích rõ ràng. Khi cổng đã được đóng, một chương trình đóng cổng là vô ích. CUPS cũng chỉ chấp nhận các kết nối từ localhost theo mặc định.

— psusi

2

Vui lòng xem wiki.ubfox.com/SecurityTeam/FAQ#UFW Nếu bạn muốn bật ufw, việc làm như vậy là chuyện nhỏ. "sudo ufw enable"

— Kees Cook

1

Với việc giới thiệu IPv6 có tường lửa sẽ càng trở nên quan trọng hơn. Không giống như IPv4 nơi hầu hết các hệ thống được bảo mật tương đối trên các dải IP riêng, các thiết bị IPv6 có thể có thể truy cập đầy đủ.

Có một tường lửa với chính sách từ chối mặc định sẽ còn quan trọng hơn nữa. Việc tìm kiếm thiết bị để quét sẽ khó khăn hơn do việc sử dụng địa chỉ thưa thớt. Giữ một số giao thức như SMB trên các địa chỉ liên kết cục bộ sẽ giúp ích, nhưng sẽ không phải là một viên đạn ma thuật.

Điều đó nói rằng trong một cài đặt mặc định, một tường lửa hoạt động chỉ là một lớp bảo mật bổ sung. Nhiều ứng dụng làm cổng mở sẽ yêu cầu mở cổng của chúng để cho phép chúng hoạt động. Khá tốt tất cả đều có phương pháp bổ sung để bảo mật chúng. Kích hoạt tất cả các lớp thích hợp theo yêu cầu.

EDIT: Đã có rất nhiều ý kiến về việc cho phép ứng dụng kiểm soát quyền truy cập và các lý do khác để không có tường lửa. Thật không may, nhiều ứng dụng không có kiểm soát truy cập. Những người khác lắng nghe trên tất cả các địa chỉ, do đó, tường lửa trở thành cách duy nhất để hạn chế quyền truy cập từ các giao diện nhất định.

Như tôi đã lưu ý ở trên, tường lửa chỉ là một lớp bảo mật. Các ứng dụng bảo mật là một ứng dụng khác, nhưng bạn không thể dễ dàng đảm bảo rằng người dùng của bạn chỉ chạy các ứng dụng an toàn. Tường lửa là một cách để bảo vệ người dùng của bạn.

Không có biện pháp bảo mật hợp lý là hoàn toàn an toàn. Mặc dù nhiều người dùng có thể không quan tâm hoặc không được giáo dục đủ để hiểu đầy đủ về tường lửa, nhưng đó không phải là lý do để không sử dụng tường lửa hoặc họ không có tường lửa.

— BillThor
nguồn

3

Chính sách mặc định KHÔNG CÓ tường lửa là từ chối kết nối. Bạn không cần tường lửa để làm điều đó; bạn sử dụng tường lửa để thay đổi BACK chính sách để từ chối khi bạn đã cài đặt một dịch vụ đang cố chấp nhận. Tất nhiên, nếu bạn muốn làm điều đó, thì đừng cài đặt dịch vụ để chấp nhận kết nối ở nơi đầu tiên.

— psusi

1

@psusi. Gỡ cài đặt dịch vụ là một giải pháp có / không. Sử dụng tường lửa cho phép kiểm soát hạt mịn.

— BillThor

nó không cho phép kiểm soát hạt mịn, nhưng bản thân dịch vụ thường cho phép kiểm soát hạt mịn hơn nữa. Khi bạn cài đặt một dịch vụ, bạn định cấu hình dịch vụ đó để chấp nhận loại kết nối bạn muốn thay vì sử dụng một công cụ riêng biệt để hạn chế dịch vụ. Các dịch vụ cũng có các giá trị mặc định để khi bạn cài đặt chúng, chúng chỉ chấp nhận các kết nối từ máy chủ cục bộ hoặc mạng cục bộ, do đó, một lần nữa, không cần tường lửa.

— psusi

@psusi Các dịch vụ được cấp thường có quyền kiểm soát chi tiết tốt. Nhưng họ không luôn luôn đăng nhập khi họ ngắt kết nối một cách nhất quán. Một tường lửa có thể cung cấp ghi nhật ký nhất quán, mặc dù quét các bản ghi khác là hữu ích. Một tường lửa cũng có thể đăng nhập các đầu dò của các dịch vụ bị thiếu. Điều này có thể cho phép chặn máy chủ khởi tạo một cách chủ động.

— BillThor

người dùng máy tính để bàn trung bình của bạn không biết hoặc không quan tâm đến loại điều đó. Tất nhiên, có một số điều bạn có thể làm với ipchains mà bạn không thể làm với một daemon nhất định, nhưng không có gì mà người dùng máy tính để bàn trung bình sẽ coi là "cần thiết".

— psusi

0

Mọi người đều đúng, hãy cẩn thận và có thể sử dụng một số loại bảo vệ, nó có thể tạo ra một số rắc rối tùy thuộc vào những gì bạn làm nhưng đôi khi bạn không nhận thấy mức độ rắc rối thêm đó thực sự bảo vệ bạn.

Một cách bạn có thể thêm một số bảo vệ bổ sung mà không thực sự xâm phạm là tìm hiểu về OpenDNS , về cơ bản chỉ cần thêm một số điều khiển tốt và các tính năng bảo mật bổ sung cho việc sử dụng internet cơ bản.

— Jon Phenow
nguồn