Dlaczego zapora jest domyślnie wyłączona?

Dlaczego firewall ufw jest zawarty w Ubuntu, skoro nie jest włączony i wstępnie skonfigurowany domyślnie? Większość użytkowników nawet nie wie, że tam jest, ponieważ nie jest dostępna żadna nakładka GUI.

Po zainstalowaniu Ubuntu jest dostarczane bez otwartych portów TCP lub UDP, stąd przekonanie, że nie ma powodu, aby domyślnie uruchamiać nieskomplikowaną zaporę ogniową (ufw) . Zgadzam się jednak, że wyłączenie ufw jest dziwną decyzją. Moje rozumowanie jest takie, że niedoświadczeni użytkownicy zamierzają zainstalować takie rzeczy, jak Samba, Apache itp., Eksperymentując z systemem przed nimi postawionym. Jeśli nie rozumieją implikacji tego, narażą się na złośliwe zachowanie w Internecie.

Przykład - mam laptopa skonfigurowanego do pracy z Sambą, co w mojej sieci domowej jest chronione za pomocą WPA2. Ale jeśli zabiorę laptopa do Starbucks, może nic o tym nie pomyślę, ale ten laptop teraz reklamuje moje akcje wszystkim i różnie. Dzięki zaporze ogniowej mogę ograniczyć moje porty samby tylko do mojego serwera domowego lub urządzeń równorzędnych. Nie muszę się teraz martwić, kto może próbować połączyć się z moim laptopem. To samo dotyczy VNC, SSH lub ogromnej liczby innych przydatnych usług, z którymi mój laptop może być uruchomiony lub próbuje się połączyć.

Ubuntu ma bardzo pewne podejście do niektórych elementów bezpieczeństwa, z którą nie mogę się zgodzić. Bezpieczeństwo może być technicznie włączone lub wyłączone, ale nakładając na siebie elementy bezpieczeństwa, powstaje lepszy system. Jasne, bezpieczeństwo Ubuntu jest wystarczające dla dużej liczby przypadków użycia, ale nie dla wszystkich.

Podsumowując, uruchom ufw. Lepiej dmuchać na zimne.

Nieskomplikowana zapora ma wiele graficznych interfejsów, ale najprostszym jest Gufw .

sudo apt-get install gufw

Tutaj zezwalam na cały ruch z określonych sieci VLAN serwera w moim środowisku korporacyjnym i dodałem regułę zezwalającą na niezbędne porty dla odwrotnej sesji SSH do odbicia się od tego komputera.

W przeciwieństwie do systemu Microsoft Windows, komputer Ubuntu nie potrzebuje zapory, aby był bezpieczny w Internecie, ponieważ domyślnie Ubuntu nie otwiera portów, które mogą powodować problemy z bezpieczeństwem.

Zasadniczo odpowiednio zahartowany system Unix lub Linux nie potrzebuje zapory ogniowej. Zapory ogniowe (z wyjątkiem niektórych problemów bezpieczeństwa z komputerami z systemem Windows) mają większy sens, aby blokować sieci wewnętrzne w Internecie. W takim przypadku komputery lokalne mogą komunikować się ze sobą za pośrednictwem otwartych portów, które są zaporą blokującą na zewnątrz. W takim przypadku komputery są celowo otwierane na potrzeby komunikacji wewnętrznej, która nie powinna być dostępna poza siecią wewnętrzną.

Standardowy pulpit Ubuntu nie wymagałby tego, dlatego ufw nie jest domyślnie włączony.

W Ubuntu lub innym Linuksie zapora ogniowa jest częścią systemu podstawowego i nazywa się iptables / netfilter. Jest zawsze włączony.

iptables składa się z zestawu reguł dotyczących tego, co robić i jak zachowywać się, gdy pakiet wychodzi, gdy przychodzi. Jeśli chcesz jawnie blokować połączenia przychodzące z określonego adresu IP, musisz dodać regułę. W rzeczywistości nie musisz tego robić. Zrelaksować się.

Jeśli chcesz od czegoś dobrego bezpieczeństwa, pamiętaj, aby nie instalować losowego oprogramowania z dowolnego miejsca. Może to zepsuć domyślne ustawienia zabezpieczeń. Nigdy nie uruchamiaj jako root. Zawsze ufaj oficjalnym repozytoriom.

Myślę, że chciałeś zapytać, czy interfejs użytkownika jest zainstalowany, czy nie?

Ponadto gufwmoże zapewnić interfejs użytkownika GUI. (To nie jest dla mnie bardziej intuicyjne niż ufw w wierszu poleceń, ale daje bardziej wizualne przypomnienie tego, co tam jest.) Zgadzam się, że zapora ogniowa nie jest obecnie dobrze reklamowana. Gdybym miał zgadywać, powiedziałbym, że ma to uniemożliwić nowym użytkownikom strzelanie sobie w stopę.

Ponieważ: hasła lub klucze kryptograficzne.

To jest IMO poprawna odpowiedź i jak dotąd zupełnie inna odpowiedź niż inne. ufwjest domyślnie wyłączona dla wygody większości użytkowników Ubuntu, którzy wiedzą, że hasła są ważną formą ochrony zapewniającą prywatność i ograniczoną kontrolę. Większość użytkowników Ubuntu będzie „weryfikować” oprogramowanie, instalując je z repozytoriów zatwierdzonych przez Ubuntu i będzie uważać na inne źródła, aby ogólnie zminimalizować ryzyko, a nie tylko ryzyko związane z portami. Robiąc to, przeszli długą drogę do zminimalizowania ryzyka związanego z portem, które było już małe, ponieważ używają „normalnych” haseł i bardzo małe, jeśli używają trudnych do brutalnego haseł lub krypto-kluczy.

Niektóre z przytoczonych zagrożeń, takie jak serwer plików Samba, serwer HTTP Apache, SSH, VNC w sieci Wi-Fi Starbucks (publicznej) są zazwyczaj eliminowane przez trudne do brutalnego hasła na hoście.

ufw„łamie” oprogramowanie, tak jak powinna zapora ogniowa, dlatego domyślnie jest ono wyłączone. Aby przetestować to na nowej instalacji Ubuntu, serwer A, zainstaluj sshi zaloguj się z innej maszyny, klienta B, w tej samej sieci lokalnej, a zobaczysz, że działa natychmiast. Wyloguj. Następnie wróć do serwera A i sudo ufw enable. Wróć do klienta B, a nie powiedzie sshsię serwer A.