Dlaczego Debian ma domyślnie włączoną zaporę ogniową?

Używam Debiana 9.1 z KDE i zastanawiam się, dlaczego pochodzi on bez zainstalowanej i domyślnie włączonej zapory ogniowej? gufw nie ma nawet w pakietach DVD1.

Czy ludzie oczekują połączenia z Internetem przed uzyskaniem zapory? Dlaczego? Nawet jeśli wszystkie porty są domyślnie zamknięte, różne zainstalowane, zaktualizowane lub pobrane programy mogą je otworzyć (czy nie?) I nie chcę opuszczać komputera bez mojej zgody.

Edycja: Więc właśnie dowiedziałem się o iptables, ale myślę, że pytanie wciąż pozostaje tak samo jak iptables, ponieważ zapora wydaje się być raczej nieznana dla większości, jej domyślne reguły, jej dostępność i łatwość użycia oraz fakt, że domyślnie wszystkie reguły iptable są resetowane przy ponownym uruchomieniu .

Po pierwsze, Debian zakłada, że ​​wiesz, co robisz, i stara się unikać dokonywania wyborów dla ciebie.

Domyślna instalacja Debiana jest dość niewielka i bezpieczna - nie uruchamia żadnych usług. A nawet standardowe opcjonalne dodatki (np. Serwer WWW, ssh), które są dodawane do instalacji, są zwykle dość konserwatywne i bezpieczne.

W takim przypadku zapora nie jest potrzebna. Debian (lub jego programiści) zakładają, że jeśli uruchomisz dodatkowe usługi, będziesz wiedział, jak je chronić i w razie potrzeby możesz dodać zaporę ogniową.

Co ważniejsze, być może Debian unika dokonywania wyboru dotyczącego używanego oprogramowania zapory. Dostępnych jest wiele opcji - z których należy skorzystać? A nawet jeśli chodzi o podstawowe ustawienie zapory, jakie ustawienie należy wybrać? To powiedziawszy, iptablesma priorytet, więc jest instalowane domyślnie. Ale oczywiście Debian nie wie, jak go skonfigurować, więc nie konfiguruje go dla ciebie. W każdym razie możesz wolić użyć iptablesnastępcy nftables.

Zauważ też, że funkcja zapory jest już w pewnym stopniu wbudowana w jądro Linuksa; np . nftablesi netfilter. Debian i inne dystrybucje Linuksa zapewniają narzędzia przestrzeni użytkownika, takie jak iptableszarządzanie tą funkcjonalnością. Ale to, co z nimi zrobisz, zależy od ciebie.

Pamiętaj, że te podmioty nie są konsekwentnie nazywane. Cytując stronę Wikipediinftables :

nftables jest konfigurowany za pomocą narzędzia przestrzeni użytkownika nft, podczas gdy netfilter jest konfigurowany za pomocą narzędzi iptables, ip6tables, arptables i frameworków ebtables.

Po pierwsze, chcę powtórzyć to, co już powiedziano: Debian obsługuje raczej inną grupę użytkowników niż wiele innych głównych dystrybucji, szczególnie Ubuntu. Debian jest skierowany do ludzi, którzy wiedzą, jak działa system, i którzy nie boją się od czasu do czasu majstrować w zamian za wysoki stopień kontroli nad systemem. Na przykład Ubuntu jest przeznaczony dla zupełnie innej grupy docelowej: ludzie, którzy chcą, aby rzeczy działały i nie dbają (naprawdę) o to, co się dzieje pod maską, a na pewno nie chcą modyfikować konfiguracji systemu, aby coś robić praca. Wpływa to na szereg aspektów wynikowego systemu. I do pewnego stopnia jest to jedno piękno Linuksa; ten sam system podstawowy może być wykorzystywany do budowania środowisk spełniających różne potrzeby. Pamiętaj, że Ubuntu jest pochodną Debiana,

gufw nie ma nawet w pakietach DVD1.

Pierwszy dysk zawiera najpopularniejsze oprogramowanie, określone przez opt-in zbieranie anonimowych statystyk z zainstalowanych systemów. Fakt, że gufw nie znajduje się na pierwszym dysku, po prostu wskazuje, że nie jest to bardzo popularny (pod względem zainstalowanej bazy) pakiet w Debianie. Jest również łatwy do zainstalowania, gdy masz podstawowy system z działającym systemem sieciowym, jeśli wolisz go niż alternatywy.

Czy ludzie oczekują połączenia z Internetem przed uzyskaniem zapory? Dlaczego?

Po pierwsze, uważam, że Debian pozwala na instalację przez sieć. (Nie tylko pobieranie pakietów z sieci podczas normalnej instalacji, ale dosłownie rozpoczęcie instalacji z innego hosta niż instalowany ). Zapora skonfigurowana domyślnie z restrykcyjnym zestawem reguł ryzykowałaby zakłóceniem tego. To samo dotyczy instalacji, które wymagają wychodzącego dostępu do sieci podczas procesu instalacji w celach innych niż tylko pobranie najnowszych wersji instalowanych pakietów.

Po drugie, jest to, o czym wspomniałem powyżej; z reguły Debian oczekuje, że wiesz, co robisz. Jeśli chcesz zapory ogniowej, prawdopodobnie będziesz w stanie ją skonfigurować samodzielnie i oczekuje się, że wiesz lepiej niż opiekunowie Debiana, jakie są twoje szczególne potrzeby. Debian jest pod tym względem trochę podobny do OpenBSD, ale nie tak ekstremalny. (Gdy zostanie wybrany wybór między uczynieniem systemu podstawowego trochę bezpieczniejszym a uczynieniem go bardziej użytecznym, opiekunowie OpenBSD praktycznie zawsze wybierają bezpieczeństwo. Pokazuje to ich statystyka podatności na zagrożenia dla systemu podstawowego, ale ma to ogromny wpływ na użyteczność.)

I oczywiście technika: obsługa zapory ogniowej jest zawarta w systemie podstawowym. Po prostu jest ustawiony na całkowicie dopuszczalną regułę ustawioną domyślnie przez jądro, a podstawowa instalacja Debiana nic nie robi, aby to zmienić. Możesz uruchomić kilka poleceń, aby ograniczyć przepływ ruchu.

Nawet jeśli wszystkie porty są domyślnie zamknięte, różne zainstalowane, zaktualizowane lub pobrane programy mogą je otworzyć (czy nie?) I nie chcę opuszczać komputera bez mojej zgody.

Po pierwsze, zapory ogniowe są zwykle używane do ograniczania ruchu przychodzącego . Jeśli chcesz ograniczyć wychodzenieruch uliczny, to raczej inny czajnik ryb; z pewnością wykonalne, ale wymaga znacznie większego dopasowania do konkretnej sytuacji. Domyślnie blokowana zapora ruchu wychodzącego, która pozostawia otwarte często używane porty (gdzie często używanymi portami mogą być ftp / 20 + 21, ssh / 22, smtp / 25, http / 80, https / 443, pop3 / 110, imap / 143 i pakiet innych), a także zezwalanie na ruch związany z ustanowionymi sesjami, nie byłby znacznie bezpieczniejszy niż domyślna zapora sieciowa. Lepiej jest upewnić się, że zestaw pakietów zainstalowanych przez system podstawowy jest ograniczony do zestawu dobrze zrozumiałych, skonfigurowanych bezpiecznych dostarczonych pakietów, i pozwolić administratorowi na skonfigurowanie odpowiednich reguł zapory, jeśli potrzebują one większej ochrony.

Po drugie, zamknięty port (taki, który odpowiada na TCP SYN za pomocą TCP RST / ACK, zwykle zgłaszane jako „odmowa połączenia” - jest to zazwyczaj domyślny stan portu TCP w systemie na żywo obsługującym TCP / IP w przypadku braku konfiguracji przeciwnej lub oprogramowania nasłuchującego) nie jest znaczącą luką, nawet w systemie niepodłączonym przez osobną zaporę ogniową. Jedyną znaczącą luką w konfiguracji całkowicie zamkniętej byłaby luka w implementacji stosu TCP / IP jądra. Ale pakiety już przechodzą przez kod netfilter (iptables) w jądrze, a błąd może się tam również czaić. Logika odpowiadania skutkiem „odrzucenia połączenia” na drugim końcu jest na tyle prosta, że ​​trudno mi uwierzyć, że będzie to główne źródło błędów, nie mówiąc już o błędach związanych z bezpieczeństwem;

Po trzecie, pakiety są zwykle instalowane jako root, z którego ty (pakiet) i tak możesz zmienić reguły iptables bez twojej wiedzy. Więc to nie tak, że zyskujesz coś takiego, jak wymaganie od administratora, aby ręcznie zezwalał na ruch przez zaporę hosta. Jeśli chcesz tego rodzaju izolacji, powinieneś mieć zaporę ogniową oddzieloną od hosta, który chroni.

Właśnie dowiedziałem się o iptables, ale myślę, że pytanie wciąż pozostaje tak samo jak iptables, ponieważ zapora wydaje się być raczej nieznana większości, jej domyślnym regułom oraz dostępności i łatwości użytkowania.

Powiedziałbym, że jest odwrotnie ; iptables jako firewall jest dobrze znany . Jest również dostępny na praktycznie każdym systemie Linux, na który prawdopodobnie natkniesz się. (Zastąpił ipchains podczas opracowywania, które doprowadziło do jądra Linuksa w wersji 2.4, około 2000 roku. Jeśli dobrze pamiętam, największą widoczną dla użytkownika zmianą między tymi dwoma typowymi przypadkami zapory ogniowej było wbudowana reguła łańcuchy nazwano teraz dużymi literami, jak INPUTzamiast małych, jak input.)

Jeśli cokolwiek, iptables może robić rzeczy inne niż zapora ogniowa, które nie są powszechnie używane ani zrozumiałe. Na przykład można go użyć do przepisania pakietów IP, zanim zostaną one przepuszczone przez zaporę.

Gdybym miał zgadywać, nie będąc w rzeczywistości pokoleniem deweloperów i opiekunów Debiana, zgaduję, że:

Debian jest przede wszystkim zaprojektowany jako system operacyjny serwera, zarówno gałęzie sid, jak i testujące mają za główny cel stworzenie następnej stabilnej gałęzi, aw momencie zamrożenia są zamrażane, a nowa stabilna jest pobierana z testów, ponieważ tylko stało się ze Stretchem.

Biorąc to pod uwagę, zakładam dalej, musiałbym to potwierdzić ze znajomym sysadmin, że zapory w centrum danych są urządzeniami zewnętrznymi, znacznie wyższym bezpieczeństwem (przynajmniej jedna ma nadzieję, że tak jest)), do serwerów i obsługiwać główny zadania zapory ogniowej. Tak jest nawet w małej sieci LAN z routerem, router jest zaporą ogniową, nie używam żadnych lokalnych reguł zapory na żadnym z moich systemów, dlaczego miałbym?

Myślę, że może ludzie mylą lokalne instalacje stacjonarnego Debiana lub pojedynczego serwera plików w biurze lub domu z faktyczną pracą związaną z Debianem, która moim zdaniem koncentruje się głównie na wykorzystaniu produkcyjnym.

Nie jestem tego pewien, ale po ponad dziesięciu latach używania Debiana to jest moje odczucie, zarówno jako programisty, jak i zwolennika Debiana na wiele sposobów.

Mogę to sprawdzić, ponieważ to właściwie dobre pytanie, ale domyślam się, że prawdziwe sieci są zapory ogniowe w punktach wejścia do sieci, a nie na podstawie poszczególnych komputerów, a przynajmniej to jest podstawowy pomysł, który może prowadzić Debian. Plus, oczywiście, że gdyby tak nie było, sysadmin konfigurowałby reguły zapory dla poszczególnych komputerów, używając czegoś takiego jak Chef, nie polegając na żadnej domyślnej instalacji, co nie byłoby czymś, co zwykle aby zaufać, na przykład, domyślne konfiguracje ssh Debiana nie są tym, czego użyłbym osobiście jako domyślny, na przykład domyślnie zezwalają na logowanie do roota, a administrator systemu musi to naprawić, jeśli uzna to za złą praktykę .

Oznacza to, że myślę, że istnieje kompetencja Debiana, która może być nieobecna w niektórych innych dystrybucjach. W tym momencie zmienisz to, co chcesz zmienić, tworzysz obrazy, zarządzasz nimi za pomocą oprogramowania do zarządzania witryną i tak dalej. To tylko kilka możliwości. Na przykład, nigdy nie użyłbyś DVD do stworzenia nowego serwera, przynajmniej nigdy w produkcji, prawdopodobnie użyłbyś czegoś takiego jak minimalna instalacja sieciowa, tego zawsze używam, na przykład (użyłem jeszcze mniejszego obrazu , ale przestali to robić). Jeśli spojrzysz na to, co jest zawarte w tej instalacji bazowej, dostrzeżesz, co Debian uważa za kluczowe, a co nie. Na przykład jest tam ssh. Xorg nie jest, Samba nie jest.

Można również zapytać, dlaczego wrócili do GNOME jako domyślnego pulpitu, ale są to tylko decyzje, które podejmują, i których użytkownicy w zasadzie ignorują, ponieważ można ustawić systemy tak, jak chcesz (to znaczy, aby uzyskać komputery stacjonarne Xfce, ja nie nie instaluję Xdebian (jak w Xubuntu), po prostu instaluję rdzeń Debiana, Xorg i Xfce i zaczynam. W podobny sposób, gdybym chciał zapory ogniowej, skonfigurowałbym ją, poznał tajniki i inne elementy, itp., Ale osobiście nie spodziewałbym się, że Debian będzie dostarczał z włączoną funkcją, to byłoby dla mnie trochę irytujące. . Być może moje poglądy na ten temat odzwierciedlają pewien rodzaj konsensusu, który można również znaleźć wewnętrznie w Debianie.

Plus, oczywiście, tak naprawdę nie ma czegoś takiego jak Debian, są różne obrazy instalacyjne, netinstall, pełna instalacja, wszystkie one różnią się od odsłonięcia, tylko cli, do dość kompletnego pulpitu użytkownika. Użytkownicy produkcyjni prawdopodobnie stworzyliby na przykład obrazy, które byłyby skonfigurowane tak, jak tego chce użytkownik. Wiem, że gdybym konfigurował serwer Debian, zacząłbym od podstaw i przygotowywał go, aż zrobiłby to, co chciałem.

Następnie masz świat serwerów sieciowych, który jest zupełnie inną kulą wosku, mają one bardzo różne pytania bezpieczeństwa, a jak powiedział mój stary przyjaciel dobrze związany z podziemiem hakerów, ktoś, kto prowadzi serwer internetowy, nie wiedząc, jak zabezpieczyć Można go również nazwać kimś, kogo serwer jest własnością crackerów.

Ogólna idea jest taka, że ​​zapora ogniowa nie powinna być potrzebna w większości systemów, z wyjątkiem skomplikowanych konfiguracji.

SSH działa ,, po zainstalowaniu serwera. Nic innego nie powinno nasłuchiwać i prawdopodobnie chcesz mieć możliwość połączenia się z ssh.

Po zainstalowaniu serwera WWW można oczekiwać, że będzie on dostępny, prawda? A dla podstawowego strojenia możesz powiązać serwer WWW tylko z prywatnym interfejsem LAN, np. 192.168.172.42 (lokalny adres IP LAN), zamiast 0.0.0.0 (wszystkie ips). Nadal nie potrzebujesz zapory.

Oczywiście wszystko może otworzyć port> 1024, ale jeśli masz niezaufane oprogramowanie (lub niezaufani użytkownicy), powinieneś zrobić więcej niż tylko instalację zapory ogniowej. W chwili, gdy musisz coś nieufać lub komuś, potrzebujesz koncepcji bezpieczeństwa nie tylko oprogramowania. Dlatego dobrze jest, gdy musisz aktywnie zastanowić się nad rozwiązaniem firewall.

Teraz są oczywiście bardziej złożone scenariusze. Ale kiedy faktycznie masz jeden z nich, naprawdę musisz sam dostroić zaporę ogniową i nie pozwolić na to pół-automatyczny system, taki jak ufw. Lub możesz nawet użyć ufw, ale wtedy zdecydowałeś, a nie domyślny system operacyjny.

Czy ludzie oczekują wcześniej połączenia z Internetem?

tak

uzyskiwanie zapory ogniowej?

Nawet jeśli wszystkie porty są domyślnie zamknięte

Niestety nie są. rpcbindwydaje się być domyślnie zainstalowany, włączony i nasłuchuje w sieci.

EDYCJA: Myślę, że zostało to naprawione w najnowszym instalatorze, tj. W Debianie 9 (Stretch) . Ale w poprzednich wersjach Debiana nie czułbym się zbyt bezpiecznie instalując (a następnie aktualizując) je w publicznej sieci Wi-Fi.

Dlaczego?

Podejrzewam, że ludzie mają takie założenie

1. sieć lokalna nie atakuje twoich usług sieciowych
2. istnieje już zapora ogniowa między siecią lokalną a szerszym Internetem.

Chociaż ta ostatnia jest powszechną praktyką, np. Przez routery konsumenckie, nie wierzę, że jest gwarantowana. Nic dziwnego, że poprzednie założenie nie jest udokumentowane; nie jest to również sensowne.

Moim zdaniem problem z rpcbind jest przykładem bardziej ogólnej kwestii. Ludzie mogą próbować promować Debiana i ma on wiele fajnych funkcji. Ale Debian pozostaje w tyle za Ubuntu pod względem jego dopracowania i przyjazności, a może nawet wiarygodności dla tych, którzy chcą poznać takie szczegóły.

pobrane programy mogą je otworzyć (czy nie?) i chciałbym, aby nawet jeden kawałek nie opuszczał mojego komputera bez mojej zgody.

Z pewnością możesz zainstalować firewall, zanim zaczniesz pobierać i uruchamiać losowe oprogramowanie, które nie jesteś pewien, co on robi :-p.

Zgadzam się częściowo, że niepokojące jest instalowanie Linuksa i nie znajdowanie żadnego interfejsu skonfigurowanego dla bardzo dobrze znanej warstwy bezpieczeństwa. Osobiście uważam, że przydatne jest zrozumienie, jak jest skonfigurowana domyślna zapora systemu Windows. Chce, abyś mógł „zaufać” sieci domowej, aw nowszych wersjach instalacja ekspresowa nawet pominie pytanie o zaufanie do bieżącej sieci. Wydaje się, że głównym celem jest rozróżnienie między sieciami domowymi, niezabezpieczonymi połączeniami, takimi jak bezpośrednio podłączony modem, a publicznymi sieciami Wi-Fi. Zauważ, że UFW i tak tego nie obsługuje.

Sam Fedora Linux próbował dostarczyć coś takiego firewalld. (Wygląda na to, że pakiety są również dostępne w Debianie ...). GUI nie jest tak „przyjazny”, powiedzmy, jak GUFW.

Tradycyjną filozofią Uniksa zawsze było KISS i uruchamianie / ujawnianie minimum usług.

Kilka usług musi być również jawnie zainstalowanych, a nawet niektóre są przypisane do localhost, a Ty musisz umożliwić ich widoczność w sieci lokalnej / w Internecie (MySQL, MongoDB, snmpd, ntpd, xorg ...). Jest to bardziej rozsądne podejście niż domyślne włączenie zapory.

Potrzebujesz tylko złożoności zapory ogniowej z pewnego punktu, a tę potrzebę można zmniejszyć, stojąc za korporacyjnym routerem lub urządzeniem sieci domowej, więc brzmi rozsądnie, pozostawiając decyzję użytkownikowi. Zapora ogniowa, podobnie jak wiele innych programów zabezpieczających, może również zapewniać fałszywe poczucie bezpieczeństwa, jeśli nie jest odpowiednio zarządzana.

Orientacja Debiana zawsze była bardziej zorientowanym technicznie ludem, który wie, co to jest iptables; istnieje również kilka dobrze znanych opakowań, interfejsów tekstowych lub graficznych, które można łatwo zainstalować.

Co więcej, czy chodzi o to, czy ma za dużo czy za mało zainstalowanego oprogramowania, jest kwestią opinii. Dla długoletniego weterana jest to zbyt dużo oprogramowania i usług instalowanych domyślnie, szczególnie w trybie serwera.