Ist eine Firewall heutzutage wirklich notwendig? [geschlossen]

13

soll ich so etwas wie gufw installieren?

security  firewall 
TheXed
quelle
5
Ich denke, diese Fragen sind viel zu weit gefasst, um eine objektive , korrekte Antwort zu erhalten.
Stefano Palazzo
Ich gehe davon aus, dass Sie eine hostbasierte Firewall meinen, keine eigenständige. Aber ich stimme Stefano zu, dass dies ein zu breites Thema für eine klare Antwort ist. Viel hängt vom Kontext ab - wo sich Ihr System befindet, welche Dienste Sie ausführen, welche anderen Sicherheitskontrollen vorhanden sind, welchen Wert Ihre Verfügbarkeit (für Denial of Service) und Ihre Daten (finanziell, proprietär, unersetzlich) haben usw Das allgemeine Prinzip für vorsichtige Sicherheit ist die Verwendung mehrerer Schutzmechanismen. Wenn dies Ihrer täglichen Arbeit nicht im Wege steht, hat das Hinzufügen einer zusätzlichen Sicherheitsebene nur wenige Nachteile und wahrscheinlich auch Vorteile.
Belacqua
Auch sudo nmap localhost. Hast du jetzt offene Ports? (Eine grobe Schätzung.)
Belacqua
sudo nmap localhostDieser Befehl funktioniert nicht
TheXed
1
@TheX das ist, weil namp nicht installiert ist?
theTuxRacer

Antworten:

7

Ja, mehr denn je. Das Internet hat sich seit jeher kaum verändert. Eine Firewall ist heutzutage immer noch eine Notwendigkeit. Eine Firewall wie gufw mit Grundregeln funktioniert. Verwenden Sie iptables, wenn Sie ein CLI-Geek sind;)

theTuxRacer
quelle
Verdammt, bitte kommentieren Sie, warum Sie abgestimmt haben.
theTuxRacer
1
vote ++; echo "Use iptables" - I assume I\'m a real CLI geek then :p;
Lekensteyn
1
Falsche Antwort.
Psusi
1
@psusi Wollen Sie damit sagen, dass dies falsch ist, weil Sie der Annahme nicht zustimmen, dass die Verwendung einer hostbasierten Firewall eine gute Idee ist, oder weil Sie den ufw / iptables-Bewertungen nicht zustimmen?
Belacqua
1
@jgbelacqua es ist falsch, weil eine hostbasierte Firewall für ein Ubuntu-Desktopsystem sinnlos ist und nicht mehr benötigt wird als jemals zuvor. Die mit Manish verknüpfte Frage hat sehr gute Erklärungen, warum.
Psusi
3

Zweifellos ist nur ein einziger opportunistischer Schnüffler erforderlich, um alle Probleme zu lösen. Die Verwirrung besteht darin, wie Sie sicherstellen, dass Sie sich hinter einer Firewall befinden.

Dies wird hier näher erläutert: Gibt es eine vorinstallierte oder automatische Firewall? Kurz gesagt, wenn Sie sich in einem Heimnetzwerk hinter einem WLAN-Router befinden, führt Ihr Router normalerweise Firewall-Aufgaben aus. Es ist natürlich eine gute Idee, sich beim Hersteller zu erkundigen, bevor Sie sich auf etwas verlassen (dies hängt auch von der Router-Konfiguration ab).

GUFW ist an sich keine Firewall, sondern nur eine grafische Benutzeroberfläche für Ubuntus Standard-Firewall (UFW). UFW ist standardmäßig ausgeschaltet. Im Allgemeinen ist es ratsam, nur eine Firewall auszuführen, um potenzielle Konflikte zu vermeiden. Wenn Sie sich also in einem vertrauenswürdigen Heimnetzwerk befinden (und Sie sich sicher sind, dass Ihr Router einen ausreichenden Schutz bietet), sollten Sie die Software-Firewall (UFW) ausschalten.

Schalten Sie es natürlich wieder ein, wenn Sie sich in einem öffentlichen / nicht vertrauenswürdigen Netzwerk befinden.

Richzilla
quelle
Das Ausführen einer persönlichen Software-Firewall schadet nicht. Im Allgemeinen ist dies eine gute Idee und bietet umfassenden Schutz vor schlecht verhaltenen Computern in Ihrem lokalen Netzwerk.
Nerdfest
Ich bin einverstanden, solange die Firewalls auf die gleiche Weise konfiguriert sind. Die Anzahl der Stunden, die ich für die Diagnose von Netzwerkproblemen aufgewendet habe, nur um zwei Firewalls zu entdecken, sind sich nicht einig, was sie
durchlassen
1
In meinem LAN: keine Firewall. Mit Blick auf das Internet: natürlich Firewall. Die Firewall basiert darauf, wie ich den Computern vertraue, mit denen ich eine Verbindung herstelle.
djeikyb
2

Ich würde empfehlen, eine Firewall zu installieren. Etwas ist immer besser als nichts. ist es nicht ?. Ubuntu, Standardmäßig wird eine Firewall ' ufw ' mitgeliefert . gufw (Erwähnt in der Frage) ist nichts anderes als die GUI von 'ufw'.

Hoffe das hilft.

aneeshep
quelle
1
Nur ein Hinweis: iptables ist keine Firewall. Netfilter ist, was Teil des Linux-Kernels ist. iptables ist nur ein Befehlszeilendienstprogramm, das zum Ändern / Abfragen des Netfilter-Regelsatzes verwendet wird.
LGB
Noch eine falsche Antwort.
Psusi
@LGB von Wikipedia: iptables ist ein User Space-Anwendungsprogramm, mit dem ein Systemadministrator die von der Linux-Kernel-Firewall (implementiert als verschiedene Netfilter-Module) bereitgestellten Tabellen sowie die darin gespeicherten Ketten und Regeln konfigurieren kann. Jetzt bin ich verwirrt.
theTuxRacer
@aneesheep Ich würde sagen, das ist irreführend, weil uwfes ein Front-End für iptables(das ist eine Schnittstelle zu Netfilter) ist. Sie können ufw nicht ohne iptables installiert haben.
Belacqua
Vielen Dank an Freunde, die mich in die richtige Richtung geführt haben. Ich habe den Abschnitt iptables aus meiner Antwort entfernt.
Aneeshep
1

Ubuntu sollte mit einer Standard-Firewall ausgestattet sein, die auch mit einem GUI-Tool aktiviert wurde. Ich bin überrascht, dass es nicht dazu kommt. Ich weiß, dass iptables bereits vorhanden ist, aber es sind keine Regeln geladen. Sie müssen dies manuell tun oder so etwas wie Firestarter installieren , um die Grundlagen für Sie zum Laufen zu bringen.

Ich war eines Tages so überrascht, als ich herausfand, dass mein ISP mir jedes Mal, wenn ich mein DSL aktiviere, meine eigene öffentliche IP gibt. Stellen Sie sich vor, wie viele Zugriffe, SSH-Anmeldeversuche, andere Scans und MS-Exploits (ja, jemand hat das auf den IP-Adressen meines ISP ausgeführt) mein Computer die ganze Zeit erhalten hat. LOL! :)

Marky
quelle
2
Und Ihr Computer ignoriert sie alle ohne eine Firewall.
Psusi
Der Computer ignoriert nicht, wenn ein Dienst an einem bestimmten Port empfangsbereit ist. Ich glaube sogar, dass die Maschine eifrig ist , Verbindungen anzunehmen.
theTuxRacer
1
@Kaustubh P Wenn ein Dienst auf dem Port lauscht, MÖCHTEN Sie, dass er Verbindungen akzeptiert, und haben diesen Port in der Firewall geöffnet. Ist dies nicht der Fall, werden Verbindungen zu diesem Port abgelehnt.
Psusi
1

Per Definition blockiert eine Firewall die Kommunikation, die sonst zulässig wäre. Auf einem Ubuntu-Desktop-Computer sind standardmäßig keine Dienste installiert, die Verbindungen akzeptieren. Daher kann eine Firewall den Zugriff auf diese Dienste nicht blockieren. Daher ist es völlig nutzlos.

Der Grund, warum eine Firewall unter Windows als notwendig erachtet wird, besteht darin, dass standardmäßig mehrere gehirnlose Dienste installiert sind, die Verbindungen akzeptieren und es der Gegenpartei ermöglichen, mit Ihrem Computer Dinge zu tun, die Sie nicht möchten.

Psusi
quelle
"völlig nutzlos" - falsch. Eine Firewall fügt eine zusätzliche Verteidigungsebene hinzu. Sie geben auch falsche Informationen ein. Eine Ubuntu-Standardinstallation enthält öffentlich zugängliche Dienste. Beispielsweise kann CUPS (Common Unix Printing System) den UDP-Port 631
überwachen.
1
Wenn Sie einen neuen Dienst installieren, der andere Ports verwendet, bleiben diese offen, es sei denn, Sie schließen sie oder regulieren sie mit einer Firewall .
theTuxRacer
Das OP erwähnt weder Desktop noch Server. Selbst auf einem Desktop-System gibt es, wie @Kaustubh sagt, keine Garantie dafür, dass Ports nicht geöffnet werden, wenn Sie von der ursprünglichen Konfiguration abweichen. Und manchmal werden Ports bei Updates versehentlich offen gelassen.
Belacqua
@Lekensteyn: Es ist nicht falsch. Ich schlage vor, dass Sie die andere Frage lesen, mit der Manish in Verbindung gebracht hat und die auch klar erklärt wurde. Wenn der Port bereits geschlossen ist, ist ein Programm, das Ports schließt, unbrauchbar. CUPS akzeptiert außerdem standardmäßig nur Verbindungen von localhost.
Psusi
2
Weitere Informationen finden Sie unter wiki.ubuntu.com/SecurityTeam/FAQ#UFW. Wenn Sie ufw aktivieren möchten, ist dies trivial. "sudo ufw enable"
Kees Cook
1

Mit der Einführung von IPv6 wird das Vorhandensein einer Firewall noch kritischer. Im Gegensatz zu IPv4, bei dem die meisten Systeme in privaten IP-Bereichen relativ sicher sind, ist der vollständige Zugriff auf IPv6-Geräte wahrscheinlich.

Eine Firewall mit einer Standardverweigerungsrichtlinie ist noch wichtiger. Das Auffinden von Geräten zum Scannen wird aufgrund der sparsamen Verwendung von Adressen schwieriger. Einige Protokolle wie SMB auf lokalen Linkadressen zu belassen, wird helfen, wird aber kein Wundermittel sein.

Bei einer Standardinstallation ist eine aktive Firewall jedoch nur eine zusätzliche Sicherheitsebene. Viele Anwendungen, die Ports öffnen, müssen ihre Ports öffnen, damit sie funktionieren können. Ziemlich gut, alle haben zusätzliche Methoden, um sie zu sichern. Aktivieren Sie alle erforderlichen Ebenen.

BEARBEITEN: Es gab viele Kommentare darüber, dass die Anwendung den Zugriff kontrolliert und andere Gründe, warum keine Firewall vorhanden ist. Leider verfügen viele Anwendungen nicht über Zugriffskontrollen. Andere überwachen alle Adressen, sodass eine Firewall die einzige Möglichkeit darstellt, den Zugriff von bestimmten Schnittstellen aus zu beschränken.

Wie bereits erwähnt, ist eine Firewall nur eine Sicherheitsstufe. Sichere Anwendungen sind eine andere, aber Sie können nicht einfach sicherstellen, dass Ihre Benutzer nur sichere Anwendungen ausführen. Eine Firewall ist eine Möglichkeit, Ihre Benutzer zu schützen.

Keine angemessenen Sicherheitsmaßnahmen sind absolut sicher. Während viele Benutzer möglicherweise nicht interessiert oder geschult genug sind, um eine Firewall vollständig zu verstehen, ist dies kein Grund, keine Firewall zu verwenden oder keine Firewall zu haben.

BillThor
quelle
3
Die Standardrichtlinie OHNE Firewall ist das Ablehnen von Verbindungen. Dazu benötigen Sie keine Firewall. Sie verwenden eine Firewall, um die Richtlinie ZURÜCK zu ändern und abzulehnen, wenn Sie bereits einen Dienst installiert haben, der zu akzeptieren versucht. Wenn Sie das tun möchten, installieren Sie den Dienst natürlich erst einmal nicht, um die Verbindung zu akzeptieren.
Psusi
1
@psusi. Das Deinstallieren des Dienstes ist eine Ja / Nein-Lösung. Die Verwendung einer Firewall ermöglicht eine differenzierte Steuerung.
BillThor
es ermöglicht eine feinkörnige Steuerung, aber der Dienst selbst ermöglicht normalerweise eine noch feinkörnigere Steuerung. Wenn Sie einen Dienst installieren, konfigurieren Sie ihn so, dass er die Art von Verbindungen akzeptiert, die Sie möchten, anstatt ein separates Tool zu verwenden, um ihn einzuschränken. Dienste haben auch vernünftige Standardeinstellungen, sodass sie bei der Installation entweder nur Verbindungen vom lokalen Host oder vom lokalen Netzwerk akzeptieren, sodass wiederum keine Firewall erforderlich ist.
Psusi
@psusi Zugelassene Dienste haben oft eine fein abgestimmte Kontrolle. Sie protokollieren jedoch nicht immer, wenn sie die Verbindung auf konsistente Weise trennen. Eine Firewall kann eine konsistente Protokollierung bereitstellen, obwohl das Scannen der anderen Protokolle hilfreich ist. Eine Firewall kann auch Tests fehlender Dienste protokollieren. Dies kann das proaktive Blockieren des Ursprungshosts ermöglichen.
BillThor
Ihr durchschnittlicher Desktop-Benutzer kennt oder kümmert sich nicht um solche Dinge. Natürlich gibt es einige Dinge, die Sie mit IP-Ketten tun können, die Sie mit einem bestimmten Daemon nicht tun können, aber nichts, was der durchschnittliche Desktop-Benutzer als "notwendig" erachten würde.
Psusi
0

Jeder hat Recht, sei vorsichtig und benutze wahrscheinlich einen Schutz. Das kann je nach Tätigkeit zu Problemen führen, aber manchmal merkt man nicht, wie sehr dich dieser zusätzliche Aufwand wirklich schützt.

Ein Weg, wie Sie zusätzlichen Schutz hinzufügen können, der überhaupt nicht aufdringlich ist, besteht darin, sich mit OpenDNS zu befassen . Im Grunde genommen werden nur einige nette Steuerungs- und zusätzliche Sicherheitsfunktionen für die grundlegende Internetnutzung hinzugefügt.

Jon Phenow
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.