Por que o firewall ufw está incluído no Ubuntu, quando não está ativado e pré-configurado por padrão? A maioria dos usuários nem sabe que está lá, porque nenhum front-end da GUI é fornecido.
Fiquei chocado quando descobri acidentalmente que um firewall está instalado, mas desativado! Os argumentos mencionados aqui são bastante fracos.
HRJ 12/09
11
Estou com a mesma pergunta e foi por isso que cheguei aqui, apenas adivinhei que os usuários do Linux (em contraste com os usuários do Windows com maior probabilidade de serem usuários normais de desktop) têm vários usos do Linux: alguns para pentesting, alguns usam ssh, outros não, usam muito como servidor web, banco de dados ou servidor smtp ... a filosofia do Linux permitirá que cada usuário configure seu firewall como achar melhor.
user10089632
Esta é uma decisão de design incrivelmente ruim. Apenas surpreendentemente ruim!
iono 21/07
Respostas:
37
Pronto para uso, o Ubuntu é fornecido sem portas TCP ou UDP abertas, daí a crença de que não há razão para executar o Uncomplicated Firewall (ufw) por padrão. Concordo, no entanto, que desabilitar o ufw é uma decisão estranha. Meu raciocínio é que usuários inexperientes irão viabilizar a instalação de coisas como Samba, Apache e outras coisas como elas experimentam o sistema colocado à sua frente. Se eles não entenderem as implicações disso, eles se exporão ao bevaviour malicioso na Internet.
Exemplo - eu tenho meu laptop configurado com o Samba, o que é bom na minha rede doméstica protegido com WPA2. Mas se eu levar meu laptop a uma Starbucks, talvez eu não pense em nada, mas esse laptop agora está anunciando minhas ações para todos. Com um firewall, posso restringir minhas portas samba apenas ao meu servidor doméstico ou dispositivos de mesmo nível. Agora, não precisa se preocupar tanto com quem pode estar tentando se conectar ao meu laptop. O mesmo vale para VNC, SSH ou vários outros serviços úteis que meu laptop pode estar executando ou tentando conectar.
O Ubuntu adota uma abordagem muito on / off para certos elementos de segurança, uma filosofia com a qual não concordo. A segurança pode estar tecnicamente ativada ou desativada, mas, ao colocar os elementos de segurança em camadas, você acaba com um sistema melhor. Claro, a segurança do Ubuntu é boa o suficiente para um grande número de casos de uso, mas não para todos.
Bottom line, execute ufw. Melhor prevenir do que remediar.
O Firewall não complicado tem vários front-ends gráficos, mas o mais simples é o Gufw .
sudo apt-get install gufw
Aqui, estou permitindo que todo o tráfego de VLANs de servidor específicas no meu ambiente corporativo e adicionei uma regra para permitir que as portas necessárias para uma sessão SSH reversa retornem nesta máquina.
O ufw apenas controla o iptables - é por isso que não é ativado por padrão. Usuários avançados podem usar o iptables.
papukaija
3
@papukaija - usuários avançados do iptables podem usar o iptables. Um usuário avançado em um sistema bsd usaria pf, mas isso não faz com que esse usuário, vindo ao ubuntu, subitamente não seja sofisticado. Da mesma forma com alguém que é principalmente um engenheiro de rede - essa pessoa conheceria a lógica da Cisco ou Juniper ACL. Não é para todos, mas o ufw pode tornar a configuração mais acessível e, na minha opinião, isso é uma coisa boa.
Belacqua
2
@jgbelacqua: Verdade, mas a resposta do scaine fornece uma imagem de que o ufw é um firewall, enquanto é apenas uma interface para o iptables.
papukaija
11
(Aviso agressivo do pedante) Eu recomendo que os usuários não permitam pacotes UDP / 53 recebidos aleatoriamente com base no endereço de origem falsificado. Eles foram usados em ataques do mundo real (envenenamento por DNS, DoS por tráfego amplificado). Você precisaria fazer isso por quê?
sourcejedi
Sim, provavelmente verdade. Essa é uma captura de tela ruim de um PC antigo, onde eu só queria o OpenDNS dos meus logs. Não é uma boa prática. Se eu tiver tempo, tentarei atualizar a captura de tela, pois o GUFW parece bem diferente nos dias de hoje.
Scaine
28
Ao contrário do Microsoft Windows, uma área de trabalho do Ubuntu não precisa de um firewall para estar seguro na Internet, pois, por padrão, o Ubuntu não abre portas que podem apresentar problemas de segurança.
Em geral, um sistema Unix ou Linux adequadamente reforçado não precisará de um firewall. Os firewalls (exceto alguns problemas de segurança nos computadores com Windows) fazem mais sentido para bloquear redes internas na Internet. Nesse caso, os computadores locais podem se comunicar através de portas abertas, que são bloqueadas para o exterior pelo firewall. Nesse caso, os computadores são abertos intencionalmente para comunicações internas que não devem estar disponíveis fora da rede interna.
A área de trabalho padrão do Ubuntu não exigiria isso, portanto, o ufw não está ativado por padrão.
Uwf não é apenas um frontend? Quero dizer, o firewall real é o iptables, não é?
papukaija
9
Mesmo sistemas adequadamente protegidos se beneficiarão de um firewall. Por exemplo, se você executa o Samba, abre várias portas para todos. Com um firewall, você pode restringir isso apenas ao seu servidor ou pares.
Scaine
O netfilter + iptables ou o netfilter + ufw (que inclui iptables) fornece o firewall. Mas se você tiver ufw, terá a funcionalidade de firewall.
Belacqua
4
[citação necessário]
ζ--
7
Isso é completamente absurdo. Um firewall é usado para proteger as comunicações de entrada e saída contra uso ilegítimo ... Isso significa que se você instalar um, digamos, music player que abra uma porta incorretamente, você terá uma conexão aberta com a Internet. Isso é chamado de segurança preventiva, você protege das coisas que podem acontecer. Esta resposta fornece às pessoas uma falsa sensação de segurança em ambientes Linux.
Daniel
8
No Ubuntu ou em qualquer outro Linux, o firewall faz parte do sistema base e é chamado iptables / netfilter. Está sempre ativado.
O iptables consiste em um conjunto de regras sobre o que fazer e como se comportar quando um pacote sair. Se você deseja bloquear explicitamente as conexões de entrada de um IP específico, será necessário adicionar uma regra. Na verdade, você não precisa fazer isso. relaxar.
Se você deseja uma boa segurança de qualquer coisa, lembre-se de não instalar softwares aleatórios de qualquer lugar. Pode estragar as configurações de segurança padrão.Não execute como root. Sempre confie nos repositórios oficiais.
Acho que você queria perguntar se a interface do usuário está instalada ou não?
Você faz parecer que um firewall está "sempre ativado", o que não é o caso. Pode ser integrado, mas, a menos que você o ligue sudo ufw enable, o primeiro software de servidor que você instala abrirá uma porta sobre a qual o iptables interno não fará nada.
Scaine
4
@Scaine: o ufw não faz o trabalho; isso é feito pelo iptables, que é ativado por padrão.
papukaija
7
Oi pessoal. O UFW é um front end no iptables - entendi. No entanto, por padrão, o iptables não faz precisamente NADA. Não está funcionando. Não é um firewall. Está pronto, mas inútil. Você DEVE executar sudo ufw enableantes que um iptables esteja configurado para fazer qualquer coisa. Manish, sua resposta parece que um firewall está sendo executado. Você está dizendo "tecnicamente é" e tecnicamente você está certo. Mas não está fazendo nada, então você está dando uma impressão massivamente falsa de segurança onde não existe.
Scaine
3
@manish, referente a "usuários normais que instalam software de servidor". Muitos instalarão o Samba, como no meu exemplo. Muitos outros usarão o servidor VNC embutido em preferências / área de trabalho remota. Isso é bom no ambiente doméstico (provavelmente), mas leve o laptop para fora com esses serviços ativados, você estará potencialmente exposto a comportamentos maliciosos.
Scaine
2
As portas ssh, relacionadas à impressão e de correio também são frequentemente abertas para tipos completamente normais de operações de área de trabalho ou servidor. Eles podem ser bloqueados (por IP de origem, por exemplo) ou fechados completamente com o ufw ou outro tipo de firewall / ACL.
Belacqua
4
Além disso, gufwpode fornecer um front-end da GUI. (Não é realmente mais intuitivo do que o ufw na linha de comando, mas fornece um lembrete mais visual do que está lá.) Concordo que o firewall não é anunciado corretamente no momento. Se eu fosse adivinhar, diria que isso é para impedir que novos usuários se atiram no pé.
Esta é a resposta correta da OMI e, até agora, uma resposta bastante diferente das demais. ufwestá desativado por padrão para a conveniência da maioria dos usuários do Ubuntu que sabem que as senhas são uma forma importante de proteção para fornecer privacidade e controle restrito. A maioria dos usuários do Ubuntu "veta" o software instalando a partir de repositórios aprovados pelo Ubuntu e tenha cuidado com outras fontes, a fim de minimizar os riscos em geral, não apenas os relacionados às portas. Ao fazer isso, eles percorrem um longo caminho para minimizar o risco relacionado à porta, que já era pequeno porque eles usam senhas "normais" e muito pequenas se eles usam senhas difíceis de usar ou chaves criptográficas.
Alguns dos riscos citados, como servidor de arquivos Samba, servidor HTTP Apache, SSH, VNC em um WiFi Starbucks (público), normalmente seriam eliminados por senhas difíceis de usar no host.
ufw"quebra" o software, como um firewall, e é por isso que ele é desativado por padrão. Para testar isso em uma nova instalação do Ubuntu, servidor A, instale sshe faça login em outra máquina, cliente B, na mesma rede local e você verá que funciona imediatamente. Sair. Volte ao servidor A e sudo ufw enable. Volte para o cliente B e você falhará sshno servidor A.
As senhas ficam em um nível muito mais alto da pilha. Os sistemas podem ser atacados através de simples saturações de buffer em níveis mais baixos da pilha.
HRJ 26/01
Por que o voto negativo?
H2ONaCl 26/01
@HRJ, "os sistemas podem ser atacados" não refuta que a conveniência importa. Você não abordou a correção do que escrevi. Eu estou certo. Você está na tangente.
ssh
, outros não, usam muito como servidor web, banco de dados ou servidor smtp ... a filosofia do Linux permitirá que cada usuário configure seu firewall como achar melhor.Respostas:
Pronto para uso, o Ubuntu é fornecido sem portas TCP ou UDP abertas, daí a crença de que não há razão para executar o Uncomplicated Firewall (ufw) por padrão. Concordo, no entanto, que desabilitar o ufw é uma decisão estranha. Meu raciocínio é que usuários inexperientes irão viabilizar a instalação de coisas como Samba, Apache e outras coisas como elas experimentam o sistema colocado à sua frente. Se eles não entenderem as implicações disso, eles se exporão ao bevaviour malicioso na Internet.
Exemplo - eu tenho meu laptop configurado com o Samba, o que é bom na minha rede doméstica protegido com WPA2. Mas se eu levar meu laptop a uma Starbucks, talvez eu não pense em nada, mas esse laptop agora está anunciando minhas ações para todos. Com um firewall, posso restringir minhas portas samba apenas ao meu servidor doméstico ou dispositivos de mesmo nível. Agora, não precisa se preocupar tanto com quem pode estar tentando se conectar ao meu laptop. O mesmo vale para VNC, SSH ou vários outros serviços úteis que meu laptop pode estar executando ou tentando conectar.
O Ubuntu adota uma abordagem muito on / off para certos elementos de segurança, uma filosofia com a qual não concordo. A segurança pode estar tecnicamente ativada ou desativada, mas, ao colocar os elementos de segurança em camadas, você acaba com um sistema melhor. Claro, a segurança do Ubuntu é boa o suficiente para um grande número de casos de uso, mas não para todos.
Bottom line, execute ufw. Melhor prevenir do que remediar.
O Firewall não complicado tem vários front-ends gráficos, mas o mais simples é o Gufw .
Aqui, estou permitindo que todo o tráfego de VLANs de servidor específicas no meu ambiente corporativo e adicionei uma regra para permitir que as portas necessárias para uma sessão SSH reversa retornem nesta máquina.
fonte
Ao contrário do Microsoft Windows, uma área de trabalho do Ubuntu não precisa de um firewall para estar seguro na Internet, pois, por padrão, o Ubuntu não abre portas que podem apresentar problemas de segurança.
Em geral, um sistema Unix ou Linux adequadamente reforçado não precisará de um firewall. Os firewalls (exceto alguns problemas de segurança nos computadores com Windows) fazem mais sentido para bloquear redes internas na Internet. Nesse caso, os computadores locais podem se comunicar através de portas abertas, que são bloqueadas para o exterior pelo firewall. Nesse caso, os computadores são abertos intencionalmente para comunicações internas que não devem estar disponíveis fora da rede interna.
A área de trabalho padrão do Ubuntu não exigiria isso, portanto, o ufw não está ativado por padrão.
fonte
No Ubuntu ou em qualquer outro Linux, o firewall faz parte do sistema base e é chamado iptables / netfilter. Está sempre ativado.
O iptables consiste em um conjunto de regras sobre o que fazer e como se comportar quando um pacote sair. Se você deseja bloquear explicitamente as conexões de entrada de um IP específico, será necessário adicionar uma regra. Na verdade, você não precisa fazer isso. relaxar.
Se você deseja uma boa segurança de qualquer coisa, lembre-se de não instalar softwares aleatórios de qualquer lugar. Pode estragar as configurações de segurança padrão.Não execute como root. Sempre confie nos repositórios oficiais.
Acho que você queria perguntar se a interface do usuário está instalada ou não?
fonte
sudo ufw enable
, o primeiro software de servidor que você instala abrirá uma porta sobre a qual o iptables interno não fará nada.sudo ufw enable
antes que um iptables esteja configurado para fazer qualquer coisa. Manish, sua resposta parece que um firewall está sendo executado. Você está dizendo "tecnicamente é" e tecnicamente você está certo. Mas não está fazendo nada, então você está dando uma impressão massivamente falsa de segurança onde não existe.Além disso,
gufw
pode fornecer um front-end da GUI. (Não é realmente mais intuitivo do que o ufw na linha de comando, mas fornece um lembrete mais visual do que está lá.) Concordo que o firewall não é anunciado corretamente no momento. Se eu fosse adivinhar, diria que isso é para impedir que novos usuários se atiram no pé.fonte
Porque: senhas ou chaves criptográficas.
Esta é a resposta correta da OMI e, até agora, uma resposta bastante diferente das demais.
ufw
está desativado por padrão para a conveniência da maioria dos usuários do Ubuntu que sabem que as senhas são uma forma importante de proteção para fornecer privacidade e controle restrito. A maioria dos usuários do Ubuntu "veta" o software instalando a partir de repositórios aprovados pelo Ubuntu e tenha cuidado com outras fontes, a fim de minimizar os riscos em geral, não apenas os relacionados às portas. Ao fazer isso, eles percorrem um longo caminho para minimizar o risco relacionado à porta, que já era pequeno porque eles usam senhas "normais" e muito pequenas se eles usam senhas difíceis de usar ou chaves criptográficas.Alguns dos riscos citados, como servidor de arquivos Samba, servidor HTTP Apache, SSH, VNC em um WiFi Starbucks (público), normalmente seriam eliminados por senhas difíceis de usar no host.
ufw
"quebra" o software, como um firewall, e é por isso que ele é desativado por padrão. Para testar isso em uma nova instalação do Ubuntu, servidor A, instalessh
e faça login em outra máquina, cliente B, na mesma rede local e você verá que funciona imediatamente. Sair. Volte ao servidor A esudo ufw enable
. Volte para o cliente B e você falharássh
no servidor A.fonte