Warum ist die Firewall standardmäßig deaktiviert?

65

Warum ist die ufw-Firewall in Ubuntu enthalten, wenn sie nicht standardmäßig aktiviert und vorkonfiguriert ist? Die meisten Benutzer wissen nicht einmal, dass es dort ist, da kein GUI-Frontend bereitgestellt wird.

6205
quelle
6
Ich war schockiert, als ich versehentlich herausfand, dass eine Firewall installiert, aber deaktiviert ist! Die hier genannten Argumente sind ziemlich schwach.
HRJ
1
Ich habe die gleiche Frage, weshalb ich hier gelandet bin. Ich habe nur eine sehr verrückte Vermutung, dass Linux-Benutzer (im Gegensatz zu Windows-Benutzern, die eher normale Desktop-Benutzer sind) Linux auf verschiedene Arten verwenden: einige zum Pentesten, Manche verwenden sshes als Webserver, Datenbank- oder SMTP-Server, manche nicht. Nach der Linux-Philosophie kann jeder Benutzer seine Firewall so konfigurieren, wie er es für richtig hält.
user10089632
Dies ist eine unglaublich schlechte Designentscheidung. Einfach erstaunlich schlecht!
Iono

Antworten:

37

Ubuntu wird standardmäßig ohne geöffnete TCP- oder UDP-Ports ausgeliefert, daher gibt es keinen Grund, standardmäßig die Uncomplicated Firewall (ufw) auszuführen . Ich stimme jedoch zu, dass es eine seltsame Entscheidung ist, ufw deaktiviert zu haben. Meine Argumentation ist, dass unerfahrene Benutzer wahrscheinlich Dinge wie Samba, Apache und Ähnliches installieren werden, wenn sie mit dem ihnen vorgestellten System experimentieren. Wenn sie die Auswirkungen nicht verstehen, setzen sie sich im Internet böswilligem Verhalten aus.

Beispiel - Ich habe meinen Laptop mit Samba konfiguriert, was in meinem mit WPA2 geschützten Heimnetzwerk in Ordnung ist. Aber wenn ich meinen Laptop zu einem Starbucks bringe, denke ich vielleicht nicht darüber nach, aber dieser Laptop wirbt jetzt für meine Aktien. Mit einer Firewall kann ich meine Samba-Ports nur auf meinen Heimserver oder auf Peer-Geräte beschränken. Sie müssen sich jetzt nicht mehr so ​​viele Gedanken machen, wer möglicherweise versucht, eine Verbindung zu meinem Laptop herzustellen. Gleiches gilt für VNC, SSH oder eine Vielzahl anderer nützlicher Dienste, die auf meinem Laptop ausgeführt werden oder zu denen ich eine Verbindung herstellen möchte.

Ubuntu geht bestimmte Sicherheitsaspekte sehr ein- und ausschaltend an, einer Philosophie, der ich nicht zustimmen kann. Sicherheit kann technisch ein- oder ausgeschaltet sein. Durch Übereinanderlegen von Sicherheitselementen erhalten Sie jedoch ein besseres System. Sicher, Ubuntus Sicherheit ist gut genug für eine große Anzahl von Anwendungsfällen, aber nicht für alle.

Unterm Strich laufen ufw. Sicher ist sicher.

Unkomplizierte Firewall hat eine Reihe von grafischen Frontends, aber das einfachste ist Gufw .

GUFW-Logo

sudo apt-get install gufw

Hier lasse ich den gesamten Datenverkehr von bestimmten Server-VLANs in meiner Unternehmensumgebung zu und habe eine Regel hinzugefügt, die zulässt, dass die erforderlichen Ports für eine Reverse-SSH-Sitzung von diesem Computer abprallen.

GUFW Screenshot

Scaine
quelle
ufw kontrolliert nur iptables - deshalb ist es nicht standardmäßig aktiviert. Fortgeschrittene Benutzer können iptables verwenden.
Papukaija
3
@papukaija - Fortgeschrittene Benutzer von iptables können iptables verwenden. Ein fortgeschrittener Benutzer auf einem bsd-System würde pf verwenden, aber das macht diesen Benutzer, der zu Ubuntu kommt, nicht plötzlich unkompliziert. Ebenso mit jemandem, der in erster Linie ein Netzwerktechniker ist - diese Person würde die Cisco- oder Juniper-ACL-Logik kennen. Es ist nicht jedermanns Sache, aber ufw kann die Konfiguration zugänglicher machen, und meiner Meinung nach ist dies eine gute Sache.
Belacqua
2
@jgbelacqua: Stimmt, aber die Antwort des Scaine gibt ein Bild, dass Ufw eine Firewall ist, während es nur ein Frontend für Iptables ist.
Papukaija
1
(Aggressive Pedant-Warnung) Ich empfehle Benutzern, keine zufällig eingehenden UDP / 53-Pakete auf der Basis einer fälschbaren Quelladresse zuzulassen. Sie wurden bei realen Angriffen (DNS-Gift, DoS durch verstärkten Datenverkehr) eingesetzt. Sie müssten dies tun, warum?
Sourcejedi
Ja, wahrscheinlich wahr. Das ist wirklich ein schlechter Screenshot von einem alten PC, auf dem ich nur wollte, dass OpenDNS aus meinen Protokollen entfernt wird. Es ist keine gute Praxis. Wenn ich Zeit habe, werde ich versuchen, den Screenshot zu aktualisieren, da GUFW heutzutage sowieso ziemlich anders aussieht.
Scaine
28

Im Gegensatz zu Microsoft Windows benötigt ein Ubuntu-Desktop keine Firewall, um im Internet sicher zu sein, da Ubuntu standardmäßig keine Ports öffnet, die Sicherheitsprobleme verursachen können.

Im Allgemeinen benötigt ein ordnungsgemäß gehärtetes Unix- oder Linux-System keine Firewall. Firewalls (mit Ausnahme bestimmter Sicherheitsprobleme bei Windows-Computern) sind sinnvoller, um interne Netzwerke für das Internet zu blockieren. In diesem Fall können lokale Computer über offene Ports miteinander kommunizieren, die von der Firewall nach außen blockiert werden. In diesem Fall werden die Computer absichtlich für interne Kommunikationen geöffnet, die außerhalb des internen Netzwerks nicht verfügbar sein sollten.

Der Standard-Ubuntu-Desktop würde dies nicht erfordern, daher ist ufw standardmäßig nicht aktiviert.

txwikinger
quelle
Ist (g) uwf nicht nur ein Frontend? Ich meine, die echte Firewall ist Iptables, nicht wahr?
Papukaija
9
Selbst richtig gehärtete Systeme profitieren von einer Firewall. Wenn Sie beispielsweise Samba ausführen, öffnen Sie verschiedene Ports für alle. Mit einer Firwall können Sie dies auf Ihren Server oder Ihre Kollegen beschränken.
Scaine
netfilter + iptables oder netfilter + ufw (einschließlich iptables) stellen die Firewall bereit. Aber wenn Sie ufw haben, werden Sie Firewall-Funktionalität haben.
Belacqua
4
[Zitieren benötigt]
ζ--
7
Das ist völlig absurd. Eine Firewall schützt die eingehende und ausgehende Kommunikation vor unzulässiger Verwendung. Wenn Sie also beispielsweise einen Musik-Player installieren, der einen Port falsch öffnet, haben Sie eine offene Verbindung zum Internet. Das nennt man präventive Sicherheit, man schützt vor den Dingen, die passieren können. Diese Antwort gibt den Leuten ein falsches Sicherheitsgefühl in Linux-Umgebungen.
Daniel
8

In Ubuntu oder einem anderen Linux ist die Firewall Teil des Basissystems und heißt iptables / netfilter. Es ist immer aktiviert.

iptables besteht aus einer Reihe von Regeln, die festlegen, was zu tun ist und wie sich ein Paket verhält, wenn es nicht mehr ankommt. Wenn Sie eingehende Verbindungen von einer bestimmten IP explizit blockieren möchten, müssen Sie eine Regel hinzufügen. Eigentlich brauchen Sie das nicht zu tun. Entspannen.

Wenn Sie von irgendetwas gute Sicherheit wollen, denken Sie daran, dass Sie keine zufällige Software von irgendwoher installieren. Es könnte Ihre Standardsicherheitseinstellungen vermasseln. Führen Sie das Programm niemals als Root aus. Vertraue immer den offiziellen Repos.

Ich denke, Sie wollten fragen, ob die Benutzeroberfläche installiert ist oder nicht.

Manish Sinha
quelle
8
Sie haben den Eindruck, dass eine Firewall "immer aktiviert" ist, was nicht der Fall ist. Es könnte integriert sein, aber wenn Sie es nicht mit einschalten sudo ufw enable, öffnet die erste von Ihnen installierte Serversoftware einen Port, an dem die integrierten iptables nichts ändern.
Scaine
4
@Scaine: ufw erledigt die Arbeit nicht; Dies erfolgt über iptables, das standardmäßig aktiviert ist.
Papukaija
7
Hallo Leute. UFW ist ein Frontend für Iptables - ich verstehe. Standardmäßig macht iptables jedoch genau NICHTS. Es funktioniert nicht. Es ist keine Firewall. Es ist fertig, aber nutzlos. Sie MÜSSEN ausgeführt werden, sudo ufw enablebevor ein iptables konfiguriert wird, um etwas zu tun. Manish, Ihre Antwort klingt wie eine Firewall ausgeführt wird. Sie sagen "technisch ist es" und technisch haben Sie Recht. Aber es tut nichts, deshalb vermitteln Sie einen massiven falschen Eindruck von Sicherheit, wo keine existiert.
Scaine
3
@manish, in Bezug auf "normale Benutzer, die Serversoftware installieren". Viele werden Samba installieren, wie in meinem Beispiel. Viele andere verwenden den integrierten VNC-Server in den Einstellungen / auf dem Remotedesktop. Dies ist in der häuslichen Umgebung (wahrscheinlich) in Ordnung, aber wenn Sie diesen Laptop mit aktivierten Diensten nach draußen bringen, setzen Sie sich möglicherweise böswilligem Verhalten aus.
Scaine
2
ssh-, druckbezogene und Mail-Ports werden häufig auch für ganz normale Desktop- oder Servervorgänge geöffnet. Diese können gesperrt werden (zum Beispiel nach Quell-IP) oder vollständig mit ufw oder einer anderen Variante von Firewall / ACL geschlossen werden.
belacqua
4

Außerdem gufwkann bietet einen GUI-Frontend. (Es ist für mich nicht wirklich intuitiver als ufw auf der Kommandozeile, aber es gibt Ihnen eine visuellere Erinnerung an das, was da ist.) Ich stimme zu, dass die Firewall derzeit nicht gut beworben wird. Wenn ich raten würde, würde ich sagen, dass dies verhindern soll, dass sich neue Benutzer in den Fuß schießen.

belacqua
quelle
-1

Denn: Passwörter oder Kryptoschlüssel.

Dies ist IMO die richtige Antwort und bisher eine ganz andere Antwort als die anderen. ufwist für die Mehrheit der Ubuntu-Benutzer, die wissen, dass Kennwörter eine wichtige Form des Schutzes sind, um Privatsphäre und eingeschränkte Kontrolle zu gewährleisten, standardmäßig deaktiviert. Die Mehrheit der Ubuntu-Benutzer "prüft" Software, indem sie von Ubuntu-genehmigten Repositorys installiert und auf andere Quellen achtet, um Risiken im Allgemeinen und nicht nur Risiken in Bezug auf Ports zu minimieren. Auf diese Weise minimieren sie das ohnehin geringe portbezogene Risiko, da sie "normale" Passwörter verwenden, und sie sind sehr klein, wenn sie schwer zu knackende Passwörter oder Kryptoschlüssel verwenden.

Einige der genannten Risiken wie Samba-Dateiserver, Apache-HTTP-Server, SSH, VNC auf einem Starbucks-WLAN (öffentlich) werden in der Regel durch schwer zu übermittelnde Kennwörter auf dem Host beseitigt.

ufw"bricht" Software, wie es eine Firewall sollte, weshalb sie standardmäßig deaktiviert ist. Um dies bei einer Neuinstallation von Ubuntu, Server A, zu testen, installieren Sie sshund melden Sie sich von einem anderen Computer, Client B, im selben lokalen Netzwerk an, und Sie werden sehen, dass es sofort funktioniert. Ausloggen. Gehen Sie dann zurück zu Server A und sudo ufw enable. Kehren Sie zu Client B zurück, und Sie gelangen nicht sshzu Server A.

H2ONaCl
quelle
1
Passwörter befinden sich auf einer viel höheren Ebene des Stapels. Systeme können durch einfache Pufferüberläufe auf niedrigeren Stapelebenen angegriffen werden.
HRJ
Warum die Gegenstimme?
H2ONaCl
@HRJ, "Systeme können angegriffen werden" widerlegt nicht, dass Bequemlichkeit wichtig ist. Sie haben die Richtigkeit meines Schreibens nicht angesprochen. Ich habe recht. Du bist auf einer Tangente.
H2ONaCl