Wenn ich versuche, einen Port auf einem Server mit Telnet zu verbinden, und kein Programm auf diesem Port empfangsbereit ist, wird Telnet mit dem Fehler "Verbindung nicht möglich ..." beendet. Ich verstehe das. Aber warum brauchen wir eine Firewall, wenn kein Programm auf einem Port lauscht?
networking
security
firewall
Khaja Minhajuddin
quelle
quelle
Antworten:
Möglicherweise läuft gerade kein Dienst, aber wie sieht es morgen aus? Sie haben alle deaktiviert, aber was ist mit Ihren Benutzern? Jeder Benutzer eines Unix / Windows / Mac-Systems kann auf jedem Computer, auf den er Zugriff hat, einen Port> 1024 öffnen. Was ist mit Malware? Was ist mit einem Virus? Sie können auch Ports öffnen und Informationen für die Welt bereitstellen oder auf Verbindungen aus dem Netzwerk warten.
Der Hauptzweck einer Firewall besteht nicht darin, die Ports für Dienste zu blockieren, von denen Sie wissen, dass sie deaktiviert sind, sondern darin, die Ports für Dienste zu blockieren, die Sie möglicherweise nicht kennen. Stellen Sie es sich als Standardverweigerung vor , bei der nur bestimmte Lücken für von Ihnen autorisierte Dienste durchgestrichen sind. Jeder Benutzer oder jedes Programm, das von einem Benutzer gestartet wird, kann einen Server auf einem System starten, auf das er Zugriff hat. Eine Firewall verhindert, dass eine andere Person eine Verbindung zu diesem Dienst herstellt.
Ein guter Administrator weiß, welche Dienste verfügbar gemacht werden müssen, und kann sie aktivieren. Eine Firewall dient in erster Linie dazu, das Risiko unbekannter Server auf Ihrem System oder in Ihrem Netzwerk zu minimieren und die zulässigen Zugriffe auf das Netzwerk von einem zentralen Ort aus zu verwalten.
Es ist wichtig zu wissen, was auf Ihrem Computer / Server läuft, und nur das zu aktivieren, was Sie benötigen. Eine Firewall bietet jedoch zusätzlichen Schutz vor Dingen, die Sie nicht kennen.
quelle
hg serve
der einen Webserver auf Ihrem Computer startet. Der Punkt ist, es ist trivial, einen Server auf einem beliebigen Computer zu starten, unabhängig davon, ob er als "Desktop" oder "Server" verwendet wird. Und wenn dieser Server einmal gestartet ist und Sie nichts davon wissen ... dann beginnt der Spaß.WENN an keinem Port ein Programm empfangsbereit ist, benötigen Sie keine Firewall. Sie können jedoch auch keine Verbindung zu Ihrem Server herstellen, da dieser vom Rest der Welt 'versiegelt' ist.
Auf der anderen Seite ... Nehmen wir an, Ihr Server hat kein lokal ausgeführtes Programm, das auf einem Port lauscht, sondern dient als Gateway für andere Computer dahinter. In diesem Fall verwenden Sie eine Firewall, um das Masquerading (NAT) zu verwalten, und optional können Sie einige Elemente bei der Paketweiterleitung filtern.
quelle
/etc/ssh/sshd_config
, um die Maschine zu sichern.PermitRootLogin
sollte auf Nein gesetzt sein, sollten Sie ein sicheres Passwort verwenden und den Computer mit sudo verwalten (Sie können sudo verwenden, nachdem Sie sich mit einem Konto mit sudo-Berechtigungen angemeldet haben). Das Festlegen der Einschränkungen mit einer Firewall ist nur das falsche Tool für den Job. Gleiches gilt für einepostgresql
Datenbank: Verwenden Sie die Datenbankkonfiguration, um Berechtigungen festzulegen und zu widerrufen.Genau genommen ist es jedoch möglicherweise nicht erforderlich, zu berücksichtigen, dass eine Firewall mehr Funktionen bietet, als nur Verbindungen über Netzwerkports abzulehnen. Zum Beispiel DROP versus REJECT.
quelle
Wenn Sie einen Einzelbenutzer-Desktop haben , keinen Server, benötigen Sie keine Firewall, wenn kein Dienst ausgeführt wird, wie bei einer Ubuntu-Standardinstallation.
Windows hatte einige Male, nachdem es in der Lage war, Netzwerke zu bilden, einige Dienste, die standardmäßig für Wartung, Updates, interne Nachrichtenübermittlung usw. ausgeführt wurden. Sie konnten sie nicht stoppen, ohne die Arbeit von Windows zu stoppen, aber sie waren anfällig für externe Angriffe. Die Windows-Benutzer brauchten also eine Firewall, und das Meme, dass jeder eine Firewall braucht, verbreitete sich schnell.
Als sie die Linux-Leute trafen, die oftmals Server-Administratoren waren, sagten sie nicht "Sie brauchen keine Firewall unter Linux", sondern "wir haben seit fast einem Jahrzehnt kostenlose Firewalls wie iptables".
EIN persönliche Firewall , die sich auf dem zu schützenden System befindet, ist ebenfalls nicht die beste Idee.
Auf einem Einzelbenutzer-Desktop-System benötigen Sie keine persönliche Firewall.
quelle
desktop
bedeutet nicht, es ist nicht immer noch ein,server
das sind nur Worte. Ihrdesktop
hat vielservers
davon könnte möglicherweise darauf laufen, und möglicherweise sind das schon.t allow anything) on RedHat, start CUPS and see if you can connect to it from outside. Then look at
iptables-save`: Voila - der CUPS-Port ist offen, ohne in der GUI zu erscheinen ...