Mengapa firewall dinonaktifkan secara default?


65

Mengapa ufw firewall termasuk dalam Ubuntu, ketika tidak diaktifkan dan pra-konfigurasi secara default? Sebagian besar pengguna bahkan tidak tahu itu ada di sana, karena tidak ada antarmuka GUI disediakan.


6
Saya terkejut ketika saya tidak sengaja menemukan bahwa firewall diinstal tetapi dinonaktifkan! Argumen yang disebutkan di sini cukup lemah.
HRJ

1
Saya memiliki pertanyaan yang sama karena itu saya mendarat di sini, hanya saja tebakan yang sangat liar bahwa pengguna Linux (berbeda dengan pengguna Windows yang lebih cenderung menjadi pengguna desktop biasa) memiliki berbagai kegunaan Linux: beberapa untuk pentesting, beberapa menggunakan ssh, beberapa tidak, banyak menggunakannya sebagai server web, database atau server smtp ... filosofi Linux akan membiarkan setiap pengguna mengkonfigurasi firewallnya sesuai keinginannya.
user10089632

Ini adalah keputusan desain yang sangat buruk. Sangat buruk!
iono

Jawaban:


37

Di luar kotak, Ubuntu dikirimkan tanpa port TCP atau UDP terbuka, karenanya keyakinan bahwa tidak ada alasan untuk menjalankan Uncomplicated Firewall (ufw) secara default. Saya setuju, bahwa ufw dinonaktifkan adalah keputusan yang aneh. Alasan saya adalah bahwa pengguna yang tidak berpengalaman layak untuk menginstal hal-hal seperti Samba, Apache dan seperti ketika mereka bereksperimen dengan sistem yang diletakkan di depan mereka. Jika mereka tidak memahami implikasi dari hal ini, mereka akan mengekspos diri mereka terhadap perilaku jahat di internet.

Contoh - Saya punya laptop saya dikonfigurasi dengan Samba yang baik-baik saja di jaringan rumah saya dilindungi dengan WPA2. Tetapi jika saya membawa laptop saya ke Starbucks, saya mungkin tidak memikirkannya, tetapi laptop itu sekarang mengiklankan bagian saya untuk semua orang. Dengan firewall, saya dapat membatasi port samba saya hanya ke server rumah atau perangkat rekan saya. Tidak perlu khawatir sekarang tentang siapa yang mungkin mencoba untuk terhubung ke laptop saya. Hal yang sama berlaku untuk VNC, SSH, atau sejumlah besar layanan bermanfaat lainnya yang mungkin dijalankan oleh laptop saya, atau mencoba terhubung.

Ubuntu mengambil pendekatan yang sangat on / off untuk elemen keamanan tertentu, sebuah filosofi yang tidak bisa saya setujui. Keamanan mungkin secara teknis hidup atau mati, tetapi dengan meletakkan elemen-elemen keamanan satu sama lain, Anda berakhir dengan sistem yang lebih baik. Tentu, keamanan Ubuntu cukup baik untuk sejumlah besar kasus penggunaan, tetapi tidak semua.

Intinya, jalankan ufw. Lebih baik aman daripada menyesal.

Uncomplicated Firewall memiliki sejumlah ujung depan grafis, tetapi yang paling sederhana adalah Gufw .

Logo GUFW

sudo apt-get install gufw

Di sini, saya mengizinkan semua lalu lintas dari VLAN server tertentu di lingkungan perusahaan saya dan saya telah menambahkan aturan untuk memungkinkan port yang diperlukan untuk sesi SSH terbalik memantul dari mesin ini.

Cuplikan GUFW


ufw hanya mengendalikan iptables - itu sebabnya tidak diaktifkan secara default. Pengguna mahir dapat menggunakan iptables.
papukaija

3
@papukaija - pengguna tingkat lanjut iptables dapat menggunakan iptables. Pengguna mahir di sistem bsd akan menggunakan pf, tapi itu tidak membuat pengguna itu, yang datang ke ubuntu, tiba-tiba tidak canggih. Demikian juga dengan seseorang yang terutama seorang insinyur jaringan - orang itu akan tahu Cisco atau logika Juniper ACL. Ini bukan untuk semua orang, tetapi ufw dapat membuat konfigurasi lebih mudah diakses, dan menurut saya ini adalah hal yang baik.
belacqua

2
@ jgbelacqua: Benar tetapi jawaban scaine memberikan gambar bahwa ufw adalah firewall sementara itu hanya sebuah antarmuka untuk iptables.
papukaija

1
(Peringatan pedant agresif) Saya merekomendasikan pengguna untuk tidak mengizinkan paket UDP / 53 masuk acak berdasarkan alamat sumber spoofable. Mereka telah digunakan dalam serangan dunia nyata (racun DNS, DoS oleh lalu lintas yang diperbesar). Anda perlu melakukan ini, mengapa?
sourcejedi

Yap, mungkin benar. Benar-benar tangkapan layar yang buruk, dari PC lama di mana saya hanya ingin OpenDNS keluar dari log saya. Itu bukan latihan yang bagus. Jika saya punya waktu, saya akan mencoba memperbarui tangkapan layar, karena GUFW terlihat sangat berbeda belakangan ini.
Scaine

28

Berbeda dengan Microsoft Windows, desktop Ubuntu tidak memerlukan firewall untuk aman di Internet, karena secara default Ubuntu tidak membuka port yang dapat menimbulkan masalah keamanan.

Secara umum sistem Unix atau Linux yang dikeraskan dengan benar tidak perlu firewall. Firewall (kecuali masalah keamanan tertentu dengan komputer Windows) lebih masuk akal untuk memblokir jaringan internal ke Internet. Dalam hal ini komputer lokal dapat berkomunikasi satu sama lain melalui port terbuka yang merupakan blok ke arah luar oleh firewall. Dalam hal ini, komputer sengaja dibuka untuk komunikasi internal yang tidak boleh tersedia di luar jaringan internal.

Desktop Ubuntu standar tidak memerlukan ini, karenanya ufw tidak diaktifkan secara default.


Bukankah (g) kamu hanya sebuah frontend? Maksud saya firewall sebenarnya adalah iptables, bukan?
papukaija

9
Bahkan sistem yang diperkeras dengan baik akan mendapat manfaat dari firewall. Misalnya, jika Anda menjalankan Samba, Anda membuka berbagai port untuk semua orang. Dengan firwall, Anda dapat membatasi itu hanya untuk server atau rekan-rekan Anda.
Scaine

netfilter + iptables atau netfilter + ufw (termasuk iptables) menyediakan firewall. Tetapi jika Anda memiliki ufw, Anda akan memiliki fungsi firewall.
belacqua

4
[rujukan?]
ζ--

7
Ini benar-benar tidak masuk akal. Firewall digunakan untuk melindungi komunikasi masuk dan keluar dari penggunaan yang tidak sah ... Ini berarti bahwa jika Anda menginstal, katakanlah, pemutar musik yang membuka port secara salah Anda akan memiliki koneksi terbuka ke internet. Itu disebut preemptive security, Anda melindungi dari hal-hal yang mungkin terjadi. Jawaban ini memberi orang rasa aman palsu di lingkungan linux.
Daniel

8

Di Ubuntu atau Linux lainnya firewall adalah bagian dari sistem dasar dan disebut iptables / netfilter. Itu selalu diaktifkan.

iptables terdiri dari seperangkat aturan tentang apa yang harus dilakukan dan bagaimana berperilaku ketika sebuah paket jika keluar. Jika Anda ingin secara eksplisit memblokir koneksi yang masuk dari IP tertentu, Anda perlu menambahkan aturan. Sebenarnya Anda tidak perlu melakukannya. Bersantai.

Jika Anda menginginkan keamanan yang baik dari apa pun, ingatlah jangan menginstal perangkat lunak acak dari mana pun. Mungkin mengacaukan pengaturan keamanan default Anda. Jangan pernah menjalankan sebagai root. Selalu percaya pada repo resmi.

Saya pikir yang ingin Anda tanyakan adalah apakah UI diinstal atau tidak?


8
Anda membuatnya terdengar seperti firewall "selalu diaktifkan", yang bukan itu masalahnya. Mungkin terintegrasi, tetapi kecuali jika Anda menghidupkannya sudo ufw enable, bagian pertama dari perangkat lunak server yang Anda instal akan membuka port yang iptables built-in tidak akan melakukan apa-apa.
Scaine

4
@ Skaine: ufw tidak melakukan pekerjaan; itu dilakukan oleh iptables yang diaktifkan secara default.
papukaija

7
Halo kawan-kawan. UFW adalah ujung depan pada iptables - saya mengerti. Namun, secara default, iptables tidak melakukan apa-apa. Itu tidak berfungsi. Itu bukan firewall. Sudah siap, tetapi tidak berguna. Anda HARUS berjalan sudo ufw enablesebelum iptables dikonfigurasi untuk melakukan apa saja. Manish, jawaban Anda terdengar seperti firewall sedang berjalan. Anda mengatakan "secara teknis itu benar" dan secara teknis Anda benar. Tapi itu tidak melakukan apa-apa, jadi Anda memberikan kesan keamanan yang salah besar di mana tidak ada.
Scaine

3
@manish, mengenai "pengguna normal yang memasang perangkat lunak server". Banyak yang akan menginstal Samba, seperti contoh saya. Banyak yang lain akan menggunakan server VNC bawaan di preferensi / desktop jauh. Ini baik-baik saja di lingkungan rumah (mungkin), tetapi bawa laptop itu di luar dengan layanan yang diaktifkan, Anda berpotensi mengekspos diri Anda terhadap perilaku jahat.
Scaine

2
ssh, terkait dengan cetak, dan port surat juga sering dibuka untuk operasi desktop atau server yang sepenuhnya normal. Ini dapat dikunci (dengan IP sumber misalnya) atau ditutup sepenuhnya dengan ufw atau rasa firewall / ACL lainnya.
belacqua

4

Juga, gufwdapat menyediakan front-end GUI. (Ini sebenarnya tidak lebih intuitif daripada ufw pada baris perintah, bagi saya, tetapi itu memberi Anda pengingat yang lebih visual tentang apa yang ada di sana.) Saya setuju bahwa firewall tidak diiklankan dengan baik saat ini. Jika saya menebak, saya akan mengatakan ini untuk mencegah pengguna baru menembak diri mereka sendiri.


-1

Karena: kata sandi atau kunci-kripto.

Ini adalah jawaban IMO yang benar, dan sejauh ini, jawaban yang sangat berbeda dari yang lain. ufwdinonaktifkan secara default untuk kenyamanan sebagian besar pengguna Ubuntu yang tahu bahwa kata sandi adalah bentuk perlindungan penting untuk memberikan privasi dan kontrol terbatas. Mayoritas pengguna Ubuntu akan "memeriksakan" perangkat lunak dengan menginstal dari repositori yang disetujui Ubuntu dan berhati-hati dengan sumber lain, untuk meminimalkan risiko secara umum, bukan hanya risiko yang terkait dengan port. Dengan melakukan itu, mereka dapat meminimalkan risiko yang terkait dengan port yang sudah kecil karena mereka menggunakan kata sandi "normal" dan sangat kecil jika mereka menggunakan kata sandi atau kripto-kunci yang sulit dirusak.

Beberapa risiko yang dikutip seperti server file Samba, server HTTP Apache, SSH, VNC pada WiFi Starbucks (publik) biasanya akan dihilangkan dengan kata sandi yang kasar di host.

ufw"break" software, seperti seharusnya firewall, yang merupakan alasan mengapa itu dinonaktifkan secara default. Untuk menguji ini pada instalasi baru Ubuntu, server A, instal sshdan login dari komputer lain, klien B, pada jaringan lokal yang sama dan Anda akan segera melihatnya bekerja. Keluar. Kemudian kembali ke server A dan sudo ufw enable. Kembali ke klien B dan Anda akan gagal sshke server A.


1
Kata sandi berada di level tumpukan yang jauh lebih tinggi. Sistem dapat diserang melalui overruns penyangga sederhana di tingkat tumpukan yang lebih rendah.
HRJ

Mengapa downvote?
H2ONaCl

@ HRJ, "sistem bisa diserang" tidak menyangkal bahwa kenyamanan itu penting. Anda belum membahas kebenaran dari apa yang saya tulis. Aku benar. Anda bersinggungan.
H2ONaCl
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.