Sebagai pengguna Ubuntu desktop baru 18.04 LTS, apakah saya perlu menggunakan ufw untuk firewall atau apakah iptables cukup? [Tutup]

12

Mari kita asumsikan:

  • Saya memiliki sedikit atau tidak sama sekali pengetahuan tentang cara kerja OS Ubuntu / Linux. Yang saya tahu adalah dari pengalaman saya tentang Windows, adalah bahwa saya harus memiliki firewall yang dikonfigurasi dan berjalan sebelum saya terhubung ke Internet, jika tidak sistem saya akan seaman pergi berlibur dan meninggalkan rumah saya dengan semua pintu dan jendela Buka.
  • Saya baru saja pindah ke desktop Ubuntu 18.04 LTS dan baru saja masuk untuk pertama kalinya. Saya ingin mengamankan sistem saya sebelum menghubungkan komputer saya ke Internet.

(Catatan: Perhatikan penekanan pada kata desktop , sehingga referensi ke server tidak akan berkaitan dengan pertanyaan dan oleh karena itu tidak relevan)

dan setelah beberapa penelitian tentang hal ini saya sangat mengerti:

Sebuah. Apakah ufw firewall "alat konfigurasi" default untuk Ubuntu? (perhatikan ia mengatakan alat konfigurasi dan bukan firewall yang sebenarnya) dan ufw diinstal, tetapi tidak berjalan dan tidak dikonfigurasi sama sekali, sehingga tidak memiliki aturan default yang ditetapkan di luar kotak.

b. Gufw adalah UI untuk ufw, tetapi tidak diinstal secara default, atau setidaknya demikian halnya dengan Ubuntu Desktop 18.04 LTS.

c. iptables adalah firewall aktual yang terintegrasi dengan kernel sebagai modul.

Pada titik ini tahu saya dapat mengkonfigurasi ufw semudah abc, maka namanya dan untuk menggunakannya, sebagai titik awal, Anda perlu mengatur deny (incoming), allow (outgoing) dan memulainya, saya juga mengerti saya bisa menggunakan Gufw untuk melakukan ini juga. Jadi saya bisa meninggalkannya di sana dan melakukan hal itu.

Namun, setelah semua penelitian saya, saya menemukan banyak artikel, pertanyaan dan blog tentang masalah ini dengan banyak pandangan dan pendapat, banyak dari mereka menyatakan bahwa Anda tidak memerlukan firewall, tidak ada port terbuka, tetapi saya berpikir, pasti beberapa port harus buka ketika saya terhubung ke internet? yang berarti saya menghubungkan perangkat saya ke jaringan dan membuka koneksi lalu lintas dua arah, tetapi semua informasi yang saya baca hanya berfungsi untuk membuat ini tidak jelas dan ambigous, jadi saya mencerna semua informasi itu dan mencoba untuk masuk akal kemudian mengurangi itu menjadi satu pernyataan dan singkatnya saya menyimpulkan:

Pengguna desktop Ubuntu tidak perlu ufw karena itu hanyalah alat konfigurasi untuk iptables yang merupakan firewall sebenarnya di bawah tenda.

Jadi katakanlah saya menerima pernyataan di atas secara harfiah, lalu apakah pernyataan berikut ini benar ?:

iptables adalah firewall bawaan untuk Desktop Ubuntu dan sepenuhnya dikonfigurasikan dan dijalankan serta dijalankan dengan aturan default yang cukup aman untuk pengguna desktop rata-rata.

Karena jika hal di atas benar, maka apa gunanya ufw kecuali untuk menyediakan antarmuka yang tidak rumit ke iptables, yang oleh semua akun rumit dan selanjutnya para ahli menyarankan Anda untuk menghindari mengkonfigurasi iptables secara langsung karena jika Anda tidak tahu persis apa Anda lakukan, Anda dapat dengan mudah membuat sistem Anda tidak aman atau tidak dapat digunakan, jika salah konfigurasi?

Berikut ini adalah pemindaian nmap sistem saya bersama dengan konfigurasi firewall saya, menampilkan port terbuka di sistem saya: masukkan deskripsi gambar di sini

Tolong bisakah seseorang memberikan jawaban berdasarkan fakta, ringkas, relevan dan tidak berpandangan :)

iptables firewall ufw Fabby
sumber
Paling mudah untuk menginstal gufwuntuk membantu pengaturan ini.
heynnema
Apa yang tidak jelas dalam hal ini? askubuntu.com/questions/178616/…
Pilot6
Anda tidak memerlukan firewall APA PUN jika Anda tidak menjalankan layanan jaringan. Jadi tidak masalah bagaimana dan apa yang dikonfigurasi.
Pilot6
1
Saya telah menambahkan jawaban saya. Pada titik ini saya harus mengingatkan Anda, bahwa ini adalah situs jawaban pertanyaan, bukan forum diskusi. Tolong jangan tambahkan komponen baru ke pertanyaan saat saya menjawab yang lama. Jika Anda terus melakukan ini, pertanyaan mungkin ditutup terlalu luas. Ajukan pertanyaan tindak lanjut baru dan lihat pertanyaan ini jika Anda perlu.
user68186
Saya kecewa melihat bahwa pertanyaan ini ditunda berdasarkan anggapan bahwa "jawaban atas pertanyaan ini cenderung hampir seluruhnya didasarkan pada pendapat, bukan fakta", bukankah itu hanya pendapat lain? Itulah alasan mengapa saya menyatakan ketika saya mengajukan pertanyaan untuk memberikan jawaban berdasarkan fakta non-pendapat, jadi apa yang Anda katakan adalah tidak ada jawaban yang pasti berdasarkan fakta di luar sana? Saya kira jawaban dari dokumentasi ubuntu resmi juga tidak berdasarkan fakta? Pertanyaan ini telah dilihat 630 jadi jelas ada banyak orang yang tertarik dengan jawabannya!

Jawaban:

14

Pertanyaannya sangat berubah

Jawaban Baru

Pertanyaan JUDUL

Sebagai pengguna Ubuntu desktop baru 18.04 LTS, apakah saya perlu menggunakan ufwfirewall atau apakah iptables memadai?

Sebagian besar pengguna di rumah Ubuntu tidak perlu atau menggunakan ufw. Keduanya ufwdan iptablesdiinstal secara default dan dikonfigurasikan untuk tidak melakukan apa pun. Mengapa tidak perlu, dijelaskan lebih terinci di bawah ini.

Pertanyaan Lain 1:

Jadi katakanlah saya menerima pernyataan di atas secara harfiah, lalu apakah pernyataan berikut ini benar ?:

iptables adalah firewall bawaan untuk Desktop Ubuntu dan sepenuhnya dikonfigurasikan dan menjalankan dan menjalankan kotak dengan aturan default yang cukup aman untuk pengguna desktop rata-rata yaitu deny (incoming), allow (outgoing).

Pernyataan itu salah

Pernyataan itu sebenarnya adalah dua pernyataan yang diikuti oleh dan . Jadi jika hanya satu bagian dari seluruh pernyataan itu salah, maka seluruh pernyataan itu salah. Mari kita jabarkan:

iptables adalah firewall bawaan untuk Ubuntu Desktop

Bagian di atas benar.

Sekarang mari kita lihat bagian lainnya:

iptables sepenuhnya dikonfigurasi dan berjalan keluar dari kotak dengan aturan default yang cukup aman untuk pengguna desktop rata-rata yaitu deny (incoming), allow (outgoing).

Bagian di atas salah.

Instalasi desktop Ubuntu default tidak memiliki port terbuka, dan tidak ada server yang berjalan. Oleh karena itu, walaupun sudah iptablesterpasang secara default di desktop Ubuntu itu tidak dikonfigurasikan untuk melakukan apa pun. Artinya, firewall default belum menetapkan aturan.

Dengan demikian, iptabledikonfigurasi untuk tidak melakukan apa pun ketika Anda menginstal Ubuntu.

Pertanyaan Lain 2:

Penjelasan untuk gambar nmap dan gufw (saya pikir inilah yang Anda inginkan)

Nmap Anda menunjukkan hanya dua port terbuka yang terbuka ke 127.0.0.1. Ini adalah alamat IP khusus yang merujuk ke komputer itu sendiri. Artinya, komputer itu sendiri dapat berbicara dengan dirinya sendiri menggunakan dua port terbuka ini.

The gufwscreenshot menunjukkan bahwa tidak ada aturan firewall setup. Namun, karena Anda menginstal gufwdan mengkliknya, ufwjuga diinstal (gufw menggunakan ufw) dan ufw aktif. Konfigurasi ufw default yang Anda sebutkan di atas, tolak (masuk) dan izinkan (keluar) berfungsi. Namun, aturan ini tidak berlaku untuk komputer itu sendiri, yaitu 127.0.0.1. Ini (tidak perlu tetapi) cukup untuk pengguna rumahan.

Jawaban Asli ==>

Rata-rata pengguna rumahan tidak membutuhkan firewall

Instalasi desktop Ubuntu default tidak memiliki port terbuka, dan tidak ada server yang berjalan. Karena itu jika Anda tidak menjalankan daemon server apa pun, seperti server ssh, Anda tidak memerlukan firewall apa pun. Dengan demikian, iptable dikonfigurasi untuk tidak melakukan apa pun ketika Anda menginstal Ubuntu. Lihat Apakah saya perlu mengaktifkan firewall? Saya hanya menggunakan Ubuntu untuk penggunaan desktop di rumah? untuk detail.

Jika Anda menjalankan server, Anda memerlukan firewall

Jika Anda bukan pengguna rumahan biasa, dan ingin melakukan beberapa hal lanjut, seperti mengakses desktop Anda dari jarak jauh dengan ssh atau menjalankan beberapa layanan lain, maka Anda memerlukan firewall. Konfigurasi firewall Anda akan bergantung pada server daemon mana yang Anda rencanakan untuk dijalankan.

Bahkan jika Anda tidak berencana untuk menjalankan server, Anda mungkin menginginkan firewall dengan konfigurasi default untuk menolak semua koneksi yang masuk dari semua port. Ini aman ganda, jika-kalau suatu hari Anda ingin menginstal dan menjalankan server tanpa menyadari apa yang Anda lakukan. Tanpa mengubah konfigurasi firewall default server tidak akan berfungsi seperti yang diharapkan. Anda akan menggaruk kepala selama berjam-jam sebelum mengingat bahwa Anda telah mengaktifkan firewall. Maka Anda mungkin ingin menghapus instalasi perangkat lunak server, karena mungkin tidak sepadan dengan risikonya. Atau Anda mungkin ingin mengkonfigurasi firewall agar server bekerja.

gufw adalah yang termudah

gufw adalah antarmuka GUI untuk ufw, yang pada gilirannya mengkonfigurasi iptables. Karena Anda telah menggunakan Linux sejak 1990-an, Anda mungkin merasa nyaman dengan baris perintah atau Anda mungkin lebih suka isyarat visual dari GUI. Jika Anda menyukai GUI, gunakan gufw. Sangat mudah untuk memahami dan mengkonfigurasi bahkan untuk pemula.

ufw gampang

Jika Anda menyukai baris perintah, ufwcukup mudah.

iptables tidak mudah

Alasan kami tidak ingin ada orang yang mengutak-atik iptables secara langsung, dan menggunakan ufwatau gufwkarena, sangat mudah untuk mengacaukan iptablesdan begitu Anda melakukannya, sistem dapat rusak sangat parah sehingga mungkin tidak dapat digunakan. The iptables-applyperintah telah beberapa built-in pengamanan untuk melindungi pengguna dari kesalahan mereka.

Semoga ini membantu

pengguna68186
sumber
OK terima kasih atas jawaban dan waktu Anda, maaf atas ketidaknyamanan yang terjadi, tetapi tampaknya saya harus menulis ulang pertanyaan saya untuk mengklarifikasi dan menyederhanakan pertanyaan dan detailnya
Terima kasih atas jawaban Anda yang telah direvisi dan sekali lagi permintaan maaf karena saya telah melakukan pengeditan lebih lanjut karena saya telah melihat semua komentar dan tautan ke pertanyaan lain, untuk beberapa waktu dan saya ingin mencoba memasukkan semua poin yang perlu saya buat mengenai mengapa yang lain jawaban karena satu dan lain alasan tidak cukup menjawab pertanyaan saya dan itu adalah edit terakhir saya.
1
Hanya ingin menunjukkan bahwa iptables memiliki mekanisme untuk mencegah situasi penguncian yang Anda jelaskan. Anda menggunakan built-in iptables-apply- cara yang lebih aman untuk memperbarui iptables dari jarak jauh
jchook
1
@ jchook Terima kasih telah menyebutkan ini. Semakin banyak orang membaca dan mengomentari jawaban saya, saya bisa belajar lebih banyak hal baru. : D
user68186
1

Saya memberikan jawaban ini sendiri, karena saya tidak diyakinkan oleh orang-orang yang bersikeras Anda tidak memerlukan firewall, Anda tidak memiliki port terbuka ... dan saya tidak akan menandainya diterima meskipun saya menerimanya sendiri, saya akan menyerahkannya kepada masyarakat untuk memilih apakah ini harus menjadi jawaban.

Semua yang akan saya katakan kepada siapa saja yang menggunakan Ubuntu Desktop yang menemukan pertanyaan ini, jika Anda tidak yakin tentang firewall, karena seperti saya, Anda telah melihat sendiri begitu banyak pandangan yang bertentangan tentang hal ini, maka saran saya lanjutkan saja dan gunakan firewall, saya sarankan ufw dan jika Anda ingin UI maka gunakan Gufw, karena ketika semua dikatakan dan dilakukan, bahkan jika semua itu memberi Anda sedikit pikiran, Anda tidak dapat membahayakan dalam menggunakannya.

Saya akhirnya beralih ke dokumentasi resmi Ubuntu untuk klarifikasi dan menemukan artikel berikut dan setelah pengalaman saya mencoba menemukan jawaban, saya akan merekomendasikan Anda membaca artikel ini karena sangat masuk akal dan menjawab pertanyaan dan sub pertanyaan saya dan saya pikir saya saya akan baik-baik saja sekarang;)

https://help.ubuntu.com/community/DoINeedAFirewall

Berikut ini kutipan dari artikel di atas:

Saya tidak punya port terbuka, jadi saya tidak perlu firewall, kan?

Yah, tidak juga. Ini adalah kesalahpahaman umum. Pertama, mari kita pahami apa sebenarnya port terbuka itu. Port terbuka adalah port yang memiliki layanan (seperti SSH) yang terikat dan mendengarkannya. Ketika klien SSH mencoba untuk berkomunikasi dengan server SSH, ia akan mengirim paket TCP SYN ke port SSH (22 secara default), dan server akan MENGAKUInya, sehingga menciptakan koneksi baru. Kesalahpahaman tentang bagaimana firewall dapat membantu Anda memulai di sini. Beberapa pengguna menganggap bahwa karena Anda tidak menjalankan layanan, koneksi tidak dapat dibuat. Jadi Anda tidak perlu firewall. Jika ini adalah satu-satunya hal yang perlu Anda pikirkan, ini akan sangat diterima.Namun, ini hanya sebagian dari gambar. Ada dua faktor tambahan yang ikut berperan di sana. Pertama, jika Anda tidak menggunakan firewall dengan dasar bahwa Anda tidak memiliki port terbuka, Anda melumpuhkan keamanan Anda sendiri karena jika aplikasi yang Anda miliki dieksploitasi dan eksekusi kode terjadi soket baru dapat dibuat dan terikat ke arbitrer Pelabuhan. Faktor penting lainnya di sini adalah bahwa jika Anda tidak menggunakan firewall Anda juga tidak memiliki kontrol lalu lintas keluar sama sekali. Setelah aplikasi yang dieksploitasi, alih-alih soket baru dibuat dan port terikat, alternatif lain yang dapat digunakan penyerang adalah membuat koneksi balik kembali ke mesin jahat. Tanpa aturan firewall di tempat koneksi ini akan melalui tanpa hambatan.


sumber
1

iptables adalah bagian dari tumpukan jaringan TCP / IP. Jika Anda memiliki * Nix, Anda memiliki IPTABLES. Jika Anda berada di jaringan IP, firewall diaktifkan atau dinonaktifkan, Anda menggunakan iptables.

ufw adalah aplikasi * Nix di atas (artinya menggunakan iptables ). Ini adalah konsol berbasis shell tetapi tidak begitu sulit untuk digunakan. Itu bisa dihidupkan / dimatikan. Anda tidak dapat menonaktifkan iptables karena harus ada rute default untuk Internet (0.0.0.0), loopback lokal (127.0.0.0), localhost (192.168.0.0) dan pengalamatan otomatis (169.254.0.0). Seperti yang Anda lihat, iptables dimasukkan ke dalam tumpukan jaringan. Anda tidak dapat menghindarinya bahkan jika Anda menginginkannya.

ufw dapat memodifikasi entri iptables dalam matriks dari kenyamanan konsol shell. Dimungkinkan untuk mengedit rute IP iptables dengan tangan tetapi saya tidak akan merekomendasikannya karena itu rawan kesalahan. Pikirkan ufw sebagai alat untuk mengedit tabel rute IP.

Nyaman seperti saya mungkin dengan konsol shell, saya masih merekomendasikan kesederhanaan gufw yang merupakan "pembungkus" grafis untuk ufw yang duduk di atas iptables.

Saya suka kesederhanaannya terutama menambahkan profil firewall aplikasi seperti server media atau aplikasi bittorrent. Apa pun yang membuat hidup saya lebih mudah menghasilkan pujian saya.

Jadi untuk menjawab pertanyaan Anda yang diubah, IPTABLES tidak akan melindungi jaringan Anda jika dibiarkan sendiri. Ini tidak dirancang untuk memblokir, memfilter, menonaktifkan atau mengizinkan port tertentu yang melintasi tabel rute IP. Gunakan ufw + gufw jika Anda hanya ingin mengizinkan / memblokir port tertentu atau rentang port yang pada gilirannya secara dinamis mengedit tabel ip route.

kuantanglement
sumber
Selamat Datang di Tanya Ubuntu! ;-) Meskipun jawaban Anda 100% benar, itu mungkin juga menjadi 100% tidak berguna jika tautan itu dipindahkan, diubah, digabung menjadi yang lain atau situs utama menghilang ... :-( Oleh karena itu, harap edit jawaban Anda, dan salin langkah-langkah yang relevan dari tautan ke jawaban Anda, dengan demikian menjamin jawaban Anda 100% seumur hidup dari situs ini! ;-) Anda selalu dapat meninggalkan tautan di bagian bawah jawaban Anda sebagai sumber untuk materi Anda ...
Fabby
Meskipun tautan ini dapat menjawab pertanyaan, lebih baik untuk memasukkan bagian-bagian penting dari jawaban di sini dan memberikan tautan untuk referensi. Jawaban hanya tautan dapat menjadi tidak valid jika halaman tertaut berubah.
Mitch