Saya pikir pertanyaan ini terlalu luas untuk mendapatkan jawaban yang objektif dan benar.
Stefano Palazzo
Saya berasumsi maksud Anda firewall berbasis host, bukan firewall mandiri. Tetapi saya setuju dengan Stefano bahwa ini adalah topik yang terlalu luas untuk jawaban yang jelas. Banyak hal tergantung pada konteks - di mana sistem Anda, layanan apa yang Anda jalankan, kontrol keamanan apa yang ada, berapa nilai waktu kerja Anda (untuk penolakan layanan) dan data (keuangan, kepemilikan, tak tergantikan), dll. Prinsip umum untuk keamanan yang berhati-hati adalah menggunakan banyak perlindungan. Jika tidak menghalangi aktivitas Anda sehari-hari, menambahkan lapisan keamanan tambahan memiliki beberapa kelemahan, dan kemungkinan manfaatnya.
belacqua
Juga sudo nmap localhost,. Apakah Anda memiliki port terbuka sekarang? (Perkiraan kasar.)
belacqua
sudo nmap localhostperintah ini tidak berfungsi
TheXed
1
@TheX itu karena namp tidak diinstal?
theTuxRacer
Jawaban:
7
Ya, lebih dari sebelumnya. Internet tidak banyak berubah, sejak dulu. Jadi firewall masih menjadi kebutuhan akhir-akhir ini. Firewall seperti gufw, dengan aturan dasar berfungsi. Gunakan iptables, jika Anda seorang geek CLI;)
dangit, tolong beri komentar mengapa Anda downvoted.
theTuxRacer
1
memilih ++; echo "Use iptables" - I assume I\'m a real CLI geek then :p;
Lekensteyn
1
Jawaban yang salah.
psusi
1
@psusi Apakah Anda mengatakan bahwa ini tidak benar karena Anda tidak setuju dengan premis bahwa menggunakan firewall berbasis host adalah ide yang bagus, atau karena Anda tidak setuju dengan penilaian ufw / iptables?
belacqua
1
@ jgbelacqua itu tidak benar karena firewall berbasis host untuk sistem desktop Ubuntu tidak ada gunanya, sekarang tidak diperlukan lebih dari sebelumnya. Pertanyaan yang dikaitkan dengan Manish memiliki penjelasan yang sangat bagus mengapa.
psusi
5
Silakan periksa balasan ini untuk diskusi lebih lanjut tentang Firewall di Ubuntu.
Tidak diragukan lagi, itu hanya membutuhkan pengintai oportunistik tunggal untuk menyebabkan masalah tanpa akhir. Kebingungan terletak pada bagaimana Anda memastikan Anda berada di belakang firewall.
Ini dibahas secara lebih rinci di sini: Apakah ada firewall yang diinstal sebelumnya atau otomatis? tetapi singkatnya jika Anda berada di jaringan rumah, di belakang router nirkabel, maka router Anda biasanya akan melakukan tugas firewall. Jelas itu ide yang baik untuk memeriksa dengan pabrikan sebelum Anda bergantung pada apa pun (ini juga tergantung pada konfigurasi router).
GUFW bukan, dengan sendirinya, firewall, hanya GUI untuk firewall default ubuntu (UFW). UFW dimatikan secara default. Secara umum, disarankan untuk hanya menjalankan satu firewall, untuk menghindari potensi konflik, jadi asalkan Anda berada di jaringan rumah tepercaya (dan Anda yakin router Anda memberikan perlindungan yang memadai), id sarankan untuk mematikan firewall perangkat lunak Anda (UFW).
Jelas, nyalakan kembali ketika Anda berada di jaringan publik / tidak tepercaya.
Tidak ada salahnya menjalankan firewall perangkat lunak pribadi ... itu umumnya ide yang baik dan menawarkan 'pertahanan mendalam' terhadap mesin berperilaku buruk di jaringan lokal Anda.
Nerdfest
Saya setuju, selama firewall dikonfigurasi dengan cara yang sama. Jumlah jam yang dihabiskan untuk mendiagnosis masalah jaringan, hanya untuk menemukan dua firewall tidak setuju atas apa yang mereka
ijinkan
1
Di dalam LAN saya: tidak ada firewall. Menghadapi internet: tentu saja firewall. Saya firewall berdasarkan pada bagaimana saya mempercayai komputer yang saya hubungkan.
djeikyb
2
Saya akan merekomendasikan untuk menginstal firewall. Sesuatu selalu lebih baik daripada tidak sama sekali. bukan? Ubuntu, Secara default dilengkapi dengan firewall ' ufw '. gufw (Disebutkan dalam pertanyaan) tidak lain adalah GUI 'ufw'.
Sekedar catatan: iptables bukan firewall. Netfilter adalah, yang merupakan bagian dari kernel linux. iptables adalah utilitas baris perintah saja yang digunakan untuk memodifikasi / query netfilter ruleset.
LGB
Jawaban salah yang lain.
psusi
@LGB dari wikipedia: iptables adalah program aplikasi ruang pengguna yang memungkinkan administrator sistem untuk mengkonfigurasi tabel yang disediakan oleh firewall kernel Linux (diimplementasikan sebagai modul Netfilter yang berbeda) dan rantai serta aturan yang disimpannya. Sekarang saya bingung.
theTuxRacer
@aneesheep Saya akan mengatakan ini menyesatkan, karena uwfmerupakan front-end untuk iptables(yang merupakan antarmuka ke netfilter). Anda tidak dapat menginstal ufw tanpa iptables di tempatnya.
belacqua
Terima kasih teman-teman karena telah menuntun saya ke arah yang benar. Saya telah menghapus bagian iptables dari jawaban saya.
aneeshep
1
Ubuntu harus dilengkapi dengan firewall default yang diaktifkan dengan alat GUI juga. Saya terkejut itu tidak datang dengan itu. Saya tahu iptables sudah ada di sana tetapi tidak ada aturan yang dimuat. Anda harus melakukannya secara manual atau menginstal sesuatu seperti Firestarter untuk menjalankan dasar-dasar untuk Anda.
Saya sangat terkejut suatu hari ketika saya menemukan bahwa ISP saya memberi saya IP publik saya sendiri setiap kali saya mengaktifkan DSL saya. Bayangkan berapa banyak klik, upaya masuk ssh, pindaian lain, dan eksploitasi MS (ya seseorang menjalankan itu pada IP ISP saya) mesin saya mendapatkan seluruh waktu. LOL! :)
Dan mesin Anda dengan senang hati mengabaikan semua itu tanpa perlu firewall.
psusi
Mesin tidak mengabaikan, jika ada layanan mendengarkan pada port tertentu. Bahkan, saya berani mengatakan mesin sangat ingin menerima koneksi.
theTuxRacer
1
@Kaustubh P jika ada layanan yang mendengarkan pada port, maka Anda INGIN itu untuk menerima koneksi, dan akan membuka port itu di firewall. Jika tidak ada, maka ia menolak koneksi ke port itu.
psusi
1
Menurut definisi firewall memblokir komunikasi yang jika tidak akan diizinkan. Mesin desktop Ubuntu tidak memiliki layanan yang diinstal secara default yang akan menerima koneksi, jadi tidak ada firewall yang memblokir akses. Karena itu, itu sama sekali tidak berguna.
Alasan firewall dianggap perlu pada Windows adalah karena ia hadir dengan beberapa layanan mati otak yang diinstal secara default yang menerima koneksi dan memungkinkan pihak lain untuk melakukan hal-hal dengan komputer Anda yang tidak Anda inginkan.
"Sama sekali tidak berguna" - salah. Firewall menambahkan lapisan pertahanan tambahan. Anda juga memberikan informasi yang salah, instalasi Ubuntu default memiliki layanan yang terbuka untuk umum. Sebagai contoh, ia menyediakan CUPS (Common Unix Printing System) mendengarkan pada port UDP 631.
Lekensteyn
1
Jika Anda menginstal layanan baru, yang menggunakan port lain, mereka akan dibiarkan terbuka, kecuali jika Anda menutupnya, atau mengaturnya dengan firewall .
theTuxRacer
OP tidak menyebutkan desktop atau server. Bahkan pada sistem desktop, seperti yang dikatakan @Kaustubh, tidak ada jaminan bahwa, begitu Anda berangkat dari pengaturan awal, port tidak akan terbuka. Dan terkadang, port secara tidak sengaja dibiarkan terbuka dalam pembaruan.
belacqua
@Lekensteyn: Tidak salah. Saya sarankan Anda membaca pertanyaan lain yang dikaitkan dengan Manish di mana juga dijelaskan dengan jelas. Ketika port sudah ditutup, program yang menutup port tidak berguna. CUPS juga hanya menerima koneksi dari localhost secara default.
Dengan diperkenalkannya IPv6 memiliki firewall akan menjadi lebih kritis. Tidak seperti IPv4 di mana sebagian besar sistem relatif diamankan pada rentang IP pribadi, perangkat IPv6 cenderung dapat diakses sepenuhnya.
Memiliki firewall dengan kebijakan penolakan standar akan lebih penting lagi. Mencari perangkat yang akan dipindai akan lebih sulit karena jarangnya penggunaan alamat. Menjaga beberapa protokol seperti SMB di tautan alamat lokal akan membantu, tetapi tidak akan menjadi peluru ajaib.
Yang mengatakan secara default menginstal firewall aktif hanyalah lapisan keamanan tambahan. Banyak aplikasi yang membuka port akan membutuhkan port mereka untuk dibuka agar dapat berfungsi. Cukup bagus semua memiliki metode tambahan untuk mengamankan mereka. Aktifkan semua layer yang sesuai sesuai kebutuhan.
EDIT: Ada banyak komentar tentang membiarkan akses kontrol aplikasi dan alasan lain untuk tidak memiliki firewall. Sayangnya, banyak aplikasi tidak memiliki kontrol akses. Yang lain mendengarkan semua alamat, jadi firewall menjadi satu-satunya cara membatasi akses dari antarmuka tertentu.
Seperti yang saya sebutkan di atas, firewall hanya satu lapisan keamanan. Aplikasi aman adalah hal lain, tetapi Anda tidak dapat dengan mudah memastikan bahwa pengguna Anda hanya menjalankan aplikasi yang aman. Firewall adalah salah satu cara melindungi pengguna Anda.
Tidak ada langkah-langkah keamanan yang masuk akal yang benar-benar aman. Sementara banyak pengguna mungkin tidak tertarik atau cukup terdidik untuk memahami firewall sepenuhnya, itu bukan alasan untuk tidak menggunakan firewall, atau bagi mereka tidak memiliki firewall.
Kebijakan default TANPA firewall adalah menolak koneksi. Anda tidak perlu firewall untuk melakukan itu; Anda menggunakan firewall untuk mengubah kebijakan KEMBALI untuk menolak ketika Anda sudah menginstal layanan yang mencoba untuk menerima. Tentu saja, jika Anda ingin melakukan itu, maka jangan menginstal layanan untuk menerima koneksi di tempat pertama.
psusi
1
@psusi. Menghapus instalasi layanan adalah solusi ya / tidak. Menggunakan firewall memungkinkan kontrol berbutir halus.
BillThor
itu memang memungkinkan kontrol berbutir halus, tetapi layanan itu sendiri biasanya memungkinkan kontrol berbutir lebih halus. Ketika Anda menginstal layanan, Anda mengkonfigurasinya untuk menerima jenis koneksi yang Anda inginkan daripada menggunakan alat terpisah untuk membatasi itu. Layanan juga memiliki default waras sehingga ketika Anda menginstalnya, mereka hanya menerima koneksi dari host lokal, atau jaringan lokal, jadi sekali lagi, tidak perlu firewall.
psusi
@psusi Layanan yang diberikan seringkali memiliki kontrol berbutir halus. Tetapi mereka tidak selalu login ketika mereka menjatuhkan koneksi secara konsisten. Firewall dapat menyediakan pencatatan yang konsisten, meskipun memindai log lain bermanfaat. Firewall juga dapat mencatat probe layanan yang hilang. Ini dapat memungkinkan pemblokiran host asal secara proaktif.
BillThor
rata-rata pengguna desktop Anda tidak tahu atau tidak peduli tentang hal semacam itu. Tentu saja ada beberapa hal yang dapat Anda lakukan dengan ipchains yang tidak dapat Anda lakukan dengan daemon yang diberikan, tetapi tidak ada yang rata-rata pengguna desktop anggap "perlu".
psusi
0
Setiap orang benar, hati-hati dan mungkin menggunakan semacam perlindungan, itu dapat membuat beberapa kerumitan tergantung pada apa yang Anda lakukan, tetapi kadang-kadang Anda tidak melihat seberapa banyak kerumitan ekstra itu benar-benar melindungi Anda.
Salah satu cara Anda dapat menambahkan beberapa perlindungan ekstra yang tidak terlalu mengganggu sama sekali adalah dengan melihat ke OpenDNS , pada dasarnya hanya menambahkan beberapa kontrol yang bagus dan fitur keamanan ekstra untuk penggunaan internet dasar.
sudo nmap localhost,. Apakah Anda memiliki port terbuka sekarang? (Perkiraan kasar.)sudo nmap localhostperintah ini tidak berfungsiJawaban:
Ya, lebih dari sebelumnya. Internet tidak banyak berubah, sejak dulu. Jadi firewall masih menjadi kebutuhan akhir-akhir ini. Firewall seperti gufw, dengan aturan dasar berfungsi. Gunakan iptables, jika Anda seorang geek CLI;)
sumber
echo "Use iptables" - I assume I\'m a real CLI geek then :p;Silakan periksa balasan ini untuk diskusi lebih lanjut tentang Firewall di Ubuntu.
Mengapa firewall dinonaktifkan secara default?
sumber
Tidak diragukan lagi, itu hanya membutuhkan pengintai oportunistik tunggal untuk menyebabkan masalah tanpa akhir. Kebingungan terletak pada bagaimana Anda memastikan Anda berada di belakang firewall.
Ini dibahas secara lebih rinci di sini: Apakah ada firewall yang diinstal sebelumnya atau otomatis? tetapi singkatnya jika Anda berada di jaringan rumah, di belakang router nirkabel, maka router Anda biasanya akan melakukan tugas firewall. Jelas itu ide yang baik untuk memeriksa dengan pabrikan sebelum Anda bergantung pada apa pun (ini juga tergantung pada konfigurasi router).
GUFW bukan, dengan sendirinya, firewall, hanya GUI untuk firewall default ubuntu (UFW). UFW dimatikan secara default. Secara umum, disarankan untuk hanya menjalankan satu firewall, untuk menghindari potensi konflik, jadi asalkan Anda berada di jaringan rumah tepercaya (dan Anda yakin router Anda memberikan perlindungan yang memadai), id sarankan untuk mematikan firewall perangkat lunak Anda (UFW).
Jelas, nyalakan kembali ketika Anda berada di jaringan publik / tidak tepercaya.
sumber
Saya akan merekomendasikan untuk menginstal firewall. Sesuatu selalu lebih baik daripada tidak sama sekali. bukan? Ubuntu, Secara default dilengkapi dengan firewall ' ufw '. gufw (Disebutkan dalam pertanyaan) tidak lain adalah GUI 'ufw'.
Semoga ini membantu.
sumber
uwfmerupakan front-end untukiptables(yang merupakan antarmuka ke netfilter). Anda tidak dapat menginstal ufw tanpa iptables di tempatnya.Ubuntu harus dilengkapi dengan firewall default yang diaktifkan dengan alat GUI juga. Saya terkejut itu tidak datang dengan itu. Saya tahu iptables sudah ada di sana tetapi tidak ada aturan yang dimuat. Anda harus melakukannya secara manual atau menginstal sesuatu seperti Firestarter untuk menjalankan dasar-dasar untuk Anda.
Saya sangat terkejut suatu hari ketika saya menemukan bahwa ISP saya memberi saya IP publik saya sendiri setiap kali saya mengaktifkan DSL saya. Bayangkan berapa banyak klik, upaya masuk ssh, pindaian lain, dan eksploitasi MS (ya seseorang menjalankan itu pada IP ISP saya) mesin saya mendapatkan seluruh waktu. LOL! :)
sumber
Menurut definisi firewall memblokir komunikasi yang jika tidak akan diizinkan. Mesin desktop Ubuntu tidak memiliki layanan yang diinstal secara default yang akan menerima koneksi, jadi tidak ada firewall yang memblokir akses. Karena itu, itu sama sekali tidak berguna.
Alasan firewall dianggap perlu pada Windows adalah karena ia hadir dengan beberapa layanan mati otak yang diinstal secara default yang menerima koneksi dan memungkinkan pihak lain untuk melakukan hal-hal dengan komputer Anda yang tidak Anda inginkan.
sumber
Dengan diperkenalkannya IPv6 memiliki firewall akan menjadi lebih kritis. Tidak seperti IPv4 di mana sebagian besar sistem relatif diamankan pada rentang IP pribadi, perangkat IPv6 cenderung dapat diakses sepenuhnya.
Memiliki firewall dengan kebijakan penolakan standar akan lebih penting lagi. Mencari perangkat yang akan dipindai akan lebih sulit karena jarangnya penggunaan alamat. Menjaga beberapa protokol seperti SMB di tautan alamat lokal akan membantu, tetapi tidak akan menjadi peluru ajaib.
Yang mengatakan secara default menginstal firewall aktif hanyalah lapisan keamanan tambahan. Banyak aplikasi yang membuka port akan membutuhkan port mereka untuk dibuka agar dapat berfungsi. Cukup bagus semua memiliki metode tambahan untuk mengamankan mereka. Aktifkan semua layer yang sesuai sesuai kebutuhan.
EDIT: Ada banyak komentar tentang membiarkan akses kontrol aplikasi dan alasan lain untuk tidak memiliki firewall. Sayangnya, banyak aplikasi tidak memiliki kontrol akses. Yang lain mendengarkan semua alamat, jadi firewall menjadi satu-satunya cara membatasi akses dari antarmuka tertentu.
Seperti yang saya sebutkan di atas, firewall hanya satu lapisan keamanan. Aplikasi aman adalah hal lain, tetapi Anda tidak dapat dengan mudah memastikan bahwa pengguna Anda hanya menjalankan aplikasi yang aman. Firewall adalah salah satu cara melindungi pengguna Anda.
Tidak ada langkah-langkah keamanan yang masuk akal yang benar-benar aman. Sementara banyak pengguna mungkin tidak tertarik atau cukup terdidik untuk memahami firewall sepenuhnya, itu bukan alasan untuk tidak menggunakan firewall, atau bagi mereka tidak memiliki firewall.
sumber
Setiap orang benar, hati-hati dan mungkin menggunakan semacam perlindungan, itu dapat membuat beberapa kerumitan tergantung pada apa yang Anda lakukan, tetapi kadang-kadang Anda tidak melihat seberapa banyak kerumitan ekstra itu benar-benar melindungi Anda.
Salah satu cara Anda dapat menambahkan beberapa perlindungan ekstra yang tidak terlalu mengganggu sama sekali adalah dengan melihat ke OpenDNS , pada dasarnya hanya menambahkan beberapa kontrol yang bagus dan fitur keamanan ekstra untuk penggunaan internet dasar.
sumber