Quels sont les risques de ne PAS utiliser un pare-feu (ordinateur domestique)?

51

Puisqu'un mot de passe est requis pour être superutilisateur (pour installer et modifier des programmes), quels sont les risques de ne pas utiliser un pare-feu sous Ubuntu? Plus particulièrement si j'utilise un routeur NAT?

Riimzzai
la source

Réponses:

40

Ça dépend. La plupart des gens utilisent un routeur entre leur ordinateur de bureau et Internet et, par défaut, il n’existe aucun port ouvert important. Par conséquent, dans la grande majorité des cas, un pare-feu ajoute très peu, voire rien.

Cela peut aider si vous installez par inadvertance un serveur, tel que VNC ou SSH.

Une meilleure question est de savoir pour quoi voulez-vous utiliser un pare-feu?

Voir:

https://wiki.ubuntu.com/SecurityTeam/FAQ#UFW

https://wiki.ubuntu.com/SecurityTeam/Policies#No_Open_Ports

https://help.ubuntu.com/community/UFW

Si vous voulez un outil graphique pour votre pare-feu, utilisez gufw

entrez la description de l'image ici

Panthère
la source
Merci pour votre réponse. En fait, j’utilise déjà gufw avec port ouvert pour mon client torrent. Et je dois dire que c’est plus une habitude Windows, car utiliser Windows sans pare-feu est assez suicidaire.
riimzzai
Oui, Windows possède un certain nombre de ports ouverts documentés et non documentés, bien que cela puisse être en train de s’améliorer (n’a utilisé aucune version de Windows supérieure à XP).
Panthère
Même sous Windows, le NAT protège contre plus de menaces que la plupart des gens ne le réalisent. Mais je ne vois tout simplement pas de bonne raison de NE PAS utiliser de pare-feu.
davidcl
1
@davidcl - Veillez simplement à ne pas activer UPnP sur votre routeur;) sinon, +1 au routeur (fourni avec un pare-feu / NAT).
Panthère
11

On dirait que la question concerne un pare-feu basé sur un hôte sur un PC Ubuntu.

SI la machine ne quitte jamais le réseau basé sur le NAT (c’est-à-dire que ce n’est pas un ordinateur portable que vous apportez aux cafés et que vous utilisez sur des réseaux wifi gratuits),

ET il n’ya pas de ports ouverts sur votre routeur qui pourraient être mappés sur votre machine Ubuntu,

ET votre routeur ne dispose d'aucune fonctionnalité qui vous ouvre utilement des ports en fonction de ce qui se passe sur votre réseau (UPnP)

ET vous n’aurez aucun autre périphérique sur votre réseau local susceptible d’être compromis et d’attaquer votre système Ubuntu,

ALORS, votre système est probablement sécurisé sans pare-feu basé sur l’hôte.

Cependant, si certaines de ces choses ne sont pas vraies, ou pourraient devenir fausses à l'avenir, un pare-feu basé sur l'hôte est une très bonne idée. Compte tenu des avantages potentiels et des inconvénients limités, pourquoi ne pas l'activer?

DavidCl
la source
9

Avec un NAT, si vous n'avez pas de redirection de port sur votre machine, celle-ci n'est pas accessible depuis Internet à moins que vous n'ayez explicitement ouvert une connexion (avec vnc ou teamviewer par exemple). Je pense donc qu'il n'y a pas de problème à ne pas utiliser de pare-feu . L'inquiétude unique pourrait provenir d'un accès interne (LAN), mais généralement pas le cas sur le réseau local.

laurent
la source
Pas vrai; lire sur STUN traversal. Il existe de nombreuses failles liées à STUN qui permettent aux services externes d'ouvrir des ports aux machines à l'intérieur du pare-feu.
moelleux
Stun Traversal est destiné aux clients VoIP qui traversent le NAT / pare-feu. Par conséquent, si vous l'activez (généralement inutile), vous ouvrez quand même la machine pour ces ports et vous devez bien sûr prendre les mesures appropriées (comme ne pas activer UPnP sur le routeur). exemple).
laurent
La traversée STUN n'est pas un 'pour' rien, c'est un artefact de la façon dont fonctionne le NAT qui a été exploité dans le but d'améliorer les protocoles réseau peer-to-peer tels que SIP et autres. Il peut être utilisé pour de bon. Il peut également être utilisé pour le mal.
moelleux
2

Pas du tout.

La fonction d'un pare-feu est de bloquer l'accès aux services qui le permettraient autrement. Ubuntu n'a pas de service d'écoute par défaut, il n'y a donc rien à bloquer. De plus, puisque vous êtes derrière un routeur NAT, vous avez déjà un pare-feu.

psusi
la source
2
Ce n'est pas tout à fait vrai, car certains routeurs ont UPnP et que des personnes activent par inadvertance le partage de bureau (VNC). Cela conduit à la fissure la plus commune que j'ai vue sur Ubuntu. Bien sûr, ils peuvent très bien ouvrir le port de VNC sans réfléchir ... Je pense que notre position devrait être l’éducation plutôt que de faire des généralisations et des revendications absolues.
Panther
@ bodhi.zazen, je ne vois pas comment vous pouvez l'activer par accident, et si vous vous en donniez la peine, j'imagine que vous voulez que cela fonctionne, un pare-feu serait donc contre-productif. Par défaut, il vous demande également une autorisation lorsque quelqu'un se connecte. Ainsi, même si vous l'avez laissé activé et que vous n'avez pas défini de mot de passe, il ne laissera personne entrer sans votre approbation.
Psusi
Voici un exemple montrant comment cela peut se produire par accident: miket5au.blogspot.com/2011/03/beware-vnc-and-upnp.html Parfois, vous souhaitez partager le partage de bureau sur le réseau local, sans pour autant l'activer. monde extérieur.
davidcl
Cela dit, votre pare-feu basé sur l'hôte ne vous aidera probablement pas dans ce scénario.
davidcl
@davidcl, en effet, le pare-feu basé sur l'hôte le bloquerait également sur le réseau local. Et à la première ligne de cet article, il admet que "j'étais insouciant". Si vous êtes assez imprudent pour laisser la porte d'entrée ouverte (activer vnc sans mot de passe ni invite), vous pouvez également être assez imprudent pour laisser la porte ouverte (pare-feu). Avoir la porte ou pas ne fait aucune différence si vous ne laissez pas la porte d'entrée ouverte.
Psusi
1

Je pense que l'une des fonctionnalités les plus utilisées du pare-feu est d'empêcher les programmes "fissurés" de vérifier la licence sur Internet. Si l'application "fissurée" n'a pas besoin d'être mise à jour ou n'utilise pas les fonctionnalités "en ligne", vous pouvez l'empêcher d'accéder à Internet en configurant une règle de pare-feu spécifique. Triste mais vrai.

Séraphin
la source
0

Dans des cas généraux, être des ordinateurs publics ou des ordinateurs sans connexion sécurisée, tels que ceux détournant plus ou moins les connexions Internet d’autres utilisateurs situés dans des ports adjacents (c’est-à-dire des maisons / appartements à côté), alors cela seul - je pense - donnerait un exemple de: comment un pare-feu (étant la discrétion) pourrait être la meilleure partie de la valeur, pour ainsi dire. De plus, ils empêchent ceux qui vous entourent de puiser dans vos informations, que ce soit personnel ou simplement quelque chose de mauvais avec lequel vous pourriez être foutu. Le point est la vie privée.

Quand je dis général, encore une fois, je parle de lieux comme des lieux publics. Des bibliothèques où tout un chacun avant d’utiliser des supports portables tels que des périphériques USB, en réalité des disques - même si vous deviez faire quelque chose de téméraire, comme emporter votre propre disque dur externe ailleurs et le brancher, rien ne garantit que le port suivant est Protégé par des virus ou des logiciels espions, tout cela pourrait s'accrocher à votre ordinateur portable / de bureau d'origine et se retrouver ainsi à la maison.

Ainsi, bien que dans beaucoup de cas, un pare-feu puisse ne pas être extrêmement utile, il est certainement utile dans certains cas, même s'ils sont isolés.


la source
0

Entre temps, j'ai trouvé des considérations intéressantes sur le pare-feu .

L'article explique la notion d '"écoute téléphonique", de "port ouvert" et de "routeur NAT", ce qui peut être mal interprété pour conclure que: avant de faire quelque chose qui affecte le système (considérations éducatives)

Riimzzai
la source