Je pense que cette question est beaucoup trop large pour obtenir une réponse objective et correcte.
Stefano Palazzo
Je suppose que vous voulez dire un pare-feu basé sur l'hôte, pas un pare-feu autonome. Mais je suis d'accord avec Stefano que c'est un sujet trop large pour une réponse claire. Cela dépend beaucoup du contexte - où se trouve votre système, quels services vous exécutez, quels autres contrôles de sécurité sont en place, quelle est la valeur de votre disponibilité (pour déni de service) et de vos données (financières, propriétaires, irremplaçables), etc. Le principe général d'une sécurité prudente est d'utiliser plusieurs protections. Si cela ne gêne pas votre activité quotidienne, l'ajout d'une couche de sécurité supplémentaire présente peu d'inconvénients et d'avantages probables.
belacqua
Aussi sudo nmap localhost. Avez-vous des ports ouverts maintenant? (Une estimation approximative.)
belacqua
sudo nmap localhostcette commande ne fonctionne pas
TheXed
1
@TheX c'est parce que namp n'est pas installé?
theTuxRacer
Réponses:
7
Oui, plus que jamais. Internet n'a pas beaucoup changé depuis les temps anciens. Un pare-feu est donc toujours une nécessité de nos jours. Un pare-feu comme gufw, avec des règles de base fonctionne. Utilisez iptables, si vous êtes un geek CLI;)
vote ++; echo "Use iptables" - I assume I\'m a real CLI geek then :p;
Lekensteyn
1
Réponse incorrecte.
psusi
1
@psusi Êtes-vous en train de dire que cela est incorrect parce que vous n'êtes pas d'accord avec l'idée que l'utilisation d'un pare-feu basé sur l'hôte est une bonne idée, ou parce que vous n'êtes pas d'accord avec les évaluations ufw / iptables?
belacqua
1
@jgbelacqua c'est incorrect car un pare-feu basé sur l'hôte pour un système de bureau Ubuntu est inutile, il n'est plus nécessaire que jamais. La question liée à Manish a de très bonnes explications sur pourquoi.
psusi
5
Veuillez vérifier cette réponse pour une discussion ultérieure sur les pare-feu sur Ubuntu.
Sans aucun doute, il suffit d'un seul espion opportuniste pour ne pas causer de problèmes. La confusion réside dans la façon dont vous vous assurez d'être derrière un pare-feu.
Ceci est discuté plus en détail ici: Existe - t-il un pare-feu préinstallé ou automatique? mais en bref, si vous êtes sur un réseau domestique, derrière un routeur sans fil, votre routeur effectuera normalement des tâches de pare-feu. Évidemment, c'est une bonne idée de vérifier auprès du fabricant avant de vous fier à quoi que ce soit (cela dépend également de la configuration du routeur).
GUFW n'est pas, en soi, un pare-feu, juste une interface graphique pour le pare-feu par défaut d'ubuntu (UFW). UFW est désactivé par défaut. D'une manière générale, il est conseillé de ne lancer qu'un seul pare-feu, pour éviter les conflits potentiels, donc à condition que vous soyez sur un réseau domestique de confiance (et que vous êtes certain que votre routeur offre une protection adéquate), je vous conseille de désactiver votre pare-feu logiciel (UFW).
Évidemment, réactivez-le lorsque vous êtes sur un réseau public / non fiable.
Il n'y a aucun mal à utiliser un pare-feu logiciel personnel ... c'est généralement une bonne idée et offrez une `` défense en profondeur '' contre toutes les machines mal comportées sur votre réseau local.
Nerdfest
Je suis d'accord, tant que les pare-feu sont configurés de la même manière. Le nombre d'heures passées à diagnostiquer les problèmes de réseau pour découvrir que deux pare-feu ne sont pas d'accord sur ce qu'ils autorisent ...
richzilla
1
À l'intérieur de mon LAN: pas de pare-feu. Face à Internet: bien sûr pare-feu. Je pare-feu basé sur la façon dont je fais confiance aux ordinateurs auxquels je me connecte.
djeikyb
2
Je recommanderais d'installer un pare-feu. Quelque chose vaut toujours mieux que rien. n'est-ce pas ?. Ubuntu, Par défaut est livré avec un pare-feu ' ufw '. gufw (mentionné dans la question) n'est rien d'autre que l'interface graphique de «ufw».
Juste une note: iptables n'est pas un pare-feu. Netfilter est, qui fait partie du noyau Linux. iptables est uniquement un utilitaire de ligne de commande qui est utilisé pour modifier / interroger le jeu de règles netfilter.
LGB
Une autre réponse incorrecte.
psusi
@LGB de wikipedia: iptables est un programme d'application d'espace utilisateur qui permet à un administrateur système de configurer les tables fournies par le pare-feu du noyau Linux (implémenté en tant que différents modules Netfilter) et les chaînes et règles qu'il stocke. Maintenant je suis confus.
theTuxRacer
@aneesheep Je dirais que cela est trompeur, car uwfc'est un frontal pour iptables(qui est une interface pour netfilter). Vous ne pouvez pas avoir ufw installé sans iptables en place.
belacqua
Merci mes amis de m'avoir conduit dans la bonne direction. J'ai supprimé la section iptables de ma réponse.
aneeshep
1
Ubuntu devrait également avoir un pare-feu par défaut activé avec un outil GUI. Je suis surpris que cela ne vienne pas avec. Je sais qu'iptables est déjà là mais il n'y a pas de règles chargées. Vous devez le faire manuellement ou installer quelque chose comme Firestarter pour que les bases fonctionnent pour vous.
J'ai été tellement surpris un jour quand j'ai découvert que mon FAI me donne ma propre IP publique à chaque fois que j'active mon DSL. Imaginez le nombre de visites, de tentatives de connexion ssh, d'autres analyses et d'exploits MS (ouais quelqu'un exécutait cela sur les IP de mon FAI) que ma machine recevait tout le temps. LOL! :)
Et votre machine les ignore très volontiers sans avoir besoin d'un pare-feu.
psusi
La machine n'ignore pas, s'il existe un service d'écoute sur un port particulier. En fait, j'ose dire que la machine est impatiente d'accepter les connexions.
theTuxRacer
1
@Kaustubh P s'il y a un service d'écoute sur le port, alors vous VOULEZ qu'il accepte les connexions, et vous aurez ouvert ce port dans le pare-feu. S'il n'y en a pas, il rejette les connexions à ce port.
psusi
1
Par définition, un pare-feu bloque les communications qui autrement seraient autorisées. Une machine Ubuntu de bureau n'a aucun service installé par défaut qui acceptera les connexions, donc il n'y a rien pour qu'un pare-feu bloque l'accès. Par conséquent, c'est complètement inutile.
La raison pour laquelle un pare-feu est considéré comme nécessaire sous Windows est qu'il est livré avec plusieurs services de cerveau mort installés par défaut qui acceptent les connexions et permettent à l'autre partie de faire avec votre ordinateur des choses que vous ne voulez pas.
"complètement inutile" - faux. Un pare-feu ajoute une couche de défense supplémentaire. Vous fournissez également des informations incorrectes, une installation par défaut d'Ubuntu a des services exposés au public. Par exemple, il fournit CUPS (Common Unix Printing System) à l'écoute sur le port UDP 631.
Lekensteyn
1
Si vous installez un nouveau service, qui utilise d'autres ports, ils seront laissés ouverts, sauf si vous les fermez ou les réglez avec un pare - feu .
theTuxRacer
L'OP ne mentionne pas de bureau ou de serveur. Même sur un système de bureau, comme le dit @Kaustubh, rien ne garantit qu'une fois que vous vous écarterez de la configuration d'origine, les ports ne seront pas ouverts. Et parfois, les ports sont laissés ouverts par inadvertance dans les mises à jour.
belacqua
@Lekensteyn: Ce n'est pas faux. Je vous suggère de lire l'autre question que Manish a liée à l'endroit où elle a également été clairement expliquée. Lorsque le port est déjà fermé, un programme qui ferme les ports est inutile. CUPS accepte également uniquement les connexions de localhost par défaut.
Avec l'introduction d'IPv6, avoir un pare-feu deviendra encore plus critique. Contrairement à IPv4 où la plupart des systèmes sont relativement sécurisés sur des plages IP privées, les appareils IPv6 sont susceptibles d'être entièrement accessibles.
Avoir un pare-feu avec une politique de refus par défaut sera encore plus critique. Il sera plus difficile de trouver des périphériques à analyser en raison de l'utilisation clairsemée des adresses. Garder certains protocoles comme SMB sur des adresses locales de lien aidera, mais ne sera pas une solution miracle.
Cela dit, dans une installation par défaut, un pare-feu actif n'est qu'une couche de sécurité supplémentaire. De nombreuses applications qui ouvrent des ports nécessiteront l'ouverture de leurs ports pour leur permettre de fonctionner. Quasiment tous ont des méthodes supplémentaires pour les sécuriser. Activez toutes les couches appropriées selon vos besoins.
EDIT: Il y a eu beaucoup de commentaires sur le fait de laisser l'accès au contrôle d'application et d'autres raisons de ne pas avoir de pare-feu. Malheureusement, de nombreuses applications n'ont pas de contrôle d'accès. D'autres écoutent à toutes les adresses, donc un pare-feu devient le seul moyen de restreindre l'accès à partir de certaines interfaces.
Comme je l'ai indiqué ci-dessus, un pare-feu n'est qu'une couche de sécurité. Les applications sécurisées en sont une autre, mais vous ne pouvez pas facilement vous assurer que vos utilisateurs exécutent uniquement des applications sécurisées. Un pare-feu est un moyen de protéger vos utilisateurs.
Aucune mesure de sécurité raisonnable n'est totalement sécurisée. Bien que de nombreux utilisateurs ne soient pas suffisamment intéressés ou instruits pour bien comprendre un pare-feu, ce n'est pas une raison pour ne pas utiliser un pare-feu ou pour eux de ne pas avoir de pare-feu.
La stratégie par défaut SANS pare-feu consiste à rejeter les connexions. Vous n'avez pas besoin d'un pare-feu pour cela. vous utilisez un pare-feu pour modifier la stratégie RETOUR à rejeter lorsque vous avez déjà installé un service qui tente d'accepter. Bien sûr, si vous voulez le faire, n'installez pas le service pour accepter la connexion en premier lieu.
psusi
1
@psusi. La désinstallation du service est une solution oui / non. L'utilisation d'un pare-feu permet un contrôle précis.
BillThor
il permet un contrôle à grain fin, mais le service lui-même permet généralement un contrôle encore plus fin. Lorsque vous installez un service, vous le configurez pour accepter le type de connexions que vous souhaitez plutôt que d'utiliser un outil distinct pour le restreindre. Les services ont également des valeurs par défaut saines de sorte que lorsque vous les installez, ils acceptent uniquement les connexions de l'hôte local ou du réseau local, donc encore une fois, il n'y a pas besoin de pare-feu.
psusi
@psusi Les services accordés ont souvent un contrôle fin. Mais ils ne se connectent pas toujours lorsqu'ils abandonnent la connexion de manière cohérente. Un pare-feu peut fournir une journalisation cohérente, bien que l'analyse des autres journaux soit utile. Un pare-feu peut également enregistrer des sondes de services manquants. Cela peut permettre de bloquer l'hôte d'origine de manière proactive.
BillThor
votre utilisateur de bureau moyen ne sait pas ce genre de chose ou s'en soucie. Bien sûr, il y a certaines choses que vous pouvez faire avec les chaînes IP que vous ne pouvez pas faire avec un démon donné, mais rien que l'utilisateur de bureau moyen considérerait "nécessaire".
psusi
0
Tout le monde est correct, soyez prudent et utilisez probablement une sorte de protection, cela peut créer des tracas en fonction de ce que vous faites, mais parfois vous ne remarquez pas à quel point ces tracas supplémentaires vous protègent vraiment.
Une façon d'ajouter une protection supplémentaire qui n'est pas vraiment intrusive serait de regarder dans OpenDNS , en ajoutant simplement un bon contrôle et des fonctionnalités de sécurité supplémentaires pour une utilisation basique d'Internet.
sudo nmap localhost. Avez-vous des ports ouverts maintenant? (Une estimation approximative.)sudo nmap localhostcette commande ne fonctionne pasRéponses:
Oui, plus que jamais. Internet n'a pas beaucoup changé depuis les temps anciens. Un pare-feu est donc toujours une nécessité de nos jours. Un pare-feu comme gufw, avec des règles de base fonctionne. Utilisez iptables, si vous êtes un geek CLI;)
la source
echo "Use iptables" - I assume I\'m a real CLI geek then :p;Veuillez vérifier cette réponse pour une discussion ultérieure sur les pare-feu sur Ubuntu.
Pourquoi le pare-feu est-il désactivé par défaut?
la source
Sans aucun doute, il suffit d'un seul espion opportuniste pour ne pas causer de problèmes. La confusion réside dans la façon dont vous vous assurez d'être derrière un pare-feu.
Ceci est discuté plus en détail ici: Existe - t-il un pare-feu préinstallé ou automatique? mais en bref, si vous êtes sur un réseau domestique, derrière un routeur sans fil, votre routeur effectuera normalement des tâches de pare-feu. Évidemment, c'est une bonne idée de vérifier auprès du fabricant avant de vous fier à quoi que ce soit (cela dépend également de la configuration du routeur).
GUFW n'est pas, en soi, un pare-feu, juste une interface graphique pour le pare-feu par défaut d'ubuntu (UFW). UFW est désactivé par défaut. D'une manière générale, il est conseillé de ne lancer qu'un seul pare-feu, pour éviter les conflits potentiels, donc à condition que vous soyez sur un réseau domestique de confiance (et que vous êtes certain que votre routeur offre une protection adéquate), je vous conseille de désactiver votre pare-feu logiciel (UFW).
Évidemment, réactivez-le lorsque vous êtes sur un réseau public / non fiable.
la source
Je recommanderais d'installer un pare-feu. Quelque chose vaut toujours mieux que rien. n'est-ce pas ?. Ubuntu, Par défaut est livré avec un pare-feu ' ufw '. gufw (mentionné dans la question) n'est rien d'autre que l'interface graphique de «ufw».
J'espère que cela t'aides.
la source
uwfc'est un frontal pouriptables(qui est une interface pour netfilter). Vous ne pouvez pas avoir ufw installé sans iptables en place.Ubuntu devrait également avoir un pare-feu par défaut activé avec un outil GUI. Je suis surpris que cela ne vienne pas avec. Je sais qu'iptables est déjà là mais il n'y a pas de règles chargées. Vous devez le faire manuellement ou installer quelque chose comme Firestarter pour que les bases fonctionnent pour vous.
J'ai été tellement surpris un jour quand j'ai découvert que mon FAI me donne ma propre IP publique à chaque fois que j'active mon DSL. Imaginez le nombre de visites, de tentatives de connexion ssh, d'autres analyses et d'exploits MS (ouais quelqu'un exécutait cela sur les IP de mon FAI) que ma machine recevait tout le temps. LOL! :)
la source
Par définition, un pare-feu bloque les communications qui autrement seraient autorisées. Une machine Ubuntu de bureau n'a aucun service installé par défaut qui acceptera les connexions, donc il n'y a rien pour qu'un pare-feu bloque l'accès. Par conséquent, c'est complètement inutile.
La raison pour laquelle un pare-feu est considéré comme nécessaire sous Windows est qu'il est livré avec plusieurs services de cerveau mort installés par défaut qui acceptent les connexions et permettent à l'autre partie de faire avec votre ordinateur des choses que vous ne voulez pas.
la source
Avec l'introduction d'IPv6, avoir un pare-feu deviendra encore plus critique. Contrairement à IPv4 où la plupart des systèmes sont relativement sécurisés sur des plages IP privées, les appareils IPv6 sont susceptibles d'être entièrement accessibles.
Avoir un pare-feu avec une politique de refus par défaut sera encore plus critique. Il sera plus difficile de trouver des périphériques à analyser en raison de l'utilisation clairsemée des adresses. Garder certains protocoles comme SMB sur des adresses locales de lien aidera, mais ne sera pas une solution miracle.
Cela dit, dans une installation par défaut, un pare-feu actif n'est qu'une couche de sécurité supplémentaire. De nombreuses applications qui ouvrent des ports nécessiteront l'ouverture de leurs ports pour leur permettre de fonctionner. Quasiment tous ont des méthodes supplémentaires pour les sécuriser. Activez toutes les couches appropriées selon vos besoins.
EDIT: Il y a eu beaucoup de commentaires sur le fait de laisser l'accès au contrôle d'application et d'autres raisons de ne pas avoir de pare-feu. Malheureusement, de nombreuses applications n'ont pas de contrôle d'accès. D'autres écoutent à toutes les adresses, donc un pare-feu devient le seul moyen de restreindre l'accès à partir de certaines interfaces.
Comme je l'ai indiqué ci-dessus, un pare-feu n'est qu'une couche de sécurité. Les applications sécurisées en sont une autre, mais vous ne pouvez pas facilement vous assurer que vos utilisateurs exécutent uniquement des applications sécurisées. Un pare-feu est un moyen de protéger vos utilisateurs.
Aucune mesure de sécurité raisonnable n'est totalement sécurisée. Bien que de nombreux utilisateurs ne soient pas suffisamment intéressés ou instruits pour bien comprendre un pare-feu, ce n'est pas une raison pour ne pas utiliser un pare-feu ou pour eux de ne pas avoir de pare-feu.
la source
Tout le monde est correct, soyez prudent et utilisez probablement une sorte de protection, cela peut créer des tracas en fonction de ce que vous faites, mais parfois vous ne remarquez pas à quel point ces tracas supplémentaires vous protègent vraiment.
Une façon d'ajouter une protection supplémentaire qui n'est pas vraiment intrusive serait de regarder dans OpenDNS , en ajoutant simplement un bon contrôle et des fonctionnalités de sécurité supplémentaires pour une utilisation basique d'Internet.
la source