Brannmur innebygget i Ubuntu?

[Dalon]

Hei

 

Er brannmur innebygget i Ubuntu 8.04?

 

Har lest en del rundt på nettet og etter det jeg skjønner kommer Ubuntu ferdig installert med en brannmur som kalles "iptables" som standard og "iptables" deaktiverer alle mine porter av sikkerhetshensyn.

 

Så har man "Firestarter" og "Uncomplicated Firewall" som man etter det jeg skjønner kan brukes til å åpne og lukke de porter som man måtte ønske.

 

Er dette riktig?

 

Om man ikke har behov for å åpne eller lukke porter har man da noen nytte av å installere noen av de nevnte programmer??

 

Og i så fall hvilket er enklest/best for en nybegynner?

[drbuggs]

Har selv god erfaring med firestarter, kan f.eks. bruke den til konfigurere maskina til å dele internet med andre. Men generelt med mindre du skal kjøre maskina som server for ukurante applikasjoner og / eller bruker den som brannmur/internet sharing device er det beste å la brannmuren være som den er. En mamanger for iptables vil selvfølgelig gi deg innblikk i hvilke porter som er åpne og la deg stenge de hvis du vil.

[Dalon]

En mamanger for iptables vil selvfølgelig gi deg innblikk i hvilke porter som er åpne og la deg stenge de hvis du vil.

 

Takk for svar.

Men i utgangspunktet vil vel alle porter være stengt når man ikke har innstallert "Firestarter" eller andre lignende program?

[oj88]

En mamanger for iptables vil selvfølgelig gi deg innblikk i hvilke porter som er åpne og la deg stenge de hvis du vil.

 

Takk for svar.

Men i utgangspunktet vil vel alle porter være stengt når man ikke har innstallert "Firestarter" eller andre lignende program?

 

Ubuntu har ingen brannmur aktivert som standard (men programvaren er der, i form av iptables og ufw), da dette ikke regnes som nødvendig. Du sitter nesten garantert bak NAT (en router), og da er det lite nødvendig med brannmur med mindre du er redd for andre på samme nettverk? Setter du opp en server-tjeneste vil denne være mulig å nå med en gang, så det er ingen brannmur aktiv. Ubuntu kommer med ingen slike servertjenester aktivert, og med mindre du legger inn noen, så har du i alle fall ingenting å frykte, og ellers er det bare å holde systemet oppdatert. Brannmur blir pr. dags dato ikke regnet som nødvendig på Linux-desktopen.

Endret 24. mai 2009 av oj88

[Dalon]

Takk for svar "oj88"

 

Det var rimelig avklarende. Da kan jeg nok føle meg rimelig trygg uten å installere noe som helst.

Endret 24. mai 2009 av Dalon

[Equerm]

Brannmur blir pr. dags dato ikke regnet som nødvendig på Linux-desktopen.

 

Personlig anser jeg det smo tull og tøys at man ikke trenger noen brannmur, jeg kan forøvrig si meg enig i at man ikke trenger brannmur på pcen som står hjemme på gutterommet i et nettverk som ikke noen andre enn mor og far har tilgang til.

Men om du derimot har en laptop som du bruker på skole, flyplasser, dataparty osv osv. Da vil jeg absolutt påstå at det kan vere vits i å ha en brannmur installert.

 

Bare sann for å sette det litt på spissen

[oj88]

Hvilken type brannmur sikter du til da?

 

F.eks på min desktop er det kun Samba og SSH som er installert og som åpner porter for andre utenfor. Disse er uansett sikre på sitt vis, og oppdaterte, og jeg ønsker at de skal være åpne for andre på nettverket (uansett hvor jeg er). Hvorfor skal jeg da legge inn brannmur for å så åpne de aktuelle portene?

 

Eller tenker du på en brannmur ala den man har i Windows, der man må godkjenne alle applikasjoner som prøver å koble seg ut mot nettverket? Så vidt jeg vet finnes dette ikke i GNU/Linux, dvs man må konfigurere alt manuelt. Enig i at dette er nyttig i Windows, i og med at man får beskjed dersom programmer man ikke har startet med egen vilje prøver å koble seg opp. Min erfaring med div virus er vel at de som regel klarer å deaktivere dette uansett.

 

I Windows bruker jeg brannmur for å skru av tilgang til min fil/skriverdeling på usikre nettverk (og alt annet forsåvidt), pga dette er utsatt.

 

Har aldri selv eller via venner opplevd problemer med å kjøre GNU/Linux på desktop uten brannmur på alt av usikre nettverk.

Endret 25. mai 2009 av oj88

[Equerm]

Jeg tenker da på en brannmur som overvåker prosesser/programmer som prøver å komme seg ut og også overvåker ting som prøver å koble seg til maskinen

[oj88]

Det nærmeste for en vanlig desktop-bruker blir vel da Firestarter, et prosjekt som er lagt dødt (men fungerer fint fortstat). Er vel en grunn til at det ble lagt dødt.

 

Jeg mener det er bred enighet innen GNU/Linux-miljøene i dag (bare se på de store distroene) at brannmur av denne typen er unødvendig for den vanlige desktop-bruker. Som sagt, jeg har enda ikke lest eller hørt én histore der det ville vært "vits" å ha brannmur på en Linux-desktop i dag. Dette kan absolutt endre seg hvis Linux for en større brukermasse (f.eks netbooks), og blir av større interesse for de som lager ondsinnet programvare. I så fall er brannmuren på plass i alle distroer, og mangler bare et GUI.

Endret 25. mai 2009 av oj88

[Mr.M]

(Ubuntu 9.04) Prøvde Shield Up test hos > GRC og får beskjed om at maskin ikke er 100% Stealth (Common Ports), men det er heller ingen åpne porter så da er man vel tross alt trygg (uten å innstalere noe ekstra Ubuntu brannmur-software) ?

 

 

edit: lagt til bilde 2/3

Endret 25. mai 2009 av Mekkus

[MirusMentis]

(Ubuntu 9.04) Prøvde Shield Up test hos > GRC og får beskjed om at maskin ikke er 100% Stealth (Common Ports), men det er heller ingen åpne porter så da er man vel tross alt trygg (uten å innstalere noe ekstra Ubuntu brannmur-software) ?

 

 

edit: lagt til bilde 2/3

 

Denne scanner vel bare porter på ip`n du går ut mot nettet med, dvs routeren/modemet ditt. Portscannen vil ikke nå frem til maskinen din med mindre du forwarder alle porter, eller bridger modemet.

[Mr.M]

Denne scanner vel bare porter på ip`n du går ut mot nettet med, dvs routeren/modemet ditt. Portscannen vil ikke nå frem til maskinen din med mindre du forwarder alle porter, eller bridger modemet.

Vet ikke om jeg forstod, men bruker et vanlig ADSL modem(ikke Router) og maskin er tilkoblet modemet med nettverkskabel(ikke noe trådløst). Har ikke tuklet med "forwarding" eller annet, så antar jeg er trygg slik jeg tolker deg.

[Sokkalf™]

Vet ikke om det fortsatt er sånn, men før i tida åpnet X en eller flere porter (6000-60..). Det i seg selv er jo en god grunn til å ha en brannmur, men om man ikke sitter med en direkte tilkobling til nettet, er det egentlig ikke så mye vits.

Bruker ikke brannmur på noen av mine desktop/laptop-maskiner.. på serveren er det en selvfølge.

[Mapster]

Selv om en ikke har en brannmur, eller om iptables ikke er satt til å blokkere, så er ikke en port åpen før det faktisk er et program som lytter på den porten. Så f.eks hvis port 1234 ikke er blokkert i iptables, så vil ingen kunne utnytte dette uten at du faktisk har noe som lytter på port 1234 på din pc. Så iptables vil nok være unødvendig på de fleste desktop pcer, er jo ikke noe poeng å sperre for et program som du selv har bestemt at skal lytte. Men på servere, eller gateways, så bruker man gjerne iptables til å garantere at kun den ønskelige trafikken kan passere gjennom serveren.

[jonnor]

Mekkus: Du er bak en NAT, og dermed vil ingen porter vises som åpne ut mot nettet selv om maskinen din har disse åpne, da de er blokkert i routeren.

 

Sokkalf^: De fleste distroer/display managers (alle jeg har sett?) starter Xorg med opsjonen -nolisten tcp

 

Hvis man lurer på hvilke porter som er åpne på sin maskiner så er det jo bare å bruke nmap på nettverket.

 

Selv kjører jeg Arch på skrivebordsmaskinene mine, og der er alt nektet i /etc/hosts.deny som standard. Slik var det tidligere i Debian/Ubuntu også.