ความเสี่ยงของการไม่ใช้ไฟร์วอลล์ (คอมพิวเตอร์ที่บ้าน) คืออะไร?


51

เนื่องจากรหัสผ่านจะต้องเป็น superuser (เพื่อติดตั้งและแก้ไขโปรแกรม) ความเสี่ยงในการไม่ใช้ไฟร์วอลล์ภายใต้ Ubuntu คืออะไร มากขึ้นโดยเฉพาะถ้าฉันใช้เราเตอร์ NAT?

คำตอบ:


40

มันขึ้นอยู่กับ. คนส่วนใหญ่ใช้เราเตอร์ระหว่างเดสก์ท็อปกับอินเทอร์เน็ตและโดยค่าเริ่มต้นไม่มีพอร์ตเปิดที่มีนัยสำคัญดังนั้นในกรณีส่วนใหญ่ผู้ใช้ไฟร์วอลล์จะเพิ่มไฟร์วอลล์ให้น้อยมากหากมีสิ่งใด

มันสามารถช่วยถ้าคุณติดตั้งเซิร์ฟเวอร์โดยไม่ตั้งใจเช่น VNC หรือ SSH

คำถามที่ดีกว่าคือสิ่งที่คุณต้องการใช้ไฟร์วอลล์หรือไม่

ดู:

https://wiki.ubuntu.com/SecurityTeam/FAQ#UFW

https://wiki.ubuntu.com/SecurityTeam/Policies#No_Open_Ports

https://help.ubuntu.com/community/UFW

หากคุณต้องการเครื่องมือกราฟิกสำหรับไฟร์วอลล์ของคุณให้ใช้ gufw

ป้อนคำอธิบายรูปภาพที่นี่


ขอบคุณสำหรับการตอบกลับของคุณ ที่จริงแล้วฉันใช้ gufw กับพอร์ตเปิดสำหรับไคลเอนต์ฝนตกหนักของฉัน และฉันต้องบอกว่านี่เป็นนิสัยของ windows มากกว่าเนื่องจากการใช้ windows witout firewall ค่อนข้างฆ่าตัวตาย
riimzzai

ใช่ Windows มีพอร์ตเปิดทั้งที่เป็นเอกสารและไม่มีเอกสารถึงแม้ว่ามันอาจจะมีการปรับปรุงให้ดีขึ้น (ไม่ได้ใช้ Windows รุ่นใดที่สูงกว่า XP)
Panther

แม้แต่บน Windows NAT ก็ป้องกันภัยคุกคามได้มากกว่าที่คนส่วนใหญ่รู้ แต่ฉันไม่เห็นเหตุผลที่ดีที่จะไม่ใช้ไฟร์วอลล์
davidcl

1
@davidcl - เพียงระวังอย่าเปิดใช้งาน UPnP บนเราเตอร์ของคุณนั่นก็คือ;) มิฉะนั้น +1 ไปยังเราเตอร์ (ซึ่งมาพร้อมกับไฟร์วอลล์ / NAT)
Panther

11

ดูเหมือนว่าคำถามจะเกี่ยวกับไฟร์วอลล์โฮสต์บนพีซี Ubuntu

หากเครื่องไม่ออกจากเครือข่าย NAT (เช่นไม่ใช่แล็ปท็อปที่คุณใช้กับร้านกาแฟและใช้กับเครือข่าย wifi ฟรี)

และไม่มีพอร์ตที่เปิดบนเราเตอร์ของคุณที่สามารถแมปกับเครื่อง Ubuntu ของคุณได้

และเราเตอร์ของคุณไม่มีคุณสมบัติใด ๆ ที่ช่วยเปิดพอร์ตให้คุณตามสิ่งที่เกิดขึ้นบนเครือข่ายของคุณ (UPnP)

และคุณจะไม่มีอุปกรณ์อื่น ๆ ในเครือข่ายท้องถิ่นของคุณที่อาจถูกโจมตีและโจมตีกล่อง Ubuntu ของคุณ

จากนั้นระบบของคุณอาจมีความปลอดภัยโดยไม่มีไฟร์วอลล์โฮสต์

อย่างไรก็ตามหากสิ่งเหล่านี้บางอย่างไม่เป็นความจริงหรืออาจกลายเป็นเรื่องไม่จริงในอนาคตไฟร์วอลล์ตามโฮสต์เป็นความคิดที่ดีจริงๆ เมื่อพิจารณาถึงประโยชน์ที่อาจเกิดขึ้นและข้อ จำกัด ที่ จำกัด ทำไมไม่เปิดใช้งาน


9

การใช้ NAT ถ้าคุณไม่มีพอร์ตที่ส่งต่อไปยังเครื่องของคุณมันจะไม่สามารถเข้าถึงได้จากอินเทอร์เน็ตเว้นแต่คุณจะเปิดการเชื่อมต่ออย่างชัดเจน (ด้วย vnc หรือ teamviewer เป็นต้น) ดังนั้นฉันคิดว่าไม่มีปัญหาหากไม่ใช้ไฟร์วอลล์กับมัน . ความกังวลที่ไม่เหมือนใครอาจมาจากการเข้าถึงภายใน (LAN) แต่โดยทั่วไปแล้วไม่ใช่ในกรณี LAN ที่บ้าน


ไม่จริง; อ่านค่า STUN traversal มีข้อบกพร่องที่เกี่ยวข้องกับ STUN จำนวนมากซึ่งอนุญาตให้บริการภายนอกเปิดพอร์ตไปยังเครื่องภายในไฟร์วอลล์
ปุย

Stun traversal สำหรับไคลเอนต์ voip เพื่อท่อง NAT / firewall ดังนั้นหากคุณเปิดใช้งาน (โดยปกติไม่จำเป็น) คุณกำลังเปิดเครื่องสำหรับพอร์ตเหล่านั้นต่อไปและคุณควรใช้มาตรการที่เหมาะสมแน่นอน (เช่นไม่เปิดใช้งาน UPnP บนเราเตอร์สำหรับ ตัวอย่าง).
Laurent

STUN traversal ไม่ใช่ 'เพื่อ' อะไรเลยมันเป็นสิ่งประดิษฐ์ของวิธีการทำงานของ NAT ที่ได้รับประโยชน์จากจุดประสงค์ในการปรับปรุงโปรโตคอลเครือข่ายแบบ peer-to-peer เช่น SIP และอื่น ๆ มันสามารถใช้งานได้ดี มันยังสามารถใช้เพื่อความชั่วร้าย
ปุย

2

ไม่มี แต่อย่างใด.

ฟังก์ชั่นของไฟร์วอลล์คือการบล็อกการเข้าถึงบริการที่จะอนุญาต โดยค่าเริ่มต้นอูบุนตูไม่มีบริการฟังเพลงดังนั้นจึงไม่มีอะไรจะบล็อค เพิ่มเติมเนื่องจากคุณอยู่หลังเราเตอร์ NAT คุณจึงมีไฟร์วอลล์อยู่แล้ว


2
ไม่เป็นความจริงอย่างสมบูรณ์เนื่องจากเราเตอร์บางตัวมี UPnP และผู้คนเปิดใช้งานการแชร์เดสก์ท็อป (VNC) แบบไม่ตั้งใจ สิ่งนี้นำไปสู่รอยแตกที่พบบ่อยที่สุดที่ฉันเคยเห็นบน Ubuntu แน่นอนว่าพวกเขาอาจเปิดพอร์ต VNC ได้โดยไม่ต้องคิด ... ฉันคิดว่าตำแหน่งของเราควรจะมีการศึกษาค่อนข้างมาก
Panther

@ bodhi.zazen ฉันไม่เห็นวิธีที่คุณสามารถเปิดใช้งานโดยไม่ได้ตั้งใจและหากคุณประสบปัญหาในการเปิดใช้งานฉันคิดว่าคุณต้องการให้มันทำงานได้ดังนั้นไฟร์วอลล์จะตอบโต้ได้อย่างมีประสิทธิภาพ นอกจากนี้ยังมีค่าเริ่มต้นที่จะให้คุณอนุญาตเมื่อมีคนเชื่อมต่อด้วยดังนั้นแม้ว่าคุณจะเปิดทิ้งไว้และไม่ได้ตั้งรหัสผ่านก็จะไม่ปล่อยให้ใครเข้ามาโดยไม่ได้รับการอนุมัติจากคุณ
psusi

นี่คือตัวอย่างของวิธีการที่สามารถเกิดขึ้นโดยบังเอิญ: miket5au.blogspot.com/2011/03/beware-vnc-and-upnp.html บางครั้งคุณต้องการแบ่งปันเดสก์ทอปบน LAN แต่ไม่ได้หมายความว่าจะเปิดใช้งานสำหรับ นอกโลก.
davidcl

ที่กล่าวว่าไฟร์วอลล์โฮสต์ของคุณอาจไม่ช่วยคุณในสถานการณ์นี้
davidcl

@davidcl แน่นอนไฟร์วอลล์ที่ใช้โฮสต์จะบล็อคใน LAN เช่นกัน และบรรทัดแรกของบทความนั้นเขายอมรับว่า "ฉันไม่สนใจ" หากคุณประมาทพอที่จะเปิดประตูหน้าบ้านทิ้งไว้ (เปิดใช้ vnc โดยไม่ใช้รหัสผ่านหรือพรอมต์) จากนั้นคุณก็จะประมาทได้ง่ายพอที่จะเปิดประตูทิ้งไว้ (ไฟร์วอลล์) มีประตูหรือไม่สร้างความแตกต่างถ้าคุณไม่เปิดประตูหน้าทิ้งไว้
psusi

1

ฉันคิดว่าหนึ่งในคุณสมบัติไฟร์วอลล์ที่ใช้มากที่สุดคือการป้องกันโปรแกรม "แคร็ก" เพื่อตรวจสอบใบอนุญาตบนอินเทอร์เน็ต หากแอปพลิเคชัน "แตก" ไม่จำเป็นต้องอัปเดตหรือไม่ใช้คุณสมบัติ "ออนไลน์" คุณสามารถป้องกันไม่ให้เข้าถึงอินเทอร์เน็ตโดยการตั้งค่ากฎไฟร์วอลล์ที่เฉพาะเจาะจง เศร้า แต่จริง


0

ในกรณีทั่วไปไม่ว่าจะเป็นคอมพิวเตอร์สาธารณะหรือคอมพิวเตอร์ที่ไม่มีการเชื่อมต่อที่ปลอดภัยเช่นการเชื่อมต่ออินเทอร์เน็ตที่ถูกขโมยมากขึ้นหรือน้อยลงจากผู้ใช้คนอื่น ๆ ในพอร์ตที่อยู่ติดกัน (เช่นบ้าน / อพาร์ตเมนต์ถัดจากประตู) วิธีไฟร์วอลล์ (เป็นดุลยพินิจ) อาจเป็นส่วนที่ดีกว่าของความกล้าหาญดังนั้นพูด นอกจากนี้พวกเขายังป้องกันไม่ให้คนที่อยู่รอบตัวคุณขุดข้อมูลของคุณไม่ว่าจะเป็นเรื่องส่วนตัวหรือแม้แต่เรื่องโง่ ๆ ที่คุณอาจคาดไม่ถึง ประเด็นคือความเป็นส่วนตัว

เมื่อฉันพูดทั่วไปแล้วฉันหมายถึงสถานที่ต่างๆเช่นสถานที่สาธารณะ ไลบรารีที่ใครต่อใครต่าง ๆ ก่อนที่คุณจะใช้ผู้ให้บริการพกพาเช่น USB อะไรก็ตามแผ่นดิสก์ - แม้ว่าคุณจะต้องทำอะไรที่อาจเป็นผื่นเช่นเอาฮาร์ดไดรฟ์ภายนอกของคุณเองไปที่อื่นแล้วเสียบเข้า ได้รับการปกป้องจากโปรแกรมป้องกันไวรัสหรือสปายแวร์และสิ่งเหล่านี้สามารถล็อคและพกพากลับไปที่แล็ปท็อป / เดสก์ท็อปที่บ้านเดิมของคุณได้

ดังนั้นในขณะที่อาจไม่จำเป็นต้องใช้ความร้อนแรงในหลาย ๆ กรณีสำหรับไฟร์วอลล์เพื่อป้องกันสิ่งต่าง ๆ มากมาย แต่ก็มีประโยชน์สำหรับบางกรณีถ้าแยกได้


0

ในระหว่างที่ผมพบว่าการพิจารณาที่น่าสนใจบางอย่างเกี่ยวกับไฟร์วอลล์

บทความอธิบายแนวคิดของ "การฟังบริการ" "เปิดพอร์ต" และ "เราเตอร์ NAT" ซึ่งอาจเข้าใจผิดเพื่อสรุปว่า: - ดีกว่าโดยไม่ใช้ (แม้ว่าคุณจะขับรถถังใส่เข็มขัดนิรภัย) และ - คิดสองครั้ง ก่อนที่จะทำสิ่งที่ส่งผลกระทบต่อระบบ (ข้อพิจารณาด้านการศึกษา)

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.