Προς το περιεχόμενο

Χρειαζεται τελικα firewall το Linux?

million_voices

Από τον million_voices
στο Linux

Προτεινόμενες αναρτήσεις

million_voices Experienced

million_voices

Δημοσ.
Δημοσ.

απλα πραγματα μπορω με την βασικη εγκατασταση του Ubuntu 8,04 να ειμαι ησυχος?

 

μπορω να κατεβασω αφοβα απο torrents?

 

αν ο router μου δεν εχει firewall τι κανω?

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
Null_Hypothesis Proficient

Null_Hypothesis

Δημοσ.
Δημοσ.

Ούτε εγώ έχω καταλάβει τι παίζει ακριβώς. Έχω διαβάσει ότι το ubuntu έχει ενσωματωμένο firewall και ότι οι θύρες είναι κλειστές by default. Πάντως, για παν ενδεχόμενο, έχω installed το firestarter σε GUI, το Moblock/Mobloquer (peerguardian στα windows) και στο azureus έχω βάλει encryption...

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
million_voices Experienced

million_voices

Δημοσ.
  • Μέλος
Δημοσ.

βασικα απο τα λιγα που διαβασα στο net τα afw και firestarter ειναι gui για την ενσωματωμενη δυνατοτητα του πυρηνα να χειριζεται εισερχομενα πακετα

 

αν δεν τα ρυθμισεις καπως βαζοντας κανονες δεν κανεις τπτ

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
million_voices Experienced

million_voices

Δημοσ.
  • Μέλος
Δημοσ.
αν εχεις ρουτερ δε φτανει το δικο του firewall;

 

αν δεν εχει?

 

αν δεν το εμπιστευεσαι?

 

και τελικα η ερωτηση ειναι απλη,out of the box το Linux χρειαζεται firewall ναι η οχι?

 

μπορεις να κανεις τα παντα στο net με σιγουρια?

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
million_voices Experienced

million_voices

Δημοσ.
  • Μέλος
Δημοσ.

Οταν ειχα Windows για ενα διαστημα χρησιμοποιουσα το Black ice defender το οποιο εκοβε πολυ "πραγμα" παρολο που το router μου εχει firewall το οποιο φυσικα ειχα ενεργοποιησει

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
jim_p Crazy Insomniac

jim_p

Δημοσ.
Δημοσ.

Το linux εχει ENA firewall, το iptables, και μερικα frontends (gui) για αυτο.

To iptables ειναι προεγκατεστημενο σε καθε διανομη και ειναι κλασεις ανωτερο απο οποιοδηποτε software firewall των windows.

 

Εχω κανει το shileds up test και το εχω περασει με ολα πρασινα.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
DIMITRISG Grand Master

DIMITRISG

Δημοσ.
Δημοσ.

εγω επειδη εχω router με firewall δεν δινω σημασια στο firewall του linux.

αλλά για το nfs share το απεγκαθιστω γιατι δεν ξερω να το ρυθμίζω

μπορει να μου πει καποιος πως γινεται αυτό;

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
nske Mentor

nske

Δημοσ.
Δημοσ.

Όσοι χρησιμοποιείτε ADSL μέσω ethernet Router by default έχετε πρόσβαση μέσω Source NAT (link1, link2/link3) του Router. Που σημαίνει ότι οποιαδήποτε port ενδεχομένως είναι "ανοικτή" (κάποια εφαρμογή τη χρησιμοποιεί για να δέχεται δεδομένα από το δίκτυο) στο PC, δεν είναι προσβάσιμη από το Internet, εκτός και αν ρυθμίσετε τον router να κάνει Destination Nat ("port forwarding") στη συγκεκριμένη port -το οποίο θα κάνετε προφανώς αν ξέρετε ότι εκεί θα ακούει κάτι που πρέπει να είναι προσβάσιμο από το internet, όπως π.χ. ένας torrent client. Οπότε το firewall δε θα βοηθούσε ουσιαστικά (θεωρητικά βέβαια θα προσέθετε ένα ακόμα layer προστασίας, όμως θεωρητικά η ασφάλεια είναι ούτως ή άλλως διάτρητη χωρίς κατάλληλες πολιτικές και ακριβή γνώση του τι γίνεται στο σύστημα). Απλά φροντίστε να μην χρησιμοποιεί ο router UPNP, αν το υποστηρίζει καν.

 

Εν πάσι περιπτώσει, αν έχετε απλά ένα-δύο PC που βγαίνουν στο Internet συνδεόμενα με ethernet με κάποιον Router, είναι πολύ απίθανο το φιλτράρισμα πακέτων σε κάθε PC ("firewall") να σας προστατέψει από κάποια επίθεση από την οποία δεν θα είστε ούτως ή άλλως ασφαλής ως παρενέργεια του SNAT του Router. Και το firewall στον router θα ωφελούσε ουσιαστικά μόνο αν ο router είχε κάποια δική του ευπαθή υπηρεσία να ακούει στο public interface του (στο internet).

 

Αν έχετε ασύρματο δίκτυο, οι κίνδυνοι αυξάνουν προφανώς. Αλλά και πάλι, πρακτικά, αν χρησιμοποιήσετε WPA/WPA2, με ένα ισχυρό κλειδί είναι μικρές οι πιθανότητες να το παραβιάσει κάποιος τυχαίος γείτονας ή περαστικός.

 

Γενικά ένα firewall είναι πιθανό να σας προφυλάξει μόνο από μια συγκεκριμένη περίπτωση: αν τρέχετε κάποιο ευπαθές πρόγραμμα το οποίο ακούει σε κάποια port η οποία είναι προσβάσιμη από κάποιο μη έμπιστο δίκτυο.

 

Ποιες είναι οι πιθανότητες:

 

- Να έχετε κάνει την Port αυτή Forward προς το Internet αλλά να απορρίπτετε τα πακέτα από το "firewall"

- Να τρέχετε μια εφαρμογή που κάνει χρήση της port την δεδομένη στιγμή που θα τύχει κάποιος να ελέγξει τη διεύθυνσή σας για listening υπηρεσίες

- Η εφαρμογή να είναι ευπαθής και ο εισβολέας να έχει τον τρόπο να το εκμεταλλευτεί

 

Αφάνταστα λιγότερες από τις πιθανότητες να πέσετε θύμα επιθέσεων όπως phishing ή λόγω κακής επιλογής / διαχείρισης κωδικών (πόσοι χρησιμοποιείτε τον ίδιο ή παρόμοιο κωδικό σε φόρα όπως το insomnia, στα email σας, στο PC σας και παντού; Πόσοι έχετε κωδικούς με λιγότερους από 12 χαρακτήρες, βασισμένους σε λέξεις και χωρίς μη αλφαριθμητικούς χαρακτήρες; Πόσοι τους χρησιμοποιείτε συνδεόμενοι από ξένα, untrusted, δίκτυα και computers; ).

 

Το firewall είναι απλά ένα εργαλείο που κάνει συγκεκριμένη δουλειά, μόνο σε πολύ συγκεκριμένες περιπτώσεις θα μας προστατέψει και αυτό μόνο αν το έχουμε ρυθμίσει σωστά. Δεν έχει νόημα να έχουμε ανοικτές τις εξώπορτες και να προβληματιζόμαστε για το αν πρέπει να ενισχύσουμε το παραθυράκι του φωταγωγού.

 

αλλά για το nfs share το απεγκαθιστω γιατι δεν ξερω να το ρυθμίζω

μπορει να μου πει καποιος πως γινεται αυτό;

Απενεργοποίησέ το τελείως' date=' δεν έχει ιδιαίτερο νόημα. Αν θέλεις να το ρυθμίσεις να επιτρέπει μόνο το NFS, θα πρέπει να επιτρέπεις εισερχόμενα πακέτα στις ports στις οποίες ακούνε οι portmap, nfsd, lockd, mountd και statd, όμως οι 3 τελευταίοι by default στις περισσότερες διανομές ακούνε σε τυχαία, οπότε θα πρέπει πρώτα να τα ρυθμίσεις να είναι σταθερά (παράδειγμα για redhat, δε ξέρω που έχει τα αντίστοιχα configuration files το mandrake). Όμως είναι πιο απλό να του πεις να αφήνει όλο το εισερχόμενο traffic από διευθύνσεις του τοπικού δικτύου, π.χ. αν το τοπικό σου δίκτυο έχει διευθύνσεις 192.168.1.0 στο subnet 255.255.255.0, θα πρόσθετες τον επιθυμητό κανόνα δίνοντας κάτι σαν "iptables -A INPUT -i eth0 --source 192.168.1.0/24 -j ACCEPT")

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
gdp77 Veteran

gdp77

Δημοσ.
Δημοσ.
απλα πραγματα μπορω με την βασικη εγκατασταση του Ubuntu 8,04 να ειμαι ησυχος?

 

μπορω να κατεβασω αφοβα απο torrents?

 

αν ο router μου δεν εχει firewall τι κανω?

 

 

Ναι μπορείς να είσαι ήσυχος. Άνετη περιήγηση σε ό,τι site θέλεις, και torrents όσο τραβάει η ψυχή σου. Απλά αν ένα torrent είναι μολυσμένο και το εκτελέσεις σε win, τότε τα win θα μολυνθούν.

 

Προσωπικά μετά από χρόνια χρήσης Ubuntu, σε πολύ "σκληρές συνθήκες", δεν αντιμετώπισα ΠΟΤΕ πρόβλημα με malware.

 

Δες και εδώ μια άλλη εμπειρία

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
Cntrl+X Experienced

Cntrl+X

Δημοσ.
Δημοσ.

nske,

Κι εγώ φαντάζομαι πως η λάθος συντήρηση του συστήματος και η μη υιοθέτηση κοινών πρακτικών π.χ. όπως λες κακή διαχείριση κωδικών, τακτικών ενημερώσεων ασφαλείας κλπ, είναι μεγαλύτερης προτεραιότητας πρόβλημα από ότι η ρύθμιση ενός Firewall.

Με τη "θητεία" όμως σε ένα περιβάλλον windows και από τη σκοπιά ενός όχι και τόσο άπειρου χρήστη, χρησιμοποιώντας κανείς ένα firewall, (εγώ χρησιμοποιούσα τις δωρεάν εκδόσεις του ZoneAlarm και Comodo), έρχεται αντιμέτωπος με μια πραγματικότητα που δεν ξέρω αν έχει να κάνει περισσότερο με την ασφάλεια ή με την ψευδαίσθηση της ασφάλειας: Τη διαπίστωση ότι μεγάλο πλήθος εισερχομένων πακέτων από τις ιστοσελίδες που επισκέπτεται ο browser, ακόμα κι αν αυτές δεν έχουν καταρχήν τίποτα το ύποπτο, θεωρούνται ύποπτα και ζητείται η έγκριση του χρήστη για τη διεκπεραίωσή τους.

Και όταν λέμε ύποπτα, εννοούμε ότι δεν χαρακτηρίζονται πάντα απλώς ύποπτα από το firewall αλλά συχνά συνοδεύονται από σημάνσεις που κινούνται στη ζώνη συναγερμού.

Ζώντας τώρα με linux, μολονότι δεν αντιμετώπισα ποτέ σοβαρό πρόβλημα ασφαλείας, δε μπορώ παρά να αναρωτηθώ, τι συμβαίνει με εκείνες τις "απόπειρες εισόδου ανεπιθύμητων πακέτων" για τις οποίες με ενημέρωναν τα firewall σε windows. Δε συμβαίνουν πια; Αν πάντως συμβαίνουν και συνιστούν με οιοδήποτε τρόπο δυνητική απειλή, θα ήθελα να είχα ένα εργαλείο που να μου γνωστοποιεί την παρουσία τους.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
nske Mentor

nske

Δημοσ.
Δημοσ.

ΟΙ τρόποι που μπορεί να μας βλάψει ένα web site είναι οι εξής:

 

- Να μας ξεγελάσει με κάποιον τρόπο (συνήθως να μας κάνει να νομίσουμε ότι είναι κάποιο άλλο site) ώστε να του δώσουμε ευαίσθητες πληροφορίες. Οι σύγχρονοι browsers υποτίθεται ότι αποτρέπουν τις πιο ύπουλες μεθόδους καμουφλαρίσματος του phishing (αν δεν κάνω λάθος ο Firefox έχει και κάποια addons που κάνουν και άλλους ελέγχους). ΑΛλά δεν χρειάζεται, απλά να είμαστε παρατηρητικοί και προσεκτικοί, δεν είναι δουλειά του υπολογιστή να μας προφυλάξει αν π.χ. κάνουμε κλικ σε ένα email που φαίνεται να είναι από την Citibank και το οποίο ζητάει το PIN μας :P

 

- Να μας ξεγελάσει ώστε να κατεβάσουμε και αν εκτελέσουμε κακόβουλο λογισμικό (το οποίο προς το παρών κατά 99% είναι γραμμένο για windows). Αν θέλουμε να είμαστε παρανοϊκοί, μπορούμε ό,τι δεν κατεβάζουμε από αξιόπιστες πηγές να το ελέγχουμε με το clamav και να το τρέχουμε με δικαιώματα ενός λογαριασμού που δεν έχει πρόσβαση σε κάτι σημαντικό. Αλλά ούτως η άλλως, ποιος έχει λόγο να κατεβάσει executables για linux από web sites -πόσο μάλλον από μη επώνυμα sites-; Αν δε μιλάμε για executable, αλλά π.χ. για .zip, θα πρέπει να βασιστεί σε αδυναμία στο λογισμικό που θα το διαβάσει (π.χ. του unzip ή του ark). Οι αδυναμίες αυτές είναι αρκετά σπάνιες και διορθώνονται γρήγορα. Κάποιος που κάνει συχνά updates, είναι απίθανο να πέσει θύμα.

 

- Να τρέξει κάτι στον υπολογιστή μας μέσω Javascript. Ο browser επιβάλει περιορισμούς στο τι μπορεί να κάνει ένα javascript που θα τρέξει, οπότε θα πρέπει να υπάρχει κάποια αδυναμία και στον browser για να τρέξει κάτι επικίνδυνο. Οι αδυναμίες αυτές είναι αρκετά σπάνιες και περιορισμένες και διορθώνονται αμέσως. Κάποιος που κρατάει up-to-date τον browser του (ή παρακολουθεί τις αλλαγές των νέων εκδόσεων και κάνει update κατ' επιλογή) είναι αρκετά ασφαλής.

 

Καμία από τις παραπάνω δεν είναι δουλειά του firewall. Το firewall φιλτράρει τα πακέτα στα network/transport layers σύμφωνα με κάποιες standard πληροφορίες που υπάρχουν στους headers των σχετικών πρωτοκόλλων (IP, TCP, UDP). Οι εφαρμογές που αναφέρεις φαίνεται ότι δεν κάνουν μόνο τη δουλειά ενός firewall, αλλά επιθεωρούν και τα δεδομένα σε κάποια application layer protocols (π.χ. http) για κάποια κριτήρια (δε ξέρω ποια, αλλά φαντάζομαι θα είναι πράγματα όπως ύποπτα content patterns ή blacklisted διευθύνσεις) προσπαθώντας να αντιμετωπίσουν τους παραπάνω κινδύνους. Αν κάποιος θέλει να εφαρμόσει κάτι τέτοιο στο Linux μπορεί να το κάνει είτε με εξειδικευμένους application-layer filtering proxies (π.χ. privoxy, dansguardian) είτε με IDS εφαρμογές (π.χ. snort) είτε με κάποια extensions των iptables που μπορούν να ψάξουν στο payload (π.χ. l7-filter, Rope).

 

Ετοιμες, τακτικά ανανεώσιμες, βάσεις με signatures και blacklists για τις παραπάνω εφαρμογές υπάρχουν βέβαια, αλλά οι ίδιες οι εφαρμογές στοχεύουν στο να κάνουν όσο το δυνατόν καλύτερη δουλειά για το εκάστοτε περιβάλλον στο οποίο θα χρησιμοποιηθούν, οπότε απαιτούν παραμετροποίηση και κατανόηση των εμπλεκομένων τεχνολογιών.

 

Δε ξέρω (δε νομίζω) να υπάρχει κάτι παρόμοιο με τις εφαρμογές των Windows, αλλά κατά τη γνώμη μου δε χρειάζεται και είναι λάθος. Τα web sites γνωρίζουμε με ποιους πολύ συγκεκριμένους τρόπους μπορούν να μας βλάψουν και μπορούμε να προφυλαχτούμε με το να είμαστε απλά προσεκτικοί. Τώρα, συμβαίνει προς το παρόν το Linux να μην αποτελεί στόχο desktop-oriented malware, γιατί το χρησιμοποιούν λίγοι για desktop. Νομίζω ότι για το ορατό μέλλον κάποιος που τρέχει Linux είναι πρακτικά αρκετά ασφαλής και χωρίς να προσέχει ιδιαίτερα π.χ. τι κατεβάζει, που πηγαίνει και τι τρέχει. Φυσικά αν έχει να προστατέψει σημαντικά πράγματα δε μπορεί να βασιστεί σε αυτό, αλλά ούτε μπορεί να βασιστεί και σε εφαρμογές "security/firewall" όπως αυτές των Windows. Μπορεί να βασιστεί μόνο στον εαυτό του, στην κατανόηση του είδους των απειλών που αντιμετωπίζει και την υλοποίηση κατάλληλων εξειδικευμένων μέτρων.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
Cntrl+X Experienced

Cntrl+X

Δημοσ.
Δημοσ.

nske,

Σ' ευχαριστώ για τις ενδιαφέρουσες πληροφορίες!

Βάσει των όσων αναφέρεις, εφαρμογές τύπου ZoneAlarm δεν επιτελούν μόνο χρέη firewall αλλά και κάτι επιπλέον, το οποίο στην περίπτωση των windows κρίνεται μάλλον αναγκαίο. Νομίζω ότι για τους περισσότερους χρήστες, όπως εγώ ή ο million_voices, ερωτήματα του τύπου αν είναι αναγκαία η χρήση firewall στο linux πάνω σε αυτή τη βάση μάλλον έχει νόημα να απαντώνται, (δηλαδή αν έχει νόημα η χρήση firewall plus εφαρμογών όπως αυτές που αναφέρεις), αφού η εμπειρία με τα windows αυτές ακριβώς τις εφαρμογές αφορά.

Για το αν είναι περιττή στο linux αυτή ακριβώς η επιπλέον χρηστικότητα δεδομένης της περιορισμένης διάδοσής του, έχω να ρωτήσω τα εξής 2 ερωτήματα, το ένα πρακτικό και το άλλο μάλλον θεωρητικό:

1) Ένα alert που εντοπίζεται από μια firewall plus εφαρμογή σε επίπεδο application layer protocol στα windows κατά την επίσκεψη σε έναν ιστότοπο είμαστε σίγουροι ότι θα μπορούσαμε να το αγνοήσουμε σε linux;

2) To Linux έχει περιορισμένη διάδοση. Το δεδομένο όμως αυτό αλλάζει κάτω από τη μύτη μας με τρόπο δραστικό. Και έπειτα, πόσο περιορισμένο είναι το "περιορισμένο"; Αν πιστέψουμε για παράδειγμα το W3counter, έχουμε ένα ποσοστό χρήσης 1,9% περίπου επί του συνόλου των OS, ενώ το W3schools εμφανίζεται πιό αισιόδοξο: 3,7%. Μολονότι μικρό, το ποσοστό αυτό δεν είναι καθόλου αμελητέο. Είναι αυτό μια πραγματικότητα που μπορούμε προς το παρόν να την προσπεράσουμε ήσυχοι;

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Αρχειοθετημένο

Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.

Προς την λίστα θεμάτων
  • Δημιουργία νέου...