ファイアウォールがデフォルトで無効になっているのはなぜですか?


65

Ubuntuでufwファイアウォールが有効になっておらず、デフォルトで事前設定されているのに、なぜufwファイアウォールが含まれているのですか?ほとんどのユーザーは、GUIフロントエンドが提供されていないため、そこにあることすら知りません。


6
ファイアウォールがインストールされているが無効になっていることを偶然発見したとき、私はショックを受けました!ここで述べた議論はかなり弱いです。
HRJ

1
私は同じ質問をしているので、ここに着陸したのですが、Linuxユーザーは通常のデスクトップユーザーである可能性が高いWindowsユーザーとは対照的に、Linuxのさまざまな用途を持っているという非常にワイルドな推測を持っています:一部の用途ssh、一部の用途では、多くの場合、Webサーバー、データベース、またはsmtpサーバーとして使用されます。
user10089632

これは非常に悪い設計上の決定です。驚くほど悪い!
イオノ

回答:


37

デフォルトでは、UbuntuはTCPまたはUDPポートが開いていない状態で出荷されるため、デフォルトでUncomplicated Firewall(ufw)を実行する理由はないと考えられています。ただし、ufwを無効にすることは奇妙な決定であることに同意します。私の理由は、経験の浅いユーザーは、Samba、Apacheなど、前に置いたシステムで実験するようなものをインストールする可能性が高いということです。この影響を理解していない場合、インターネット上の悪意のある動作にさらされることになります。

例-私はラップトップをSambaで構成しましたが、これはWPA2で保護されたホームネットワークでは問題ありません。しかし、私がラップトップをスターバックスに持っていくと、何も考えないかもしれませんが、そのラップトップは私の株をすべての人に宣伝しています。ファイアウォールを使用すると、Sambaポートをホームサーバーまたはピアデバイスのみに制限できます。誰が私のラップトップに接続しようとしているかについて心配する必要はありません。VNC、SSH、またはラップトップが実行している、または接続しようとしている他の多数の有用なサービスについても同様です。

Ubuntuは、セキュリティの特定の要素に対して非常にオン/オフのアプローチを取っていますが、これは私が同意できない哲学です。セキュリティは技術的にオンまたはオフになっている場合がありますが、セキュリティの要素を相互に重ねることで、より優れたシステムになります。確かに、Ubuntuのセキュリティはすべてではありませんが、多数のユースケースに十分対応できます。

要するに、ufwを実行します。転ばぬ先の杖。

複雑でないファイアウォールには多くのグラフィカルなフロントエンドがありますが、最も単純なものはGufwです。

GUFWロゴ

sudo apt-get install gufw

ここでは、企業環境内の特定のサーバーVLANからのすべてのトラフィックを許可し、リバースSSHセッションに必要なポートがこのマシンから跳ね返ることを許可するルールを追加しました。

GUFWスクリーンショット


ufwはiptablesを制御するだけです。だからこそ、デフォルトでは有効になっていません。上級ユーザーはiptablesを使用できます。
パプカイジャ

3
@papukaija-iptablesの上級ユーザーはiptablesを使用できます。bsdシステムの上級ユーザーはpfを使用しますが、ubuntuにアクセスするユーザーが突然洗練されることはありません。同様に、主にネットワークエンジニアである人と同様に、その人はCiscoまたはJuniper ACLロジックを知っています。それは万人向けではありませんが、ufwは設定をよりアクセスしやすくすることができ、私の意見ではこれは良いことです。
ベラク

2
@jgbelacqua:本当ですが、scaineの答えはufwがファイアウォールであり、iptablesの単なるフロントエンドであるというイメージを与えます。
パプカイジャ

1
(積極的な警告)なりすまし可能な送信元アドレスに基づいて、ランダムに着信するUDP / 53パケットを許可しないことをお勧めします。それらは、実際の攻撃(DNSポイズン、増幅されたトラフィックによるDoS)で使用されています。なぜそうする必要があるのでしょうか?
sourcejedi 14

はい、おそらく本当です。これは本当に古いPCのスクリーンショットで、ログからOpenDNSを削除したかっただけです。それは良い習慣ではありません。時間があれば、スクリーンショットの更新を試みます。最近ではGUFWの外観がかなり変わっているためです。
スケイン14

28

Microsoft Windowsとは対照的に、Ubuntuデスクトップはセキュリティ上の問題を引き起こす可能性のあるポートをデフォルトで開かないため、インターネット上で安全にするためにファイアウォールを必要としません。

一般に、適切に強化されたUnixまたはLinuxシステムにはファイアウォールは必要ありません。ファイアウォール(Windowsコンピューターの特定のセキュリティ問題を除く)は、インターネットへの内部ネットワークをブロックするのにより適しています。この場合、ローカルコンピューターは、ファイアウォールによって外部に向かってブロックされている開いているポートを介して互いに通信できます。この場合、コンピューターは、内部ネットワークの外部で使用できないはずの内部通信のために意図的に開かれます。

標準のUbuntuデスクトップではこれは必要ないため、ufwはデフォルトでは有効になっていません。


(g)uwfは単なるフロントエンドではありませんか?実際のファイアウォールはiptablesですよね?
パプカイジャ

9
適切に強化されたシステムでさえ、ファイアウォールの恩恵を受けます。たとえば、Sambaを実行する場合は、すべてのユーザーに対してさまざまなポートを開きます。firwallを使用すると、サーバーまたはピアのみに制限できます。
スケイン

netfilter + iptablesまたはnetfilter + ufw(iptablesを含む)はファイアウォールを提供します。ただし、ufwを使用している場合は、ファイアウォール機能が使用できます。
ベラク

4
[引用必要]
ζ--

7
これはまったくばかげています。ファイアウォールは、不正な使用から入出力通信を保護するために使用されます...これは、たとえば、誤ってポートを開く音楽プレーヤーをインストールすると、インターネットへの接続が開かれることを意味します。これはプリエンプティブセキュリティと呼ばれ、発生する可能性のある事態から保護します。この答えは、Linux環境でのセキュリティに対する誤った感覚を人々に与えます。
ダニエル

8

Ubuntuまたはその他のLinuxでは、ファイアウォールはベースシステムの一部であり、iptables / netfilterと呼ばれます。常に有効になっています。

iptablesは、パケットが着信した場合の処理​​と動作方法に関する一連のルールで構成されています。特定のIPからの着信接続を明示的にブロックする場合は、ルールを追加する必要があります。実際にそうする必要はありません。リラックス。

何からでも優れたセキュリティが必要な場合は、どこからでもランダムなソフトウェアをインストールしないでください。デフォルトのセキュリティ設定が台無しになる可能性があります。rootとして実行しないでください。公式リポジトリを常に信頼してください。

UIがインストールされているかどうかを尋ねたいと思いましたか?


8
ファイアウォールが「常に有効」になっているように聞こえますが、そうではありません。統合されている可能性がありますが、で有効にしない限りsudo ufw enable、最初にインストールするサーバーソフトウェアは、組み込みのiptablesが処理しないポートを開きます。
スケイン

4
@Scaine:ufwは仕事をしません。デフォルトで有効になっているiptablesによって実行されます。
パプカイジャ

7
こんにちは、みんな。UFWはiptablesのフロントエンドです-わかりました。ただし、デフォルトでは、iptablesは正確に何もしません。機能していません。ファイアウォールではありません。準備はできていますが、役に立ちません。sudo ufw enableiptablesが何かを行うように設定される前に実行する必要があります。マニッシュ、あなたの答えはファイアウォールが実行されているように聞こえます。あなたは「技術的にはそうです」と言っていますが、技術的には正しいです。しかし、それは何もしていません。そのため、セキュリティが存在しない場合、非常に誤った印象を与えています。
スケイン

3
@manish、「サーバーソフトウェアをインストールする通常のユーザー」について。私の例のように、多くの人がSambaをインストールします。他の多くの人は、設定/リモートデスクトップでビルトインVNCサーバーを使用します。これは(おそらく)家庭環境では問題ありませんが、それらのサービスを有効にしてそのラップトップを外に出すと、悪意のある動作にさらされる可能性があります。
スケイン

2
ssh、印刷関連、およびメールポートは、完全に通常の種類のデスクトップまたはサーバー操作のために頻繁に開かれます。これらは(たとえばソースIPによって)ロックダウンするか、ufwまたは別の種類のファイアウォール/ ACLで完全に閉じることができます。
ベラク

4

また、gufwGUIフロントエンドを提供できます。(コマンドラインでufwよりも直感的ではありませんが、そこに何があるかを視覚的に思い出させることができます。)現在、ファイアウォールがうまく宣伝されていないことに同意します。私が推測した場合、これは新しいユーザーが自分自身を足で撃つことを防ぐためだと思います。


-1

理由:パスワードまたは暗号キー。

これがIMOの正解であり、これまでのところ、他の回答とはまったく異なる答えです。ufwパスワードはプライバシーと制限された制御を提供するための重要な保護形態であることを知っているUbuntuユーザーの大半の便宜のためにデフォルトで無効になっています。Ubuntuユーザーの大半は、Ubuntuが承認したリポジトリからインストールすることでソフトウェアを「吟味」し、ポートに関連するリスクだけでなく、一般的なリスクを最小限に抑えるために他のソースに注意します。そうすることで、彼らは「通常の」パスワードを使用しているために既に小さくなっているポート関連のリスクを最小限に抑えることに大いに役立ちます。

Sambaファイルサーバー、Apache HTTPサーバー、SSH、スターバックス(パブリック)WiFi上のVNCなどのリスクの一部は、通常、ホスト上のパスワードを簡単に解読することで排除されます。

ufwファイアウォールのようにソフトウェアを「破壊」します。これがデフォルトで無効になっている理由です。Ubuntuの新規インストール、サーバーAでこれをテストするにはssh、同じローカルネットワーク上の別のマシン、クライアントBからインストールしてログインすると、すぐに動作することがわかります。ログアウト。次に、サーバーAとに戻りますsudo ufw enable。クライアントBに戻るとssh、サーバーAに失敗します。


1
パスワードはスタックのずっと高いレベルにあります。スタックの低レベルでの単純なバッファオーバーランにより、システムが攻撃される可能性があります。
HRJ

なぜ下票なのですか?
H2ONaCl

@HRJ、「システムを攻撃できる」は、利便性が重要であることを論thatしていません。あなたは、私が書いたものの正確性に取り組んでいない。私は正しい。あなたは接線上にいます。
H2ONaCl
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.