방화벽이 기본적으로 비활성화 된 이유는 무엇입니까?

64

기본적으로 ufw 방화벽이 활성화 및 사전 구성되어 있지 않은데 왜 Ufwtu 방화벽이 포함되어 있습니까? GUI 프론트 엔드가 제공되지 않기 때문에 대부분의 사용자는 그것이 존재하는지도 모른다.

security  firewall  ufw  gufw 
6205
소스
6
방화벽이 설치되었지만 비활성화 된 것을 우연히 발견했을 때 충격을 받았습니다! 여기에 언급 된 주장은 꽤 약합니다.
HRJ
1
나는 여기에 착륙 한 이유와 같은 질문을하고 있습니다 .Linux 사용자 (일반 데스크탑 사용자가 될 가능성이 높은 Windows 사용자와 달리)는 Linux를 다양한 용도로 사용합니다. 일부 ssh는 웹 서버, 데이터베이스 또는 smtp 서버로 많이 사용합니다. Linux 철학은 모든 사용자가 자신의 방화벽을 적절하게 구성 할 수 있도록합니다.
user10089632
이것은 매우 나쁜 디자인 결정입니다. 놀랍게도 나쁜!
iono

답변:

37

기본적으로 Ubuntu는 TCP 또는 UDP 포트가 열려 있지 않은 상태로 제공되므로 기본적으로 UFW (Uncomplicated Firewall) 를 실행할 이유가 없습니다 . 그러나 ufw를 비활성화하는 것은 이상한 결정이라는 데 동의합니다. 저의 경험은 경험이 부족한 사용자가 Samba, Apache와 같은 것들을 설치하기 전에 시스템을 실험 해 보는 것과 같은 일을 할 수 있다는 것입니다. 그들이 이것의 의미를 이해하지 못하면, 그들은 인터넷에서 악의적 인 행동에 노출 될 것입니다.

예-WPA2로 보호되는 홈 네트워크에서 괜찮은 Samba로 랩톱을 구성했습니다. 그러나 노트북을 스타 벅스에 가져 가면 아무 것도 생각하지 않을 수 있지만, 그 노트북은 현재 내 주식을 모두에게 알리고 있습니다. 방화벽을 사용하면 삼바 포트를 홈 서버 나 피어 장치로만 제한 할 수 있습니다. 누가 내 랩톱에 연결하려고하는지 걱정할 필요가 없습니다. VNC, SSH 또는 랩톱이 실행 중이거나 연결하려고하는 다른 유용한 서비스도 마찬가지입니다.

우분투는 보안의 특정 요소에 대해 매우 온 / 오프 접근 방식을 취합니다. 보안은 기술적으로 켜져 있거나 꺼져있을 수 있지만 보안 요소를 서로 겹쳐서 사용하면 더 나은 시스템이됩니다. 물론 우분투의 보안은 많은 유스 케이스에 충분하지만 전부는 아닙니다.

결론은 ufw를 실행하는 것입니다. 죄송합니다보다 더 안전.

복잡하지 않은 방화벽에는 많은 그래픽 프론트 엔드가 있지만 가장 간단한 것은 Gufw 입니다.

GUFW 로고

sudo apt-get install gufw

여기에서는 회사 환경에서 특정 서버 VLAN의 모든 트래픽을 허용하고 리버스 SSH 세션에 필요한 포트가이 시스템에서 바운스되도록하는 규칙을 추가했습니다.

GUFW 스크린 샷

스 캐인
소스
ufw는 iptables 만 제어하므로 기본적으로 활성화되어 있지 않습니다. 고급 사용자는 iptables를 사용할 수 있습니다.
papukaija
3
@papukaija-iptables의 고급 사용자는 iptables를 사용할 수 있습니다. bsd 시스템의 고급 사용자는 pf를 사용하지만 우분투에 와서 갑자기 사용자를 정교하게 만들지는 않습니다. 주로 네트워크 엔지니어 인 사람과 마찬가지로 Cisco 또는 Juniper ACL 논리를 알고있을 것입니다. 모든 사람을위한 것은 아니지만 ufw는 구성을보다 쉽게 ​​액세스 할 수있게 해주는 것으로 생각합니다.
belacqua
2
@jgbelacqua : 사실이지만 scaine의 대답은 ufw가 방화벽이고 iptables의 프런트 엔드에 불과하다는 이미지를 제공합니다.
papukaija
1
( 공격적인 pedant 경고) 스푸핑 가능한 소스 주소를 기준으로 임의의 수신 UDP / 53 패킷을 허용 하지 않는 것이 좋습니다 . 실제 공격 (DNS 독, 증폭 된 트래픽에 의한 DoS)에 사용되었습니다. 왜 이렇게해야합니까?
sourcejedi
그렇습니다. 아마 그렇습니다. 그것은 내 로그에서 OpenDNS를 원했던 오래된 PC의 스크린 샷이 아닙니다. 좋은 습관이 아닙니다. 시간이 걸리면 GUFW가 요즘 꽤 다르게 보이기 때문에 스크린 샷을 업데이트하려고합니다.
Scaine
28

Microsoft Windows와 달리 Ubuntu 데스크탑은 인터넷에서 안전하기 위해 방화벽이 필요하지 않습니다. 기본적으로 Ubuntu는 보안 문제를 일으킬 수있는 포트를 열지 않기 때문입니다.

일반적으로 제대로 강화 된 Unix 또는 Linux 시스템에는 방화벽이 필요하지 않습니다. 방화벽 (Windows 컴퓨터의 특정 보안 문제 제외)은 인터넷에 대한 내부 네트워크를 차단하는 것이 더 합리적입니다. 이 경우 로컬 컴퓨터는 방화벽에 의해 외부로 차단되는 열린 포트를 통해 서로 통신 할 수 있습니다. 이 경우 내부 네트워크 외부에서는 사용할 수없는 내부 통신을 위해 컴퓨터가 의도적으로 열립니다.

표준 Ubuntu 데스크탑에서는이를 필요로하지 않으므로 ufw는 기본적으로 활성화되어 있지 않습니다.

txwikinger
소스
(g) uwf 그냥 프론트 엔드 아닌가요? 실제 방화벽이 iptables라는 의미입니까?
papukaija
9
제대로 강화 된 시스템이라도 방화벽의 이점이 있습니다. 예를 들어 Samba를 실행하면 모든 사람에게 다양한 포트를 엽니 다. firwall을 사용하면 서버 또는 피어로만 제한 할 수 있습니다.
Scaine
netfilter + iptables 또는 netfilter + ufw (iptables 포함)는 방화벽을 제공합니다. 그러나 ufw가 있으면 방화벽 기능이 있습니다.
belacqua
4
[citation needed]
ζ--
7
이것은 완전히 터무니없는 것입니다. 방화벽은 불법적 인 사용으로부터의 송수신 통신을 보호하는 데 사용됩니다. 이것은 포트를 잘못 여는 음악 플레이어를 설치하면 인터넷에 연결되어 있음을 의미합니다. 이를 선제 적 보안이라고하며 발생 가능한 상황으로부터 보호합니다. 이 답변은 사람들에게 리눅스 환경에서 잘못된 보안 감각을 제공합니다.
Daniel
8

우분투 나 다른 리눅스에서 방화벽은 기본 시스템의 일부이며 iptables / netfilter라고합니다. 항상 활성화되어 있습니다.

iptables는 패킷이 들어올 때 수행 할 작업과 동작에 대한 일련의 규칙으로 구성됩니다. 특정 IP에서 들어오는 연결을 명시 적으로 차단하려면 규칙을 추가해야합니다. 실제로는 그렇게 할 필요가 없습니다. 편하게 하다.

안전한 보안을 원한다면 어디서나 임의의 소프트웨어를 설치하지 마십시오. 기본 보안 설정이 손상 될 수 있습니다. 루트로 실행하지 마십시오. 항상 공식 저장소를 신뢰하십시오.

UI를 설치했는지 여부를 묻고 싶습니까?

매니쉬시나
소스
8
방화벽이 "항상 사용"되어있는 것처럼 들리지만, 그렇지 않습니다. 통합되어있을 수도 있지만로 설정하지 않으면 sudo ufw enable설치 한 첫 번째 서버 소프트웨어가 내장 iptables가 수행하지 않을 포트를 엽니 다.
Scaine
4
@Scaine : ufw는 작업을 수행하지 않습니다. iptables에 의해 수행되며 기본적으로 활성화되어 있습니다.
papukaija
7
여러분 안녕하세요. UFW는 iptables의 프론트 엔드입니다. 그러나 기본적으로 iptables는 정확하게 아무것도하지 않습니다. 작동하지 않습니다. 방화벽이 아닙니다. 준비되었지만 쓸모가 없습니다. sudo ufw enableiptables가 무엇이든하도록 설정하기 전에 반드시 실행해야합니다 . 매니쉬, 당신의 대답은 방화벽이 작동하는 것처럼 들립니다. 당신은 "기술적으로"라고 말하고 기술적으로 당신 말이 맞습니다. 그러나 아무것도하지 않으므로 보안이 전혀없는 곳에서 방대한 거짓 인상을줍니다.
Scaine
3
"서버 소프트웨어를 설치하는 일반 사용자"에 관한 @manish. 내 예에 따라 많은 사람들이 삼바를 설치할 것입니다. 다른 많은 사람들은 기본 설정 / 원격 데스크톱에서 내장 VNC 서버를 사용합니다. 가정 환경에서는 문제가 없지만 (아마도) 해당 서비스가 활성화 된 랩톱을 외부로 가져 가면 잠재적으로 악의적 인 행동에 노출 될 수 있습니다.
Scaine
2
ssh, 인쇄 관련 및 메일 포트도 완전히 일반적인 종류의 데스크탑 또는 서버 작업을 위해 자주 열립니다. 이것들은 (예를 들어 소스 IP에 의해) 잠기거나 ufw 또는 다른 풍미의 방화벽 / ACL로 완전히 닫을 수 있습니다.
belacqua
4

또한 gufwGUI 프런트 엔드를 제공 할 수 있습니다. (이것은 명령 줄에서 ufw보다 직관적이지 않지만, 거기에 무엇이 있는지 시각적으로 알려줍니다.) 방화벽이 현재 잘 알려져 있지 않다는 데 동의합니다. 내가 추측한다면, 이것은 새로운 사용자가 발로 스스로를 쏘지 못하게 막는 것이라고 말합니다.

벨라 쿠아
소스
-1

이유 : 비밀번호 또는 암호 키.

이것은 IMO 정답이며, 지금까지 다른 답변과는 상당히 다른 답변입니다. ufw암호는 개인 정보 보호 및 제한된 제어를 제공하는 데 중요한 보호 수단이라는 것을 알고있는 대다수의 우분투 사용자의 편의를 위해 기본적으로 비활성화되어 있습니다. 우분투 사용자 대부분은 포트와 관련된 위험뿐만 아니라 일반적인 위험을 최소화하기 위해 우분투 승인 저장소에서 설치하여 소프트웨어를 "검토"하고 다른 소스에주의를 기울입니다. 그렇게하면 이미 "일반적인"암호를 사용하기 때문에 이미 작았고 암호를 해독하기 어려운 암호 나 암호 키를 사용하면 아주 작은 포트 관련 위험을 최소화 할 수 있습니다.

Starbucks (공용) WiFi의 Samba 파일 서버, Apache HTTP 서버, SSH, VNC와 같은 일부 위험은 일반적으로 호스트에서 암호를 해독하기 어려운 암호로 제거 할 수 있습니다.

ufw방화벽이 소프트웨어를 "손상"하면 기본적으로 소프트웨어가 비활성화됩니다. 서버 A의 Ubuntu를 새로 설치할 때이를 테스트하려면 ssh동일한 로컬 네트워크에있는 다른 컴퓨터 인 클라이언트 B에서 설치 하고 로그인하면 즉시 작동합니다. 로그 아웃. 그런 다음 서버 A와으로 돌아갑니다 sudo ufw enable. 클라이언트 B로 돌아 가면 ssh서버 A로 실패 합니다.

H2ONaCl
소스
1
암호는 스택의 훨씬 높은 수준에 있습니다. 낮은 수준의 스택에서 간단한 버퍼 오버런을 통해 시스템을 공격 할 수 있습니다.
HRJ
왜 공감해야합니까?
H2ONaCl
@HRJ, "시스템을 공격 할 수있다"고하더라도 편의성이 중요하지는 않습니다. 내가 쓴 내용의 정확성을 다루지 않았습니다. 난 괜찮아. 당신은 접선에 있습니다.
H2ONaCl
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.