요즘 방화벽이 정말로 필요한가요? [닫은]

13

gufw와 같은 것을 설치해야합니까?

security firewall

— TheXed
소스

5

나는이 질문들이 객관적 이고 정답 을 얻기에는 너무 광범위하다고 생각합니다 .

— Stefano Palazzo

독립형 방화벽이 아닌 호스트 기반 방화벽을 의미한다고 가정합니다. 그러나 나는 이것이 명확한 답을 얻기에는 너무 광범위한 주제라는 Stefano에 동의합니다. 상황은 시스템의 위치, 실행중인 서비스, 다른 보안 제어 기능, 가동 시간 값 (서비스 거부) 및 데이터 (재무, 독점, 대체 불가능) 등의 상황에 따라 다릅니다. 신중한 보안의 일반적인 원칙은 다중 보호를 사용하는 것입니다. 일상적인 활동에 방해가되지 않는 경우 보안 계층을 추가하면 단점이 거의없고 가능한 이점이 있습니다.

— belacqua

또한 sudo nmap localhost. 지금 열린 포트가 있습니까? (대략적인 추정)

— belacqua

sudo nmap localhost이 명령은 작동하지 않습니다

— TheXed

1

@TheX 그게 namp가 설치되어 있지 않기 때문에?

— theTuxRacer

7

예, 그 어느 때보 다. 옛날부터 인터넷은 많이 바뀌지 않았습니다. 요즘 방화벽은 여전히 필요합니다. 기본 규칙이있는 gufw와 같은 방화벽이 작동합니다. CLI 괴짜라면 iptables를 사용하십시오.)

— theTuxRacer
소스

dangit, 왜 downvoted했는지 의견을 말하십시오.

— theTuxRacer

1

투표 ++; echo "Use iptables" - I assume I\'m a real CLI geek then :p;

— Lekensteyn

1

정답이 아닙니다.

— psusi

1

@psusi 호스트 기반 방화벽 사용이 좋은 생각이라는 전제에 동의하지 않거나 ufw / iptables 평가에 동의하지 않기 때문에 이것이 잘못되었다고 말씀하십니까?

— belacqua

1

@jgbelacqua 그것은 우분투 데스크탑 시스템의 호스트 기반 방화벽이 무의미하고 그 어느 때보 다 필요하지 않기 때문에 잘못되었습니다. Manish와 관련된 질문은 그 이유에 대해 아주 잘 설명되어 있습니다.

— psusi

5

Ubuntu의 방화벽에 대한 자세한 내용은이 회신을 확인하십시오.

방화벽이 기본적으로 비활성화 된 이유는 무엇입니까?

— 매니쉬시나
소스

3

의심의 여지없이, 그것은 하나의 기회 스 누퍼 만 있으면 문제를 끝내지 않아도됩니다. 혼란은 당신이 방화벽 뒤에 있는지 확인하는 방법에 있습니다.

여기에 더 자세히 설명되어 있습니다. 사전 설치 또는 자동 방화벽이 있습니까?그러나 간단히 말해서 무선 라우터 뒤에있는 홈 네트워크에 있으면 라우터는 일반적으로 방화벽 역할을 수행하는 것입니다. 무엇이든 의존하기 전에 제조업체에 확인하는 것이 좋습니다 (라우터 구성에 따라 다름).

GUFW 자체는 방화벽이 아니라 우분투의 기본 방화벽 (UFW)을위한 GUI 일뿐입니다. UFW는 기본적으로 꺼져 있습니다. 일반적으로, 잠재적 인 충돌을 피하기 위해 하나의 방화벽 만 실행하는 것이 좋습니다. 따라서 신뢰할 수있는 홈 네트워크에 있고 (라우터가 적절한 보호 기능을 제공한다고 긍정적 인 경우) 소프트웨어 방화벽 (UFW)을 끄는 것이 좋습니다.

공개 / 신뢰할 수없는 네트워크에있을 때는 다시 전원을 다시 켜십시오.

— Richzilla
소스

개인 소프트웨어 방화벽을 운영하는 데 아무런 해가 없습니다 ... 일반적으로 좋은 생각이며 로컬 네트워크에서 제대로 작동하지 않는 시스템에 대해 '심층 방어'를 제공합니다.

— Nerdfest

방화벽이 동일한 방식으로 구성되어있는 한 동의합니다. 네트워크 문제를 진단하는 데

— 걸린

1

내 LAN 내부 : 방화벽이 없습니다. 인터넷 연결 : 물론 방화벽. 연결하는 컴퓨터를 신뢰하는 방법에 따라 방화벽을 만듭니다.

— djeikyb

2

방화벽을 설치하는 것이 좋습니다. 아무것도 아닌 것보다 항상 낫습니다. 그렇지 않습니까?. 우분투, 기본적으로 방화벽 ' ufw ' 와 함께 제공됩니다 . gufw (질문에서 언급)는 'ufw'의 GUI 일뿐입니다.

도움이 되었기를 바랍니다.

— she
소스

1

참고 : iptables는 방화벽이 아닙니다. Netfilter는 Linux 커널의 일부입니다. iptables는 netfilter 규칙 세트를 수정 / 조회하는 데만 사용되는 명령 행 유틸리티입니다.

— LGB

또 다른 오답입니다.

— psusi

wikipedia의 @LGB : iptables는 시스템 관리자가 Linux 커널 방화벽 (다른 Netfilter 모듈로 구현 됨)에서 제공하는 테이블과이를 저장하는 체인과 규칙을 구성 할 수있는 사용자 공간 응용 프로그램입니다. 이제 혼란 스러워요.

— theTuxRacer

@aneesheep 나는 uwf프론트 엔드 iptables(netfilter의 인터페이스) 이기 때문에 이것이 잘못되었다고 말하고 싶습니다 . iptables가 없으면 ufw를 설치할 수 없습니다.

— belacqua

나를 올바른 방향으로 인도 해 주셔서 감사합니다. 내 답변에서 iptables 섹션을 제거했습니다.

— aneeshep

1

우분투에는 GUI 도구로 활성화 된 기본 방화벽이 제공됩니다. 나는 그것이 함께 제공되지 않습니다 놀랐습니다. iptables 가 이미 있지만로드 된 규칙이 없다는 것을 알고 있습니다. 기본 사항을 실행 하려면 수동으로 수행하거나 Firestarter 와 같은 것을 설치해야 합니다.

DSL을 활성화 할 때마다 ISP가 자신의 공개 IP를 제공한다는 것을 알게되었을 때 어느 날 너무 놀랐습니다. 내 컴퓨터가 몇 시간 동안 히트했는지, ssh 로그인 시도, 기타 스캔 및 MS 익스플로잇 (예 : 누군가 ISP의 IP에서 실행하고 있음)을 상상해보십시오. 롤! :)

— 마키
소스

2

그리고 방화벽이 없어도 시스템은 모든 시스템을 매우 무시합니다.

— psusi

특정 포트에서 수신 대기하는 서비스가 있으면 머신은 무시하지 않습니다. 사실, 나는 기계가 연결을 수용 하기 를 간절히 바란다 .

— theTuxRacer

1

@Kaustubh P 포트에서 수신 대기하는 서비스가 있으면 연결을 수락하고 방화벽에서 해당 포트를 열 것입니다. 없는 경우 해당 포트에 대한 연결을 거부합니다.

— psusi

1

정의상 방화벽은 그렇지 않으면 허용되는 통신을 차단합니다. 데스크탑 우분투 시스템에는 연결을 허용하는 서비스가 기본적으로 설치되어 있지 않으므로 방화벽이 액세스를 차단하는 것은 없습니다. 따라서 완전히 쓸모가 없습니다.

Windows에서 방화벽이 필요한 것으로 간주되는 이유는 기본적으로 여러 가지 두뇌 교착 서비스가 설치되어 연결을 허용하고 상대방이 원하지 않는 컴퓨터로 작업을 수행 할 수 있기 때문입니다.

— 가우
소스

"완전히 쓸모없는"-잘못되었습니다. 방화벽은 추가 방어 계층을 추가합니다. 잘못된 정보도 제공합니다. 기본 Ubuntu 설치에는 서비스가 공개되어 있습니다. 예를 들어 UDP 포트 631에서 CUPS (Common Unix Printing System) 청취 기능을 제공합니다.

— Lekensteyn

1

다른 포트를 사용하는 새 서비스를 설치하는 경우 닫거나 방화벽으로 조정하지 않는 한 해당 포트 는 열린 상태로 유지됩니다 .

— theTuxRacer

OP는 데스크탑 또는 서버를 언급하지 않습니다. @Kaustubh가 말했듯이 데스크탑 시스템에서도 원래 설정에서 출발하면 포트가 열리지 않는다는 보장이 없습니다. 때로는 업데이트시 포트가 실수로 열려있는 경우도 있습니다.

— belacqua

@ Lekensteyn : 잘못이 아닙니다. Manish가 명확하게 설명 된 위치와 관련된 다른 질문을 읽는 것이 좋습니다. 포트가 이미 닫혀 있으면 포트를 닫는 프로그램은 쓸모가 없습니다. CUPS는 기본적으로 localhost에서의 연결 만 허용합니다.

— psusi

2

wiki.ubuntu.com/SecurityTeam/FAQ#UFW를 참조하십시오. ufw를 활성화하려면 간단합니다. "sudo ufw enable"

— Kees Cook

1

IPv6이 도입되면서 방화벽이 더욱 중요해졌습니다. 대부분의 시스템이 개인 IP 범위에서 비교적 안전한 IPv4와 달리 IPv6 장치는 완전히 액세스 할 수 있습니다.

기본 거부 정책을 가진 방화벽을 갖는 것이 더욱 중요합니다. 주소가 드물기 때문에 스캔 할 장치를 찾기가 더 어려워집니다. 링크 로컬 주소에 SMB와 같은 일부 프로토콜을 유지하면 도움이되지만 마법의 총알은 아닙니다.

즉, 기본 설치에서 활성 방화벽은 추가 보안 계층 일뿐입니다. 열린 포트를 수행하는 많은 응용 프로그램은 작동하려면 포트를 열어야합니다. 모두 잘 보호 할 수있는 추가 방법이 있습니다. 필요에 따라 모든 적절한 레이어를 활성화하십시오.

편집 : 응용 프로그램이 액세스를 제어하게하고 방화벽이 없어야하는 다른 이유에 대해 많은 의견이있었습니다. 불행히도 많은 응용 프로그램에는 액세스 제어가 없습니다. 다른 사람들은 모든 주소를 수신하므로 방화벽은 특정 인터페이스의 액세스를 제한하는 유일한 방법이됩니다.

위에서 언급했듯이 방화벽은 하나의 보안 계층 일뿐입니다. 보안 응용 프로그램은 다른 응용 프로그램이지만 사용자가 보안 응용 프로그램 만 실행하도록 쉽게 보장 할 수는 없습니다. 방화벽은 사용자를 보호하는 한 가지 방법입니다.

합리적인 보안 조치는 완전히 안전하지 않습니다. 많은 사용자가 방화벽을 완전히 이해하기에 충분히 관심이 있거나 교육을받지 않았을 수 있지만, 이것이 방화벽을 사용하지 않거나 방화벽이없는 이유는 아닙니다.

— BillThor
소스

3

방화벽이없는 기본 정책은 연결을 거부하는 것입니다. 이를 수행하기 위해 방화벽이 필요하지 않습니다. 수락하려는 서비스를 이미 설치했을 때 거부하도록 방화벽을 사용하여 정책 BACK을 변경합니다. 물론 그렇게하려면 서비스를 설치하지 말고 먼저 연결을 수락하십시오.

— psusi

1

@psusi. 서비스 제거는 예 / 아니오 솔루션입니다. 방화벽을 사용하면 세밀한 제어가 가능합니다.

— BillThor

세밀한 제어를 허용하지만 서비스 자체는 일반적으로 더 세밀한 제어를 허용합니다. 서비스를 설치할 때 별도의 도구를 사용하여 제한하지 않고 원하는 연결을 허용하도록 서비스를 구성하십시오. 서비스에는 또한 기본값이 설정되어 있으므로 설치할 때 로컬 호스트 또는 로컬 네트워크의 연결 만 허용하므로 방화벽이 필요하지 않습니다.

— psusi

@psusi 부여 된 서비스는 종종 세밀한 제어를합니다. 그러나 일관된 방식으로 연결을 끊을 때 항상 기록하지는 않습니다. 방화벽은 일관된 로깅을 제공 할 수 있지만 다른 로그를 스캔하는 것이 유용합니다. 방화벽은 누락 된 서비스의 프로브를 기록 할 수도 있습니다. 이를 통해 사전에 원래 호스트를 차단할 수 있습니다.

— BillThor

일반 데스크탑 사용자는 그런 종류의 것을 알거나 신경 쓰지 않습니다. 물론 주어진 데몬으로는 할 수없는 ipchains로 할 수있는 일이 있지만, 일반 데스크탑 사용자가 "필요한"것으로 간주하지는 않습니다.

— psusi

0

모든 사람이 정확하고 조심하며 아마도 어떤 종류의 보호를 사용해야 할 것입니다. 당신의 행동에 따라 번거 로움이 생길 수 있지만 때로는 번거로운 여분이 실제로 당신을 얼마나 많이 보호하는지 알지 못할 수도 있습니다.

전혀 방해가되지 않는 추가 보호 기능을 추가 할 수있는 한 가지 방법은 OpenDNS 를 조사하는 것입니다 . 기본적으로 기본 인터넷 사용을위한 훌륭한 제어 기능과 추가 보안 기능 만 추가하면됩니다.

— 존 페노
소스