Χρειαζόμαστε firewall σε Linux;

[simosx]

Το τυπικό ζήτημα με τους υπολογιστές που έχουν δικτύωση είναι ότι από προεπιλογή επιτρέπουν κάθε σύνδεση από άλλους υπολογιστές. Έτσι, αν έχετε ένα εξυπηρετητή Apache στον υπολογιστή σας με Ubuntu, ο καθένας στο τοπικό δίκτυο μπορεί να συνδεθεί.

Μια τυπική πρακτική είναι να αλλάξουμε την προεπιλογή ώστε να μην επιτρέπονται συνδέσεις στον υπολογιστή μας, και επιλεκτικά να επιτρέπουμε συγκεκριμένες συνδέσεις. Αυτό είναι καλό και ωραίο, ωστόσο προϋποθέτει μελέτη και έρευνα από το χρήστη. Για παράδειγμα, αν κάποιος έχει ενεργό τους τυπικούς κανόνες σε firewall, τότε είναι πιθανό να μη δουλεύει σε πλήρη ταχύτητα μια εφαρμογή για torrent. Και ο λόγος είναι οι κανόνες του Firewall που δεν είναι ειδικά ρυθμισμένοι.

Χρειαζόμαστε firewall; Αν βρισκόμαστε σε τοπικό δίκτυο, τότε έχουμε ήδη firewall από το router, και ο υπολογιστής μας δεν είναι προσβάσιμος από το Διαδίκτυο λόγω του NAT. Η διεύθυνσή μας είναι κάτι σαν 192.168.1.64, που δεν είναι προσβάσιμη διεύθυνση IP.

Ακόμα και αν ο υπολογιστής μας είναι συνδεδεμένος απευθείας με το Διαδίκτυο, χρειαζόμαστε firewall; Εξαρτάται από το αν έχουμε υπηρεσίες στον υπολογιστή μας.

Ας δούμε κάποια πρακτικά θέματα.

Α. Αν δεν έχετε το πρόγραμμα lsof, εγκαταστήστε το τώρα από την Προσθαφαίρεση.

Κώδικας: Επιλογή όλων

$ sudo lsof -i
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
avahi-dae 5689 avahi 14u IPv4 14411 UDP *:mdns
avahi-dae 5689 avahi 15u IPv4 14412 UDP *:57557
[color=#40BF00]cupsd 5754 root 3u IPv4 3398791 TCP localhost:ipp (LISTEN)
[/color]gdm 6265 root 8u IPv4 15909 UDP *:xdmcp
[color=#BF4040]Xorg 6274 root 1u IPv4 15945 TCP *:x11 (LISTEN)[/color]
dhclient 16752 dhcp 6u IPv4 3390519 UDP *:bootpc
[color=#FF8040]firefox 32500 ubuntu 69u IPv4 3454871 TCP computer.lan:33169->yx-in-f19.google.com:https (ESTABLISHED)[/color]


Οι υπηρεσίες στο υπολογιστή είναι αυτές που έχουν LISTEN στην τελευταία στήλη.

Η υπηρεσία εκτυπώσεων (cupsd) είναι σε κατάσταση LISTEN, ωστόσο «ακούει» μόνο στο localhost, στον ίδιο μας τον υπολογιστή. Αυτό σημαίνει ότι δεν είναι προσβάσιμη ούτε από το τοπικό δίκτυο.

Η υπηρεσία X11 είναι σε κατάσταση LISTEN διότι δοκίμαζα κάτι πριν από ένα μήνα. Δεν ξέρω αν είναι πραγματικά έτσι σε μια τυπική εγκατάσταση, ή είναι απομεινάρι από τα πειράματά μου. Ακόμα και αν φαίνεται σε κατάσταση LISTEN, είναι πιθανό σε επίπεδο λογισμικού να μην επιτρέπει τις συνδέσεις. Το λέει αυτό κάπου στις ρυθμίσεις.

Οι τρέχουσες συνδέσεις είναι αυτές με ESTABLISHED. Υπάρχει μια τέτοια σύνδεση, λόγω του ότι έχω ανοικτό το GMail. Το GMail καθώς εκτελείται στο Firefox είναι μια πλήρης δικτυακή εφαρμογή σε Javascript, που διατηρεί μια κρυπτογραφημένη σύνδεση με το Google για να κοιτάει για νέα γράμματα, κτλ. Στο δικό σας σύστημα μπορεί να μην είναι ασφαλής σύνδεση (http αντί https). Αν έχετε http, πηγαίνεται στο GMail/Ρυθμίσεις/ και στο τέλος της σελίδας βάλτε να χρησιμοποιεί το GMail το https αντί http.

Πρέπει να έχουμε διάφορους κανόνες ενεργούς για το firewall σε Linux;
Η άποψή μου είναι ότι δεν πειράζει να έχουμε κανόνες ενεργούς, όσο καταλαβαίνουμε τι κάνουν οι κανόνες αυτοί, και όσο αυτοί οι κανόνες δεν επηρεάζουν τη λειτουργία του υπολογιστή μας.

[gourgi]

Η υπηρεσία X11 είναι σε κατάσταση LISTEN διότι δοκίμαζα κάτι πριν από ένα μήνα. Δεν ξέρω αν είναι πραγματικά έτσι σε μια τυπική εγκατάσταση, ή είναι απομεινάρι από τα πειράματά μου.

είναι απομεινάρι από τα πειράματά σου.

Ακόμα και αν φαίνεται σε κατάσταση LISTEN, είναι πιθανό σε επίπεδο λογισμικού να μην επιτρέπει τις συνδέσεις. Το λέει αυτό κάπου στις ρυθμίσεις.

εδω δεν κατάλαβα τι εννοείς σίμο.

Πάντως γενικά 2 λόγους βρίσκω να ασχοληθείς με το firewall.
Ο πρώτος είναι αυτός που αναφέρεις και εσύ πάνω κάτω, δηλαδή να ανοίξεις πόρτες για συγκεκριμένο μέρος του δικτύου στο οποίο βρίσκεσαι για κάποιες υπηρεσίες που τρέχουν στο μηχάνημα σου (http, ftp, ssh σίγουρα:), dns ίσως .. ).
O δεύτερος είναι ακριβώς ο αντίθετος: να αποτρέψεις συγκεκριμένο μέρος του δικτυου σου να βλέπει τον υπολογιστή σου.
Πάντως για τους χρήστες που 'φοβούνται' την κονσόλα για την παραμετροποίηση του firewall μπορούν να δοκιμάσουν το Gufw http://gufw.tuxfamily.org/screenshots.html

[simosx]

Ακόμα και αν φαίνεται σε κατάσταση LISTEN, είναι πιθανό σε επίπεδο λογισμικού να μην επιτρέπει τις συνδέσεις. Το λέει αυτό κάπου στις ρυθμίσεις.

εδω δεν κατάλαβα τι εννοείς σίμο.

Είναι πιθανό να υπάρχει ρύθμιση στο X για να αποδέχεται συνδέσεις από συγκεκριμένα δίκτυο μόνο, ή να μη δέχεται καθόλου συνδέσεις. Για παράδειγμα, να αποδέχεται συνδέσεις μόνο από το 192.168.1.0/24.

Πάντως γενικά 2 λόγους βρίσκω να ασχοληθείς με το firewall.
Ο πρώτος είναι αυτός που αναφέρεις και εσύ πάνω κάτω, δηλαδή να ανοίξεις πόρτες για συγκεκριμένο μέρος του δικτύου στο οποίο βρίσκεσαι για κάποιες υπηρεσίες που τρέχουν στο μηχάνημα σου (http, ftp, ssh σίγουρα:), dns ίσως .. ).

O δεύτερος είναι ακριβώς ο αντίθετος: να αποτρέψεις συγκεκριμένο μέρος του δικτυου σου να βλέπει τον υπολογιστή σου.
Πάντως για τους χρήστες που 'φοβούνται' την κονσόλα για την παραμετροποίηση του firewall μπορούν να δοκιμάσουν το Gufw http://gufw.tuxfamily.org/screenshots.html

Πράγματι, η χρήση ενός firewall είναι κάτι ενδιαφέρον και χρήσιμο για να μάθει κάποιος.
Οι περισσότεροι χρήστες όμως πρέπει να επικεντρώσουν την προσοχή τους στις υπηρεσίες που είναι ενεργές στο Linux τους. Αν δεν υπάρχουν υπηρεσίες ή αν έχουν την τυπική οικιακή εγκατάσταση με ADSL router, τότε ο firewall είναι κάτι που μπορεί να γίνει αργότερα.

Το πιο τυπικό ζήτημα είναι στη χρήση torrent. Οι βασικοί κανόνες firewall δεν επιτρέπουν τις άμεσες συνδέσεις. Ακόμα και αν βάλεις UPnP, στατικούς κανόνες στο router, βάλεις τον υπολογιστή σου στο DMZ, πάλι δε δουλεύει.

Η γενική αντιμετώπιση πρέπει να είναι, ο καθένας μπορεί να βάλει κανόνες για firewall, ωστόσο αν κάτι δε δουλεύει σε σχέση με το δίκτυο, αυτό μπορεί να προέρχεται από τους κανόνες. Η δε προστασία που προσφέρει γενικά ένας firewall είναι παρόμοιο με αυτή ενός AV, για τους οικιακούς υπολογιστές με τοπικό δίκτυο.