En tant que nouvel utilisateur Ubuntu desktop 18.04 LTS, dois-je utiliser ufw pour un pare-feu ou iptables est-il suffisant? [fermé]


12

Assumons:

  • J'ai peu ou pas de connaissance du fonctionnement interne du système d'exploitation Ubuntu / Linux. Tout ce que je sais, c'est de mon expérience de Windows, c'est que je dois avoir un pare-feu configuré et fonctionner avant de me connecter à Internet, sinon mon système serait à peu près aussi sûr que de partir en vacances et de quitter ma maison avec toutes les portes et fenêtres ouvert.
  • Je viens de migrer vers Ubuntu desktop 18.04 LTS et je viens de me connecter pour la première fois. Je veux sécuriser mon système avant de connecter mon PC à Internet.

(NB: Notez l'accent mis sur le mot bureau , donc toutes les références au serveur ne seront pas pertinentes pour la question et donc non pertinentes)

et après quelques recherches sur ce sujet, je comprends bien:

une. Ufw est-il "l'outil de configuration" du pare-feu par défaut pour Ubuntu? (notez qu'il indique l'outil de configuration et non le pare-feu réel) et ufw est installé, mais il ne fonctionne pas et n'est pas configuré du tout, il n'a donc pas de règles par défaut définies hors de la boîte.

b. Gufw est une interface utilisateur pour ufw, mais il n'est pas installé par défaut, ou du moins c'est le cas avec Ubuntu Desktop 18.04 LTS.

c. iptables est le pare-feu réel qui est intégré au noyau en tant que module.

À ce stade, je sais que je peux configurer ufw car c'est aussi simple que abc, d'où son nom et pour l'utiliser, comme point de départ, vous devez définir le refus (entrant), autoriser (sortant) et le démarrer, je comprends également que je pourrais utiliser Gufw pour le faire aussi. Je pourrais donc simplement le laisser là et faire exactement cela.

Cependant, après toutes mes recherches, je trouve de nombreux articles, questions et blogs sur le sujet avec de nombreux points de vue et opinions, beaucoup d'entre eux déclarant que vous n'avez pas besoin d'un pare-feu, il n'y a pas de ports ouverts, mais je pense, certains ports doivent sûrement ouvrir lorsque je me connecte à Internet? ce qui signifie que je connecte mon appareil à un réseau et que j'ouvre une connexion de trafic bidirectionnelle, mais toutes les informations que j'ai lues ne servent qu'à rendre cela peu clair et ambigu, alors je digère toutes ces informations et j'essaie de donner un sens à cela, puis de réduire en une seule déclaration et donc en résumé, je résume:

Les utilisateurs de bureau Ubuntu n'ont pas besoin d'ufw car il s'agit simplement d'un outil de configuration pour iptables qui est le pare-feu réel sous le capot.

Donc, disons que je prends la déclaration ci-dessus littéralement, alors la déclaration suivante est-elle vraie?:

iptables est le pare-feu intégré pour Ubuntu Desktop et est entièrement configuré et opérationnel avec des règles par défaut suffisamment sécurisées pour l'utilisateur de bureau moyen.

Parce que si ce qui précède est vrai, quel serait l'intérêt d'ufw, sauf pour fournir une interface simple à iptables, ce qui est compliqué par tous les comptes et, en outre, les experts vous conseillent d'éviter de configurer directement iptables car si vous ne savez pas exactement quoi vous faites, vous pourriez facilement rendre votre système non sécurisé ou inutilisable, s'il est mal configuré?

Voici une analyse nmap de mon système avec ma configuration de pare-feu, montrant les ports ouverts sur mon système: entrez la description de l'image ici

S'il vous plaît quelqu'un pourrait-il fournir une réponse concise, pertinente et sans opinion, basée sur les faits :)


Le plus facile à installer gufwpour aider à la configuration.
heynnema

Qu'est-ce qui n'est pas clair à ce sujet? askubuntu.com/questions/178616/…
Pilot6

Vous n'avez besoin d'aucun pare-feu si vous n'avez pas de services réseau en cours d'exécution. Peu importe comment et ce qui est configuré.
Pilot6

1
J'ai ajouté à ma réponse. À ce stade, je dois vous rappeler qu'il s'agit d'un site de réponses aux questions et non d'un forum de discussion. Veuillez ne pas ajouter de nouveaux composants à la question car je réponds aux anciens. Si vous continuez à le faire, la question peut être fermée car trop large. Posez une nouvelle question de suivi et référez-vous à cette question si vous en avez besoin.
user68186

Je suis déçu de voir que cette question a été suspendue sur la base de la présomption que "les réponses à cette question auront tendance à être presque entièrement basées sur des opinions plutôt que sur des faits", eh bien, n'est-ce pas juste une autre opinion? C'est la raison pour laquelle j'ai déclaré lorsque j'ai posé la question pour fournir une réponse non fondée sur des faits, alors ce que vous dites, c'est qu'il n'y a pas de réponse définitive basée sur des faits? Je suppose que la réponse de la documentation officielle ubuntu n'est pas non plus basée sur des faits? Cette question a eu 630 vues alors évidemment il y a beaucoup de gens intéressés par la réponse!

Réponses:


14

La question a considérablement changé

Nouvelle réponse

La question TITLE

En tant que nouvel utilisateur Ubuntu desktop 18.04 LTS, dois-je utiliser ufwun pare-feu ou iptables est-il suffisant?

La plupart des utilisateurs d'Ubuntu à domicile n'en ont pas besoin ni ne les utilisent ufw. Les deux ufwet iptablessont installés par défaut et sont configurés pour ne rien faire. Pourquoi il n'y a pas besoin, est expliqué plus en détail ci-dessous.

L'autre question 1:

Donc, disons que je prends la déclaration ci-dessus littéralement, alors la déclaration suivante est-elle vraie?:

iptables est le pare-feu intégré pour Ubuntu Desktop et est entièrement configuré et opérationnel avec des règles par défaut suffisamment sécurisées pour l'utilisateur de bureau moyen, à savoir refuser (entrant), autoriser (sortant).

La déclaration est fausse

La déclaration est en fait deux déclarations jointes par et . Donc, si une seule partie de la déclaration entière est fausse, alors la déclaration entière est fausse. Décomposons-le:

iptables est le pare-feu intégré pour Ubuntu Desktop

La partie ci-dessus est vraie.

Voyons maintenant l'autre partie:

iptables est entièrement configuré et opérationnel avec des règles par défaut suffisamment sécurisées pour l'utilisateur de bureau moyen, à savoir refuser (entrant), autoriser (sortant).

La partie ci-dessus est fausse.

L'installation par défaut du bureau Ubuntu n'a pas de ports ouverts et aucun serveur en cours d'exécution. Par conséquent, même s'il iptablesest installé par défaut dans le bureau Ubuntu, il n'est pas configuré pour faire quoi que ce soit. Autrement dit, le pare-feu par défaut n'a pas de règles définies.

Ainsi, iptableest configuré pour ne rien faire lorsque vous installez Ubuntu.

L'autre question 2:

Explications pour l'image nmap et gufw (je pense que c'est ce que vous voulez)

Votre nmap montre que les deux seuls ports ouverts sont ouverts à 127.0.0.1. Il s'agit d'une adresse IP spéciale qui fait référence à l'ordinateur lui-même. Autrement dit, l'ordinateur lui-même peut se parler à l'aide de ces deux ports ouverts.

La gufwcapture d'écran montre qu'il n'y a pas de configuration de règles de pare-feu. Cependant, puisque vous l'avez installé gufwet cliqué dessus, il ufwest également installé (gufw utilise ufw) et ufw est actif. La configuration ufw par défaut que vous avez mentionnée ci-dessus, refuser (entrant) et autoriser (sortant) fonctionne. Cependant, ces règles ne s'appliquent pas à l'ordinateur lui-même, c'est-à-dire 127.0.0.1. C'est (pas nécessaire mais) suffisant pour un utilisateur à domicile.

Réponse originale ==>

Les utilisateurs à domicile moyens n'ont pas besoin d'un pare-feu

L'installation par défaut du bureau Ubuntu n'a pas de ports ouverts et aucun serveur en cours d'exécution. Par conséquent, si vous n'exécutez aucun démon de serveur, tel qu'un serveur ssh, vous n'avez pas besoin de pare-feu. Ainsi, iptable est configuré pour ne rien faire lorsque vous installez Ubuntu. Voir Dois-je activer le pare-feu? -Je utiliser Ubuntu uniquement pour un usage domestique? pour plus de détails.

Si vous exécutez des serveurs, vous avez besoin d'un pare-feu

Si vous n'êtes pas un utilisateur domestique moyen et que vous souhaitez effectuer des tâches avancées, telles que l'accès à distance à votre bureau par ssh ou exécuter d'autres services, vous avez besoin d'un pare-feu. Votre configuration du pare-feu dépendra des démons de serveur que vous prévoyez d'exécuter.

Même si vous ne prévoyez pas d'exécuter un serveur, vous souhaiterez peut-être un pare-feu avec la configuration par défaut de refuser toutes les connexions entrantes de tous les ports. C'est pour être doublement sûr, au cas où un jour vous voudriez installer et exécuter un serveur sans réaliser ce que vous faites. Sans changer la configuration par défaut du pare-feu, le serveur ne fonctionnera pas comme prévu. Vous vous gratterez la tête pendant des heures avant de vous souvenir que vous avez activé le pare-feu. Ensuite, vous souhaiterez peut-être désinstaller le logiciel serveur, car il ne vaut peut-être pas le risque. Ou vous pouvez configurer le pare-feu pour permettre au serveur de fonctionner.

gufw est le plus simple

gufw est une interface graphique pour ufw, qui à son tour configure le iptables. Puisque vous utilisez Linux depuis les années 1990, vous pouvez être à l'aise avec la ligne de commande ou vous pouvez préférer les repères visuels d'une interface graphique. Si vous aimez une interface graphique, utilisez-la gufw. Il est facile à comprendre et à configurer même pour un novice.

ufw est facile

Si vous aimez la ligne de commande, ufwc'est assez simple.

iptables n'est pas si facile

La raison pour laquelle nous ne voulons pas que quiconque joue directement avec les iptables, et utilise ufwou gufwest parce que, il est très facile de gâcher iptableset une fois que vous le faites, le système peut se briser si mal qu'il peut être inutilisable. La iptables-applycommande a des protections intégrées pour protéger les utilisateurs de leurs erreurs.

J'espère que cela t'aides


OK merci pour votre réponse et votre temps, excuses pour tout inconvénient mais il semble que je vais devoir réécrire ma question pour clarifier et simplifier la question et les détails

Merci pour votre réponse révisée et encore des excuses depuis que j'ai apporté d'autres modifications car j'ai examiné tous les commentaires et liens vers d'autres questions, depuis un certain temps et je voulais essayer d'inclure tous les points que je devais faire concernant pourquoi l'autre les réponses pour une raison ou une autre ne répondent pas suffisamment à ma question et c'est ma dernière modification.

1
Je veux juste souligner que iptables a un mécanisme pour empêcher la situation de verrouillage que vous avez décrite. Vous utilisez la fonction intégrée iptables-apply- un moyen plus sûr de mettre à jour iptables à distance
jchook

1
@jchook Merci d'avoir mentionné cela. Plus les gens lisent et commentent ma réponse, plus j'apprends de nouvelles choses. : D
user68186

1

Je fournis moi-même cette réponse, car je n'ai pas été convaincu par des gens qui insistent sur le fait que vous n'avez pas besoin d'un pare-feu, vous n'avez pas de ports ouverts ... et je ne le marquerai pas comme accepté même si je l'accepte moi-même, je laisse le soin au la communauté de voter pour savoir si cela devrait être la réponse.

Tout ce que je dirais à toute personne utilisant Ubuntu Desktop qui tombe sur cette question, si vous n'êtes pas sûr d'un pare-feu, car comme moi, vous avez vu par vous-même tant de points de vue contradictoires sur ce sujet, alors mon conseil est de continuer et utilisez un pare-feu, je recommande ufw et si vous voulez une interface utilisateur, alors utilisez Gufw, car quand tout est dit et fait, même si tout ce qu'il fait est de vous donner l'esprit tranquille, vous ne pouvez pas faire de mal en l'utilisant.

Je me suis finalement tourné vers la documentation officielle d'Ubuntu pour des éclaircissements et j'ai trouvé l'article suivant et après mon expérience en essayant de trouver des réponses, je vous recommande de lire cet article car il fait beaucoup de sens et il répond à mes questions et sous-questions et je pense que je ça va aller maintenant;)

https://help.ubuntu.com/community/DoINeedAFirewall

Voici un extrait de l'article ci-dessus:

Je n'ai pas de ports ouverts, donc je n'ai pas besoin d'un pare-feu, non?

Eh bien pas vraiment. Il s'agit d'une idée fausse courante. Tout d'abord, comprenons ce qu'est réellement un port ouvert. Un port ouvert est un port qui a un service (comme SSH) lié et l'écoute. Lorsque le client SSH essaie de communiquer avec le serveur SSH, il envoie un paquet TCP SYN au port SSH (22 par défaut), et le serveur ACKnowledge, créant ainsi une nouvelle connexion. L'idée fausse sur la façon dont un pare-feu peut vous aider commence ici. Certains utilisateurs supposent que puisque vous n'exécutez aucun service, une connexion ne peut pas être établie. Vous n'avez donc pas besoin d'un pare-feu. Si c'était la seule chose à laquelle vous deviez penser, ce serait parfaitement acceptable.Cependant, ce n'est qu'une partie de l'image. Deux facteurs supplémentaires entrent en jeu ici. Premièrement, si vous n'utilisez pas de pare-feu sur la base que vous n'avez pas de ports ouverts, vous paralyse votre propre sécurité car si une application que vous avez est exploitée et que l'exécution de code se produit, un nouveau socket peut être créé et lié à un arbitraire Port. L'autre facteur important ici est que si vous n'utilisez pas de pare-feu, vous n'avez également aucun contrôle du trafic sortant. Dans le sillage d'une application exploitée, au lieu de créer un nouveau socket et de relier un port, une autre alternative qu'un attaquant peut utiliser est de créer une connexion inverse vers une machine malveillante. Sans règles de pare-feu en place, cette connexion passera sans entrave.


1

iptables fait partie de la pile de mise en réseau TCP / IP. Si vous avez * Nix, vous avez des IPTABLES. Si vous êtes sur un réseau IP, que le pare-feu est activé ou désactivé, vous utilisez malgré tout iptables.

ufw est une application * Nix au dessus de (ce qui signifie utiliser iptables ). Il est basé sur une console shell mais n'est pas si difficile à utiliser. Il peut être activé / désactivé. Vous ne pouvez pas désactiver iptables car il doit y avoir des routes par défaut pour Internet (0.0.0.0), le bouclage local (127.0.0.0), localhost (192.168.0.0) et l'adressage automatique (169.254.0.0). Comme vous pouvez le voir, iptables est intégré dans la pile réseau. Vous ne pouvez pas l'éviter même si vous le vouliez.

ufw peut modifier les entrées iptables dans la matrice depuis le confort de la console shell. Il est possible de modifier les routes IP iptables à la main, mais je ne le recommanderai pas car cela est au mieux sujet aux erreurs. Considérez ufw comme l'outil d'édition des tables de routage IP.

Aussi confortable que je puisse être avec la console shell, je recommande toujours la simplicité de gufw qui est le "wrapper" graphique pour ufw qui se trouve au sommet d'iptables.

J'aime sa simplicité, en particulier l'ajout de profils de pare-feu d'applications tels que des serveurs multimédias ou des applications bittorrent. Tout ce qui rend ma vie plus facile gagne mes félicitations.

Donc, pour répondre à votre question modifiée, IPTABLES ne protégera pas votre réseau s'il est laissé seul. Il n'est pas conçu pour bloquer, filtrer, désactiver ou autoriser certains ports qui traversent les tables de routage IP. Utilisez ufw + gufw si vous souhaitez autoriser / bloquer uniquement certains ports ou plage de ports qui à leur tour éditent dynamiquement la table de routage ip.


Bienvenue sur Ask Ubuntu! ;-) Bien que votre réponse soit correcte à 100%, elle pourrait également devenir inutile à 100% si ce lien est déplacé, modifié, fusionné dans un autre ou le site principal disparaît simplement ... :-( Par conséquent, veuillez modifier votre réponse, et copiez les étapes pertinentes du lien dans votre réponse, garantissant ainsi votre réponse pendant 100% de la durée de vie de ce site! ;-) Vous pouvez toujours laisser le lien au bas de votre réponse comme source pour votre matériel ...
Fabby

Bien que ce lien puisse répondre à la question, il est préférable d'inclure les parties essentielles de la réponse ici et de fournir le lien de référence. Les réponses de lien uniquement peuvent devenir invalides si la page liée change.
Mitch
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.