Como nuevo usuario de Ubuntu Desktop 18.04 LTS, ¿necesito usar ufw para un firewall o es suficiente iptables? [cerrado]

12

Asumamos:

  • Tengo poco o ningún conocimiento del funcionamiento interno del sistema operativo Ubuntu / Linux. Todo lo que sé es por mi experiencia con Windows, es que tengo que tener un firewall configurado y funcionando antes de conectarme a Internet, de lo contrario mi sistema sería tan seguro como ir de vacaciones y salir de mi casa con todas las puertas y ventanas. abierto.
  • Acabo de migrar a Ubuntu Desktop 18.04 LTS y acabo de iniciar sesión por primera vez. Quiero asegurar mi sistema antes de conectar mi PC a Internet.

(Nota: tenga en cuenta el énfasis en la palabra escritorio , por lo que cualquier referencia al servidor no será pertinente a la pregunta y, por lo tanto, irrelevante)

y después de investigar un poco sobre este tema, lo entiendo mucho:

a. ¿Es ufw la "herramienta de configuración" de firewall predeterminada para Ubuntu? (tenga en cuenta que dice herramienta de configuración y no el firewall real) y ufw está instalado, pero no se está ejecutando y no está configurado en absoluto, por lo que no tiene reglas predeterminadas establecidas de fábrica.

si. Gufw es una interfaz de usuario para ufw, pero no está instalada de forma predeterminada, o al menos ese es el caso con Ubuntu Desktop 18.04 LTS.

C. iptables es el firewall real que está integrado en el núcleo como un módulo.

En este punto, sé que puedo configurar ufw, ya que es fácil como abc, de ahí su nombre y para usarlo, como punto de partida, debe configurar denegar (entrante), permitir (saliente) e iniciarlo, también entiendo que podría usar Gufw para hacer esto también. Así que podría dejarlo allí y hacer eso.

Sin embargo, después de toda mi investigación, encuentro muchos artículos, preguntas y blogs sobre el tema con muchos puntos de vista y opiniones, muchos de los cuales afirman que no necesita un firewall, no hay puertos abiertos, pero creo que seguramente algunos puertos deben abrir cuando me conecto a internet? lo que significa que estoy conectando mi dispositivo a una red y abriendo una conexión de tráfico bidireccional, pero toda la información que he leído solo sirve para hacer que esto sea poco claro y ambiguo, por lo que asimilo toda esa información y trato de darle sentido y luego la reduzco se reduce a una sola declaración y, en pocas palabras, resumo:

Los usuarios de escritorio de Ubuntu no necesitan ufw ya que es simplemente una herramienta de configuración para iptables que es el firewall real bajo el capó.

Entonces, digamos que tomo la declaración anterior literalmente, entonces ¿es verdadera la siguiente declaración ?:

iptables es el firewall integrado para Ubuntu Desktop y está completamente configurado y funcionando de inmediato con reglas predeterminadas que son lo suficientemente seguras para el usuario promedio de escritorio.

Porque si lo anterior es cierto, entonces, ¿cuál sería el punto en ufw, excepto proporcionar una interfaz sin complicaciones para iptables, que a todas luces es complicado y, además, los expertos le aconsejan que evite configurar iptables directamente ya que si no sabe exactamente qué Si lo está haciendo, podría hacer que su sistema sea inseguro o inutilizable, si está mal configurado.

Aquí hay un escaneo nmap de mi sistema junto con la configuración de mi firewall, que muestra los puertos abiertos en mi sistema: ingrese la descripción de la imagen aquí

¿Podría alguien proporcionar una respuesta concisa, relevante y sin opinión, basada en hechos :)

Fabby
fuente
Más fácil de instalar gufwpara ayudar a configurar esto.
heynnema
¿Qué no está claro en esto? askubuntu.com/questions/178616/…
Pilot6
No necesita NINGÚN firewall si no tiene servicios de red en ejecución. Por lo tanto, no importa cómo y qué se configure.
Pilot6
1
He agregado a mi respuesta. En este punto, debo recordarles que este es un sitio de preguntas y respuestas, no un foro de discusión. Por favor, no agregue nuevos componentes a la pregunta ya que contesto los antiguos. Si sigue haciendo esto, la pregunta puede cerrarse como demasiado amplia. Haga una nueva pregunta de seguimiento y consulte esta pregunta si es necesario.
user68186
Me decepciona ver que esta pregunta se ha suspendido en base a la presunción de que "las respuestas a esta pregunta tenderán a basarse casi por completo en opiniones, más que en hechos", bueno, ¿no es esa otra opinión? Esa es la razón por la que dije cuando hice la pregunta para proporcionar una respuesta basada en hechos sin opinión, así que lo que estás diciendo es que ¿no hay una respuesta definitiva basada en hechos por ahí? ¿Supongo que la respuesta de la documentación oficial de ubuntu tampoco se basa en hechos? Esta pregunta ha tenido 630 visitas, ¡así que obviamente hay muchas personas interesadas en la respuesta!

Respuestas:

14

La pregunta cambió considerablemente.

Nueva respuesta

La pregunta del TÍTULO

Como nuevo usuario de Ubuntu Desktop 18.04 LTS, ¿necesito usar ufwun firewall o es suficiente iptables?

La mayoría de los usuarios domésticos de Ubuntu no necesitan o usan ufw. Ambos ufwy iptablesestán instalados por defecto y están configurados para no hacer nada. Por qué no hay necesidad, se explica con más detalle a continuación.

La otra pregunta 1:

Entonces, digamos que tomo la declaración anterior literalmente, entonces ¿es verdadera la siguiente declaración ?:

iptables es el firewall integrado para Ubuntu Desktop y está completamente configurado y funcionando con las reglas predeterminadas que son lo suficientemente seguras para el usuario promedio de escritorio, es decir, negar (entrante), permitir (saliente).

La afirmación es falsa.

La declaración es en realidad dos declaraciones unidas por y . Entonces, si solo una parte de la declaración completa es falsa, entonces toda la declaración es falsa. Vamos a desglosarlo:

iptables es el firewall incorporado para Ubuntu Desktop

La parte anterior es cierta.

Ahora veamos la otra parte:

iptables está completamente configurado y listo para usar con reglas predeterminadas que son lo suficientemente seguras para el usuario promedio de escritorio, es decir, negar (entrante), permitir (saliente).

La parte anterior es falsa.

La instalación de escritorio predeterminada de Ubuntu no tiene puertos abiertos ni servidores en ejecución. Por lo tanto, aunque iptablesviene instalado de forma predeterminada en Ubuntu de escritorio, no está configurado para hacer nada. Es decir, el firewall predeterminado no tiene reglas establecidas.

Por lo tanto, iptableestá configurado para no hacer nada cuando instala Ubuntu.

La otra pregunta 2:

Explicaciones para nmap y gufw image (creo que esto es lo que quieres)

Su nmap muestra que los únicos dos puertos abiertos están abiertos a 127.0.0.1. Esta es una dirección IP especial que se refiere a la computadora misma. Es decir, la computadora en sí puede hablar consigo misma utilizando estos dos puertos abiertos.

La gufwcaptura de pantalla muestra que no hay configuración de reglas de firewall. Sin embargo, desde que lo instaló gufwe hizo clic en él, ufwtambién está instalado (gufw usa ufw) y ufw está activo. La configuración predeterminada de ufw que mencionó anteriormente, negar (entrante) y permitir (saliente) está funcionando. Sin embargo, estas reglas no se aplican a la computadora en sí, es decir 127.0.0.1. Esto (no es necesario pero) es suficiente para un usuario doméstico.

Respuesta original ==>

Los usuarios domésticos promedio no necesitan un firewall

La instalación de escritorio predeterminada de Ubuntu no tiene puertos abiertos ni servidores en ejecución. Por lo tanto, si no ejecuta ningún demonio de servidor, como el servidor ssh, no necesita ningún firewall. Por lo tanto, iptable está configurado para no hacer nada cuando instala Ubuntu. Consulte ¿Necesito activar el firewall? ¿Solo uso Ubuntu para un uso doméstico de escritorio? para detalles.

Si ejecuta servidores, necesita un firewall

Si no es un usuario doméstico promedio y desea hacer algunas cosas avanzadas, como acceder de forma remota a su escritorio mediante ssh o ejecutar otros servicios, entonces necesita un firewall. Su configuración del cortafuegos dependerá de qué demonios de servidor planee ejecutar.

Incluso si no planea ejecutar un servidor, es posible que desee un firewall con la configuración predeterminada de denegar todas las conexiones entrantes de todos los puertos. Esto debe ser doblemente seguro, en caso de que algún día desee instalar y ejecutar un servidor sin darse cuenta de lo que está haciendo. Sin cambiar la configuración predeterminada del firewall, el servidor no funcionará como se esperaba. Se rascará la cabeza durante horas antes de recordar que activó el firewall. Entonces es posible que desee desinstalar el software del servidor, ya que puede que no valga la pena el riesgo. O puede que desee configurar el firewall para permitir que el servidor funcione.

gufw es lo más fácil

gufw es una interfaz GUI para ufw, que a su vez configura el iptables. Como ha estado utilizando Linux desde la década de 1990, puede sentirse cómodo con la línea de comandos o puede preferir las señales visuales de una GUI. Si te gusta una GUI, úsala gufw. Es fácil de entender y configurar incluso para un novato.

ufw es fácil

Si te gusta la línea de comandos, ufwes bastante fácil.

iptables no es tan facil

La razón por la que no queremos que nadie juegue directamente con las iptables y las use ufwo gufwes porque es muy fácil de estropear iptablesy una vez que lo hace, el sistema puede romperse tanto que puede quedar inutilizable. El iptables-applycomando tiene algunas salvaguardas incorporadas para proteger a los usuarios de sus errores.

Espero que esto ayude

usuario68186
fuente
OK, gracias por su respuesta y su tiempo, disculpen las molestias, pero parece que voy a tener que volver a escribir mi pregunta para aclarar y simplificar la pregunta y los detalles
Gracias por su respuesta revisada y nuevamente disculpas, ya que he realizado más ediciones, ya que he estado buscando en todos los comentarios y enlaces a otras preguntas, por un tiempo y quería tratar de incluir todos los puntos que necesitaba hacer sobre por qué el otro respuestas por una razón u otra no responden suficientemente mi pregunta y esa es mi edición final.
1
Solo quiero señalar que iptables tiene un mecanismo para evitar la situación de bloqueo que describió. Se utiliza el incorporado iptables-apply- una forma más segura para la actualización remota iptables
jchook
1
@jchook Gracias por mencionar esto. Cuanta más gente lea y comente mi respuesta, aprenderé más cosas nuevas. : D
user68186
1

Proporciono esta respuesta yo mismo, ya que no me convencieron las personas que insisten en que no necesita un firewall, no tiene puertos abiertos ... y no lo marcaré como aceptado aunque lo acepte yo mismo, lo dejaré al comunidad para votar si esta debería ser la respuesta.

Todo lo que le diría a cualquiera que use Ubuntu Desktop que se encuentre con esta pregunta, si no está seguro acerca de un firewall, porque como yo, ha visto por sí mismo que hay muchas opiniones conflictivas sobre este tema, entonces mi consejo es seguir adelante y use un firewall, le recomiendo ufw y si desea una interfaz de usuario, use Gufw, porque cuando todo está dicho y hecho, incluso si todo lo que hace es darle tranquilidad, no puede hacer daño al usarlo.

Finalmente recurrí a la documentación oficial de Ubuntu para obtener aclaraciones y encontré el siguiente artículo y después de mi experiencia tratando de encontrar respuestas, recomendaría que leyeras este artículo porque tiene mucho sentido y responde a mi pregunta y subpreguntas y creo que voy a estar bien ahora;)

https://help.ubuntu.com/community/DoINeedAFirewall

Aquí hay un extracto del artículo anterior:

No tengo puertos abiertos, así que no necesito un firewall, ¿verdad?

Bueno en realidad no. Este es un error común. Primero, comprendamos qué es realmente un puerto abierto. Un puerto abierto es un puerto que tiene un servicio (como SSH) vinculado y escuchándolo. Cuando el cliente SSH intenta comunicarse con el servidor SSH, enviará un paquete TCP SYN al puerto SSH (22 de forma predeterminada), y el servidor lo reconocerá, creando así una nueva conexión. La idea errónea de cómo un firewall puede ayudarlo comienza aquí. Algunos usuarios suponen que, dado que no está ejecutando ningún servicio, no se puede establecer una conexión. Por lo tanto, no necesita un firewall. Si estas fueran las únicas cosas en las que necesita pensar, esto sería perfectamente aceptable.Sin embargo, esto es solo una parte de la imagen. Hay dos factores adicionales que entran en juego allí. Una, si no utiliza un firewall porque no tiene puertos abiertos, está paralizando su propia seguridad porque si se explota una aplicación que tiene y se produce la ejecución del código, se puede crear un nuevo socket y vincularlo a un arbitrario Puerto. El otro factor importante aquí es que si no está utilizando un firewall, tampoco tiene ningún control de tráfico saliente. A raíz de una aplicación explotada, en lugar de crear un nuevo socket y vincular un puerto, otra alternativa que un atacante puede utilizar es crear una conexión inversa a una máquina maliciosa. Sin ninguna regla de firewall establecida, esta conexión pasará sin obstáculos.


fuente
1

iptables es parte de la pila de redes TCP / IP. Si tienes * Nix tienes IPTABLES. Si está en una red IP, firewall habilitado o deshabilitado, está utilizando iptables, independientemente.

ufw es una aplicación * Nix además de (es decir, usando iptables ). Está basado en la consola de shell, pero no es tan difícil de usar. Se puede encender / apagar. No puede deshabilitar iptables ya que tiene que haber rutas predeterminadas para Internet (0.0.0.0), loopback local (127.0.0.0), localhost (192.168.0.0) y direccionamiento automático (169.254.0.0). Como puede ver, iptables está integrado en la pila de redes. No puedes evitarlo incluso si quisieras.

ufw puede modificar las entradas de iptables en la matriz desde la comodidad de la consola de shell. Es posible editar las rutas IP de iptables a mano, pero no lo recomendaré, ya que es propenso a errores en el mejor de los casos. Piense en ufw como la herramienta para editar las tablas de rutas IP.

Por muy cómodo que sea con la consola de shell, todavía recomiendo la simplicidad de gufw, que es el "envoltorio" gráfico para ufw que se encuentra sobre iptables.

Me encanta su simplicidad, especialmente al agregar perfiles de firewall de aplicaciones como servidores de medios o aplicaciones bittorrent. Lo que sea que haga mi vida más fácil me gana elogios.

Entonces, para responder a su pregunta modificada, IPTABLES no protegerá su red si se deja sola. No está diseñado para bloquear, filtrar, deshabilitar o permitir ciertos puertos que atraviesan las tablas de rutas IP. Use ufw + gufw si solo desea permitir / bloquear ciertos puertos o rango de puertos que a su vez editan dinámicamente la tabla de rutas ip.

quantanglement
fuente
Bienvenido a Ask Ubuntu! ;-) Aunque su respuesta es 100% correcta, también podría volverse 100% inútil si ese enlace se mueve, cambia, combina en otro o el sitio principal simplemente desaparece ... :-( Por lo tanto, edite su respuesta y ¡copie los pasos relevantes del enlace en su respuesta, garantizando así su respuesta durante el 100% de la vida útil de este sitio! ;-) Siempre puede dejar el enlace en la parte inferior de su respuesta como fuente de su material ...
Fabby
Si bien este enlace puede responder la pregunta, es mejor incluir aquí las partes esenciales de la respuesta y proporcionar el enlace como referencia. Las respuestas de solo enlace pueden volverse inválidas si la página vinculada cambia.
Mitch