¿Por qué el firewall está deshabilitado por defecto?

65

¿Por qué se incluye el firewall ufw en Ubuntu, cuando no está habilitado y preconfigurado de manera predeterminada? La mayoría de los usuarios ni siquiera saben que está allí, porque no se proporciona una interfaz gráfica de usuario.

6205
fuente
66
Me sorprendió cuando descubrí accidentalmente que hay un firewall instalado pero deshabilitado. Los argumentos mencionados aquí son bastante débiles.
HRJ
1
Tengo la misma pregunta, por eso llegué aquí, solo tengo una suposición muy descabellada de que los usuarios de Linux (en contraste con los usuarios de Windows que tienen más probabilidades de ser usuarios normales de escritorio) tienen varios usos de Linux: algunos para pentesting, algunos lo usan ssh, otros no, muchos lo usan como servidor web, base de datos o servidor smtp ... la filosofía de Linux permitirá que cada usuario configure su firewall como mejor le parezca.
user10089632
Esta es una decisión de diseño increíblemente mala. Simplemente asombrosamente malo!
iono

Respuestas:

37

Fuera de la caja, Ubuntu se envía sin puertos TCP o UDP abiertos, de ahí la creencia de que no hay razón para ejecutar Firewall sin complicaciones (ufw) de forma predeterminada. Sin embargo, estoy de acuerdo en que tener ufw deshabilitado es una decisión extraña. Mi razonamiento es que los usuarios inexpertos van a instalar cosas como Samba, Apache y cosas similares, a medida que experimentan con el sistema que se les presenta. Si no comprenden las implicaciones de esto, se expondrán a comportamientos maliciosos en Internet.

Ejemplo: tengo mi computadora portátil configurada con Samba, que está bien en mi red doméstica protegida con WPA2. Pero si llevo mi computadora portátil a un Starbucks, es posible que no piense nada de eso, pero esa computadora portátil ahora está anunciando mis acciones a todos y cada uno. Con un firewall, puedo restringir mis puertos samba solo a mi servidor doméstico o dispositivos similares. No hay que preocuparse tanto por quién podría estar intentando conectarse a mi computadora portátil. Lo mismo ocurre con VNC, SSH o una gran cantidad de otros servicios útiles que mi computadora portátil podría estar ejecutando o intentando conectarse.

Ubuntu adopta un enfoque muy activo de ciertos elementos de seguridad, una filosofía con la que no puedo estar de acuerdo. La seguridad puede estar técnicamente activada o desactivada, pero al superponer elementos de seguridad entre sí, se obtiene un sistema mejor. Claro, la seguridad de Ubuntu es lo suficientemente buena para una gran cantidad de casos de uso, pero no para todos.

En pocas palabras, ejecute ufw. Más vale prevenir que curar.

El cortafuegos sin complicaciones tiene una serie de interfaces gráficas, pero la más simple es Gufw .

Logotipo de GUFW

sudo apt-get install gufw

Aquí, estoy permitiendo todo el tráfico de VLAN de servidores específicos en mi entorno corporativo y he agregado una regla para permitir que los puertos necesarios para una sesión SSH inversa reboten en esta máquina.

Captura de pantalla de GUFW

Scaine
fuente
ufw solo controla iptables, por eso no está habilitado de forma predeterminada. Los usuarios avanzados pueden usar iptables.
papukaija
3
@papukaija: los usuarios avanzados de iptables pueden usar iptables. Un usuario avanzado en un sistema bsd usaría pf, pero eso no hace que ese usuario, llegando a ubuntu, de repente no sea sofisticado. Del mismo modo con alguien que es principalmente un ingeniero de redes, esa persona conocería la lógica de Cisco o Juniper ACL. No es para todos, pero ufw puede hacer que la configuración sea más accesible, y en mi opinión esto es algo bueno.
belacqua
2
@jgbelacqua: Cierto, pero la respuesta del scaine da una imagen de que ufw es un firewall mientras que es solo una interfaz para iptables.
papukaija
1
(Advertencia de pedante agresiva) Recomiendo a los usuarios que no permitan paquetes UDP / 53 entrantes aleatorios sobre la base de la dirección de origen suplantable. Se han utilizado en ataques del mundo real (envenenamiento de DNS, DoS por tráfico amplificado). Necesitarías hacer esto ¿por qué?
sourcejedi
Sí, probablemente sea cierto. Esa es una mala captura de pantalla realmente, de una vieja PC donde solo quería que OpenDNS saliera de mis registros. No es una buena práctica. Si tengo tiempo, intentaré actualizar la captura de pantalla, ya que GUFW se ve bastante diferente en estos días de todos modos.
Scaine
28

A diferencia de Microsoft Windows, un escritorio de Ubuntu no necesita un firewall para estar seguro en Internet, ya que, de forma predeterminada, Ubuntu no abre puertos que puedan presentar problemas de seguridad.

En general, un sistema Unix o Linux debidamente reforzado no necesitará un firewall. Los firewalls (a excepción de ciertos problemas de seguridad con las computadoras con Windows) tienen más sentido para bloquear las redes internas a Internet. En este caso, las computadoras locales pueden comunicarse entre sí a través de puertos abiertos que son bloques hacia el exterior por el firewall. En este caso, las computadoras se abren intencionalmente para comunicaciones internas que no deberían estar disponibles fuera de la red interna.

El escritorio estándar de Ubuntu no requeriría esto, por lo tanto, ufw no está habilitado por defecto.

txwikinger
fuente
¿No es (g) uwf solo una interfaz? Quiero decir, el verdadero firewall es iptables, ¿no?
papukaija
99
Incluso los sistemas reforzados adecuadamente se beneficiarán de un firewall. Por ejemplo, si ejecuta Samba, abre varios puertos para todos. Con un firwall, puede restringirlo solo a su servidor o pares.
Scaine
netfilter + iptables o netfilter + ufw (que incluye iptables) proporciona el firewall. Pero si tiene ufw, tendrá la funcionalidad de firewall.
belacqua
44
[cita requerida]
ζ--
77
Esto es completamente absurdo. Se utiliza un cortafuegos para proteger las comunicaciones de entrada y salida del uso no legítimo ... Esto significa que si instala un reproductor de música, digamos, que abre un puerto incorrectamente, tendría una conexión abierta a Internet. Eso se llama seguridad preventiva, protege de las cosas que pueden suceder. Esta respuesta le da a las personas una falsa sensación de seguridad en entornos Linux.
Daniel
8

En Ubuntu o cualquier otro Linux, el firewall es parte del sistema base y se llama iptables / netfilter. Siempre está habilitado.

iptables consiste en un conjunto de reglas sobre qué hacer y cómo comportarse cuando un paquete sale de su entrada. Si desea bloquear explícitamente las conexiones entrantes de una IP específica, deberá agregar una regla. En realidad no necesitas hacerlo. Relajarse.

Si desea una buena seguridad frente a cualquier cosa, recuerde que no instale software aleatorio desde ningún lugar. Puede arruinar su configuración de seguridad predeterminada. No se ejecute como root nunca. Siempre confíe en los repositorios oficiales.

Creo que lo que querías preguntar era si la interfaz de usuario está instalada o no.

Manish Sinha
fuente
8
Hace que parezca que un firewall está "siempre habilitado", que no es el caso. Puede estar integrado, pero a menos que lo enciendas sudo ufw enable, la primera pieza de software de servidor que instales abrirá un puerto sobre el que las iptables integradas no van a hacer nada.
Scaine
44
@Scaine: ufw no hace el trabajo; Se realiza mediante iptables, que está habilitado de forma predeterminada.
papukaija
77
Hola chicos. UFW es un front end en iptables, lo entiendo. Sin embargo, por defecto, iptables no hace NADA precisamente. No esta funcionando. No es un firewall. Está listo, pero inútil. DEBE ejecutar sudo ufw enableantes de que un iptables esté configurado para hacer algo. Manish, su respuesta parece que se está ejecutando un firewall. Estás diciendo "técnicamente lo es" y técnicamente tienes razón. Pero no está haciendo nada, por lo que está dando una impresión masivamente falsa de seguridad donde no existe ninguna.
Scaine
3
@manish, con respecto a "usuarios normales que instalan software de servidor". Muchos instalarán Samba, según mi ejemplo. Muchos otros usarán el servidor VNC incorporado en las preferencias / escritorio remoto. Esto está bien en el entorno doméstico (probablemente), pero si lleva esa computadora portátil al exterior con esos servicios habilitados, posiblemente se exponga a un comportamiento malicioso.
Scaine
2
Los puertos ssh, relacionados con la impresión y de correo también se abren con frecuencia para operaciones de escritorio o servidor completamente normales. Estos pueden bloquearse (por IP de origen, por ejemplo) o cerrarse completamente con ufw u otro tipo de firewall / ACL.
belacqua
4

Además, gufwpuede proporcionar una interfaz gráfica de usuario. (Para mí, en realidad no es más intuitivo que ufw en la línea de comando, pero te da un recordatorio más visual de lo que hay allí). Estoy de acuerdo en que el firewall no se anuncia bien en este momento. Si tuviera que adivinar, diría que esto es para evitar que los nuevos usuarios se disparen en el pie.

belacqua
fuente
-1

Porque: contraseñas o claves criptográficas.

Esta es IMO la respuesta correcta, y hasta ahora, una respuesta bastante diferente a las demás. ufwestá deshabilitado de forma predeterminada para la conveniencia de la mayoría de los usuarios de Ubuntu que saben que las contraseñas son una forma importante de protección para proporcionar privacidad y control restringido. La mayoría de los usuarios de Ubuntu "examinarán" el software al instalar desde repositorios aprobados por Ubuntu y tendrán cuidado con otras fuentes, a fin de minimizar los riesgos en general, no solo los relacionados con los puertos. Al hacerlo, contribuyen en gran medida a minimizar el riesgo relacionado con el puerto que ya era pequeño porque usan contraseñas "normales" y muy pequeñas si usan contraseñas o claves criptográficas difíciles de usar.

Algunos de los riesgos citados, como el servidor de archivos Samba, el servidor Apache HTTP, SSH, VNC en un WiFi Starbucks (público) generalmente se eliminarían con contraseñas difíciles de usar en el host.

ufw"rompe" el software, como debería hacerlo un cortafuegos, razón por la cual está deshabilitado de forma predeterminada. Para probar esto en una nueva instalación de Ubuntu, el servidor A, instale sshe inicie sesión desde otra máquina, el cliente B, en la misma red local y verá que funciona de inmediato. Cerrar sesión. Luego regrese al servidor A y sudo ufw enable. Regrese al cliente B y no podrá acceder sshal servidor A.

H2ONaCl
fuente
1
Las contraseñas se encuentran en un nivel mucho más alto de la pila. Los sistemas pueden ser atacados a través de desbordamientos de búfer simples en los niveles inferiores de la pila.
HRJ
¿Por qué el voto negativo?
H2ONaCl
@HRJ, "los sistemas pueden ser atacados" no refuta que la conveniencia es importante. No has abordado la exactitud de lo que escribí. Estoy en lo cierto. Estás en una tangente.
H2ONaCl