¿Cuáles son los riesgos de NO usar un firewall (computadora doméstica)?

51

Dado que se requiere una contraseña para ser un superusuario (para instalar y modificar programas), ¿cuáles son los riesgos de no usar un firewall en Ubuntu? Más particularmente si estoy usando un enrutador NAT?

riimzzai
fuente

Respuestas:

40

Depende. La mayoría de las personas usa un enrutador entre su escritorio e Internet y, de forma predeterminada, no hay puertos abiertos significativos, por lo que en la gran mayoría de los casos de usuarios, un firewall agrega muy poco, si es que hay algo.

Puede ayudar si instala accidentalmente un servidor, como VNC o SSH.

Una mejor pregunta es ¿para qué quieres usar un firewall?

Ver:

https://wiki.ubuntu.com/SecurityTeam/FAQ#UFW

https://wiki.ubuntu.com/SecurityTeam/Policies#No_Open_Ports

https://help.ubuntu.com/community/UFW

Si desea una herramienta gráfica para su firewall, use gufw

ingrese la descripción de la imagen aquí

Pantera
fuente
Gracias por su respuesta. De hecho, ya uso gufw con puerto abierto para mi cliente torrent. Y debo decir que esto es más un hábito de Windows, ya que usar Windows sin firewall es bastante suicida.
riimzzai
Sí, Windows tiene varios puertos abiertos documentados e indocumentados, aunque puede estar mejorando (no he usado ninguna versión de Windows superior a XP).
Panther
Incluso en Windows, NAT protege contra más amenazas de las que la mayoría de la gente cree. Pero simplemente no veo una buena razón para NO usar un firewall.
davidcl
1
@davidcl: solo tenga cuidado de no habilitar UPnP en su enrutador; todo lo contrario; +1 al enrutador (que viene con firewall / NAT).
Panther
11

Parece que la pregunta es sobre un firewall basado en host en una PC Ubuntu.

SI la máquina nunca abandona la red basada en NAT (es decir, no es una computadora portátil que lleva a cafeterías y usa en redes wifi gratuitas),

Y no hay puertos abiertos en su enrutador que puedan asignarse a su máquina Ubuntu,

Y su enrutador no tiene ninguna característica que le ayude a abrir puertos según las cosas que suceden en su red (UPnP)

Y nunca tendrá otros dispositivos en su red local que puedan verse comprometidos y atacar su caja de Ubuntu,

ENTONCES su sistema probablemente sea seguro sin un firewall basado en host.

Sin embargo, si algunas de estas cosas no son ciertas, o podrían volverse falsas en el futuro, un firewall basado en host es una muy buena idea. Dados los beneficios potenciales y los inconvenientes limitados, ¿por qué no habilitarlo?

davidcl
fuente
9

Usando un NAT, si no tiene reenvío de puertos a su máquina, no se puede acceder desde Internet a menos que abra explícitamente una conexión (con vnc o teamviewer, por ejemplo), así que creo que no hay ningún problema al no usar un firewall en él . La preocupación única podría provenir del acceso interno (LAN), pero generalmente no es el caso en la LAN doméstica.

Laurent
fuente
No es verdad; leer sobre el recorrido STUN. Hay muchas fallas relacionadas con STUN que permiten que servicios externos abran puertos a máquinas dentro del firewall.
esponjoso
Stun Traversal es para que los clientes voip atraviesen el NAT / firewall, por lo que si lo habilita (generalmente no es necesario), está abriendo la máquina para esos puertos de todos modos y, por supuesto, debe tomar las medidas apropiadas (como no habilitar UPnP en el enrutador para ejemplo).
Laurent
El recorrido STUN no es 'para' nada, es un artefacto de cómo funciona NAT que se ha aprovechado con el fin de mejorar los protocolos de red punto a punto, como SIP y similares. Se puede usar para bien. También se puede usar para el mal.
esponjoso
2

Ninguno en absoluto.

La función de un firewall es bloquear el acceso a los servicios que de otro modo lo permitirían. Ubuntu no tiene servicios de escucha por defecto, por lo que no hay nada que bloquear. Además, dado que está detrás de un enrutador NAT, ya tiene efectivamente un firewall.

psusi
fuente
2
Eso no es completamente cierto, ya que algunos enrutadores tienen UPnP y las personas involuntariamente habilitan el uso compartido de escritorio (VNC). Esto lleva al crack más común que he visto en Ubuntu. Por supuesto, bien pueden abrir el puerto VNC sin pensar ... Creo que nuestra posición debería ser la educación en lugar de superar las generalizaciones y las afirmaciones absolutas.
Panther
@ bodhi.zazen, no veo cómo puedes habilitarlo por accidente, y si te tomaste la molestia de habilitarlo, imagino que quieres que funcione, por lo que un firewall sería contraproducente. Por defecto, también le solicita una autorización cuando alguien se conecta, por lo que, incluso si la dejó activada y no estableció una contraseña, no permitirá que nadie entre sin su aprobación.
psusi
Aquí hay un ejemplo de cómo puede suceder por accidente: miket5au.blogspot.com/2011/03/beware-vnc-and-upnp.html A veces desea compartir el escritorio en la LAN, pero no tiene la intención de habilitarlo para el mundo exterior.
davidcl
Dicho esto, su firewall basado en host probablemente no lo ayude en este escenario.
davidcl
@davidcl, de hecho, el firewall basado en host también lo bloquearía en la LAN. Y la primera línea de ese artículo, él admite "Fui descuidado". Si es lo suficientemente descuidado como para dejar la puerta delantera abierta (habilite vnc sin contraseña o solicitud), entonces puede ser lo suficientemente descuidado como para dejar la puerta abierta (firewall). Tener la puerta o no no hace ninguna diferencia si no dejas la puerta abierta.
psusi
1

Creo que una de las funciones de firewall más utilizadas es evitar que los programas "descifrados" comprueben la licencia en Internet. Si la aplicación "descifrada" no necesita actualizarse o no utiliza funciones "en línea", puede evitar que acceda a Internet configurando una regla de firewall específica. Triste pero cierto.

Serafines
fuente
0

En casos generales, ser computadoras públicas o computadoras sin una conexión segura, como las que más o menos secuestran las conexiones de Internet de otros usuarios en puertos adyacentes (es decir, casas / apartamentos de al lado), entonces eso solo, creo, daría un ejemplo de cómo un cortafuegos (siendo discreción) podría ser la mejor parte del valor, por así decirlo. Además, evitan que los que te rodean caven en tu información, ya sea personal o incluso algo tonto con el que podrías estar jodiendo. El punto es la privacidad.

Cuando digo general, nuevamente, me refiero a lugares como lugares públicos. Bibliotecas donde todos y cada uno antes de usar portadores portátiles, como USB, realmente, discos, incluso si hiciera algo posiblemente precipitado, como llevar su propio disco duro externo a otro lugar y enchufarlo, no hay garantía de que el puerto posterior sea protegido por bloqueadores de virus o spyware y todo eso podría engancharse y transportarse directamente a su computadora portátil / computadora de escritorio original, por lo que se sentirá como en casa.

Por lo tanto, si bien en muchos casos puede que no haya una necesidad vehemente de que un firewall proteja contra muchas cosas, ciertamente son útiles contra ciertos casos, si están aislados.


fuente
0

En el medio, encontré algunas consideraciones interesantes sobre el firewall .

El artículo explica la noción de "escucha de servicio", "puerto abierto" y "enrutador NAT", que pueden malinterpretarse para concluir que: - mejor con que sin (incluso si conduce un tanque, se pone el cinturón de seguridad) y - piense dos veces antes de hacer algo que afecte el sistema (consideraciones educativas)

riimzzai
fuente