क्या वास्तव में इन दिनों फ़ायरवॉल आवश्यक है? [बन्द है]

13

जैसा कि वर्तमान में खड़ा है, यह प्रश्न हमारे प्रश्नोत्तर प्रारूप के लिए एक अच्छा फिट नहीं है। हम तथ्यों, संदर्भों या विशेषज्ञता के आधार पर उत्तर देने की अपेक्षा करते हैं, लेकिन इस सवाल पर बहस, बहस, मतदान या विस्तारित चर्चा की संभावना होगी। यदि आपको लगता है कि इस प्रश्न को बेहतर बनाया जा सकता है और संभवतः फिर से खोला जा सकता है, तो मार्गदर्शन के लिए सहायता केंद्र पर जाएं ।

9 साल पहले बंद हुआ ।

मैं gufw की तरह कुछ स्थापित करना चाहिए?

security firewall

— TheXed
स्रोत

5

मुझे लगता है कि यह प्रश्न एक उद्देश्य , सही उत्तर पाने के लिए बहुत व्यापक है ।

— Stefano Palazzo

मैं मान रहा हूं कि आप मेजबान आधारित फायरवॉल का मतलब हैं, स्टैंडअलोन का नहीं। लेकिन मैं स्टेफानो से सहमत हूं कि यह स्पष्ट उत्तर के लिए एक विषय है। संदर्भ पर बहुत कुछ निर्भर करता है - जहां आपका सिस्टम है, आप कौन सी सेवाएं चला रहे हैं, अन्य सुरक्षा नियंत्रण क्या हैं, आपके अपटाइम (सेवा से वंचित करने के लिए) और डेटा का क्या मूल्य है (वित्तीय, स्वामित्व, अपूरणीय), आदि। । सतर्क सुरक्षा के लिए सामान्य सिद्धांत कई सुरक्षा का उपयोग करना है। यदि यह आपकी दिन-प्रतिदिन की गतिविधि के रास्ते में नहीं आता है, तो सुरक्षा की एक अतिरिक्त परत को जोड़ने में कुछ कमियां हैं, और संभावित लाभ हैं।

— belacqua

इसके अलावा, sudo nmap localhost। क्या आपके पास अब खुले पोर्ट हैं? (एक मोटा अनुमान।)

— belacqua

sudo nmap localhostयह कमांड काम नहीं करता है

— TheXed

1

@ TheX क्योंकि namp स्थापित नहीं है?

— TheTuxRacer

7

हाँ, पहले से कहीं ज्यादा। पुराने दिनों से इंटरनेट बहुत अधिक नहीं बदला है। तो एक फ़ायरवॉल इन दिनों अभी भी एक आवश्यकता है। बुनियादी नियमों के साथ एक फ़ायरवॉल जैसे कि gufw काम करता है। यदि आप सीएलआई geek हैं तो iptables का उपयोग करें;)

— theTuxRacer
स्रोत

ख़तरनाक, कृपया टिप्पणी करें कि आपने क्यों अपमानित किया।

— TheTuxRacer

1

वोट ++; echo "Use iptables" - I assume I\'m a real CLI geek then :p;

— लेकेन्स्टाइन

1

गलत जवाब।

— Psusi

1

@psusi क्या आप कह रहे हैं कि यह गलत है क्योंकि आप इस आधार से असहमत हैं कि होस्ट-आधारित फ़ायरवॉल का उपयोग करना एक अच्छा विचार है, या क्योंकि आप ufw / iptables आकलन से असहमत हैं?

— belacqua

1

@jgbelacqua यह गलत है क्योंकि उबंटू डेस्कटॉप सिस्टम के लिए एक होस्ट आधारित फ़ायरवॉल व्यर्थ है, पहले से कहीं अधिक की आवश्यकता नहीं है। मनीष से जुड़े सवाल में बहुत अच्छी व्याख्याएँ हैं कि क्यों।

— Psusi

5

कृपया उबंटू पर फायरवॉल पर चर्चा के लिए इस उत्तर की जांच करें।

डिफ़ॉल्ट रूप से फ़ायरवॉल अक्षम क्यों है?

— मनीष सिन्हा
स्रोत

3

निस्संदेह, यह केवल एक अवसरवादी स्नूपर लेता है जिससे परेशानी का कोई अंत नहीं होता है। भ्रम यह है कि कैसे आप एक फ़ायरवॉल के पीछे सुनिश्चित करने के बारे में जाते हैं।

इस पर अधिक विस्तार से चर्चा की गई है: क्या कोई पूर्वस्थापित या स्वचालित फ़ायरवॉल है? लेकिन संक्षेप में यदि आप वायरलेस राउटर के पीछे एक होम नेटवर्क पर हैं, तो आपका राउटर सामान्य रूप से फ़ायरवॉल ड्यूटी करेगा। स्पष्ट रूप से इसका एक अच्छा विचार है कि आप किसी भी चीज़ पर भरोसा करने से पहले निर्माता के साथ जाँच करें (यह राउटर कॉन्फ़िगरेशन पर भी निर्भर है)।

GUFW, अपने आप में, फ़ायरवॉल नहीं है, बस ubuntu के डिफ़ॉल्ट फ़ायरवॉल (UFW) के लिए एक GUI है। UFW डिफ़ॉल्ट रूप से बंद है। सामान्यतया, संभावित संघर्षों से बचने के लिए केवल एक फ़ायरवॉल चलाने की सलाह दी जाती है, बशर्ते कि आप एक विश्वसनीय होम नेटवर्क पर हों (और आप पॉजिटिव हैं आपका राउटर पर्याप्त सुरक्षा प्रदान करता है), आईडी सलाह आपके सॉफ्टवेयर फ़ायरवॉल (UFW) को बंद करने की।

जाहिर है, जब आप सार्वजनिक / गैर-विश्वसनीय नेटवर्क पर हों तो इसे फिर से चालू करें।

— richzilla
स्रोत

व्यक्तिगत सॉफ्टवेयर फ़ायरवॉल चलाने में कोई बुराई नहीं है ... यह आमतौर पर एक अच्छा विचार है और अपने स्थानीय नेटवर्क पर किसी भी खराब व्यवहार वाली मशीनों के खिलाफ 'गहराई में रक्षा' की पेशकश करता है।

— Nerdfest

समझौते में Im, इसलिए जब तक फ़ायरवॉल उसी तरह कॉन्फ़िगर किए जाते हैं। नेटवर्क समस्याओं का निदान करने में बिताए गए घंटों की संख्या, केवल दो फायरवॉल की खोज करने के लिए समझौते पर नहीं है कि वे किस माध्यम से अनुमति दे रहे हैं ...

— रिचज़िला

1

मेरे LAN के अंदर: कोई फ़ायरवॉल नहीं। इंटरनेट का सामना करना पड़ रहा है: बेशक फ़ायरवॉल। मैं फ़ायरवॉल के आधार पर कहता हूँ कि मैं उन कंप्यूटरों पर कैसे भरोसा करता हूँ जिनसे मैं जुड़ता हूँ।

— djeikyb

2

मैं एक फ़ायरवॉल स्थापित करने की सलाह दूंगा। कुछ हमेशा कुछ नहीं से बेहतर है। क्या यह नहीं है? उबंटू, डिफ़ॉल्ट रूप से एक फ़ायरवॉल ' ufw ' के साथ आता है । gufw (प्रश्न में उल्लेख किया गया) 'ufw' के GUI के अलावा कुछ नहीं है।

उम्मीद है की यह मदद करेगा।

— aneeshep
स्रोत

1

बस एक नोट: iptables फ़ायरवॉल नहीं है। नेटफिल्टर है, जो लिनक्स कर्नेल का हिस्सा है। iptables एक कमांड लाइन उपयोगिता है जिसका उपयोग नेटफिल्टर नियम को संशोधित / क्वेरी करने के लिए किया जाता है।

— एलजीबी

एक और गलत जवाब।

— Psusi

विकिपीडिया से @LGB: iptables एक उपयोगकर्ता अंतरिक्ष अनुप्रयोग प्रोग्राम है जो सिस्टम व्यवस्थापक को लिनक्स कर्नेल फ़ायरवॉल द्वारा प्रदान की गई तालिकाओं (विभिन्न नेटफिल्टर मॉड्यूल के रूप में कार्यान्वित) और जंजीरों और नियमों को संग्रहीत करने की अनुमति देता है। अब मैं उलझन में हूं।

— TheTuxRacer

@aneesheep मैं कहूंगा कि यह भ्रामक है, क्योंकि (जो कि नेटफिल्टर का एक इंटरफ़ेस है) के uwfलिए एक फ्रंट-एंड iptablesहै। आपके पास जगह में iptables के बिना ufw स्थापित नहीं हो सकता है।

— बेलाक्वा

मुझे सही दिशा में ले जाने के लिए धन्यवाद दोस्तों। मैंने अपने जवाब से iptables सेक्शन को हटा दिया है।

— अनीशप

1

उबंटू को एक GUI टूल के साथ सक्रिय फ़ायरवॉल के साथ आना चाहिए। मुझे आश्चर्य है कि यह इसके साथ नहीं आता है। मुझे पता है कि iptables पहले से ही है लेकिन कोई नियम लोड नहीं हैं। आपको अपने लिए चल रहे बेसिक्स को प्राप्त करने के लिए फायरस्टार जैसी किसी चीज़ को मैन्युअल रूप से या इंस्टाल करना होगा ।

मुझे एक दिन बहुत आश्चर्य हुआ जब मुझे पता चला कि मेरा आईएसपी मुझे अपना सार्वजनिक आईपी हर बार अपने डीएसएल को सक्षम करने के लिए देता है। कल्पना करें कि कितने हिट, ssh लॉगिन प्रयास, अन्य स्कैन और MS कारनामे (हाँ किसी को चल रहा था कि मेरे ISP के IP पर) मेरी मशीन को पूरा समय मिल रहा था। जबरदस्त हंसी! :)

— Marky
स्रोत

2

और आपकी मशीन फ़ायरवॉल की आवश्यकता के बिना सभी को बहुत खुशी से अनदेखा करती है।

— Psusi

यदि कोई सेवा किसी विशेष पोर्ट पर सुनने वाली है, तो मशीन को अनदेखा नहीं किया जाता है। वास्तव में, मैं मशीन को कनेक्शन स्वीकार करने के लिए उत्सुक हूं ।

— TheTuxRacer

1

@Kaustubh P यदि पोर्ट पर सुनने वाली कोई सेवा है, तो आप इसे कनेक्शन स्वीकार करना चाहते हैं, और फ़ायरवॉल में उस पोर्ट को खोल दिया होगा। यदि नहीं है, तो यह उस पोर्ट के कनेक्शन को अस्वीकार कर देता है।

— Psusi

1

परिभाषा के अनुसार एक फ़ायरवॉल संचार को अवरुद्ध करता है जो अन्यथा अनुमति दी जाएगी। एक डेस्कटॉप उबंटू मशीन में डिफ़ॉल्ट रूप से स्थापित कोई भी सेवा नहीं है जो कनेक्शन स्वीकार करेगी, इसलिए फ़ायरवॉल तक पहुंच को अवरुद्ध करने के लिए कुछ भी नहीं है। इसलिए, यह पूरी तरह से बेकार है।

Windows पर फ़ायरवॉल आवश्यक माना जाता है, क्योंकि यह डिफ़ॉल्ट रूप से स्थापित कई ब्रेन डेड सेवाओं के साथ आता है जो कनेक्शन स्वीकार करते हैं और दूसरे पक्ष को आपके कंप्यूटर के साथ काम करने की अनुमति देते हैं जो आप नहीं चाहते हैं।

— psusi
स्रोत

"पूरी तरह से बेकार" - गलत। एक फ़ायरवॉल रक्षा की एक अतिरिक्त परत जोड़ता है। आप गलत जानकारी भी प्रदान कर रहे हैं, एक डिफ़ॉल्ट उबंटू स्थापना में जनता के सामने आने वाली सेवाएं हैं। उदाहरण के लिए, यह कप (कॉमन यूनिक्स प्रिंटिंग सिस्टम) सुन UDP पोर्ट पर प्रदान करता है 631.

— Lekensteyn

1

यदि आप एक नई सेवा स्थापित करते हैं, जो अन्य बंदरगाहों का उपयोग करती है, तो उन्हें खुला छोड़ दिया जाएगा , जब तक कि आप उन्हें बंद नहीं करते हैं, या उन्हें फ़ायरवॉल के साथ विनियमित नहीं करते हैं ।

— TheTuxRacer

ओपी डेस्कटॉप या सर्वर का उल्लेख नहीं करता है। यहां तक कि @Kaustubh के अनुसार, एक डेस्कटॉप सिस्टम पर भी, इस बात की कोई गारंटी नहीं है कि एक बार जब आप मूल सेट-अप से चले जाते हैं, तो पोर्ट खुले नहीं होंगे। और कभी-कभी, अपडेट में पोर्ट अनजाने में खुले छोड़ दिए जाते हैं।

— बेलाक्वा

@Lekensteyn: यह गलत नहीं है। मेरा सुझाव है कि आप मनीष से जुड़े अन्य प्रश्न को पढ़ें जहां यह भी स्पष्ट रूप से समझाया गया था। जब पोर्ट पहले से ही बंद है, तो पोर्ट बंद करने वाला प्रोग्राम बेकार है। CUPS भी डिफ़ॉल्ट रूप से केवल लोकलहोस्ट से कनेक्शन स्वीकार करता है।

— Psusi

2

कृपया wiki.ubuntu.com/SecurityTeam/FAQ#UFW देखें यदि आप ufw को सक्षम करना चाहते हैं, तो ऐसा करना तुच्छ है। "सूडो ufw इनेबल"

— कीस कुक

1

IPv6 की शुरूआत के साथ एक फ़ायरवॉल और भी महत्वपूर्ण हो जाएगा। IPv4 के विपरीत, जहां अधिकांश प्रणालियां निजी IP सीमाओं पर अपेक्षाकृत सुरक्षित हैं, IPv6 डिवाइस पूरी तरह से सुलभ होने की संभावना है।

डिफ़ॉल्ट इनकार नीति के साथ फ़ायरवॉल होने से यह और भी महत्वपूर्ण होगा। पतों के विरल उपयोग के कारण स्कैन करने के लिए उपकरणों को ढूंढना अधिक कठिन होगा। कुछ प्रोटोकॉल जैसे लिंक पर एसएमबी स्थानीय पते रखने में मदद करेगा, लेकिन यह एक जादू की गोली नहीं होगी।

कहा कि डिफ़ॉल्ट रूप से एक सक्रिय फ़ायरवॉल स्थापित करना सुरक्षा की एक अतिरिक्त परत है। कई अनुप्रयोग जो खुले पोर्ट करते हैं, उन्हें काम करने की अनुमति देने के लिए अपने पोर्ट को खोलने की आवश्यकता होगी। बहुत अच्छी तरह से सभी के पास उन्हें सुरक्षित करने के लिए अतिरिक्त तरीके हैं। आवश्यकतानुसार सभी उपयुक्त परतों को सक्षम करें।

संपादित करें: फ़ायरवॉल न होने के कारण एप्लिकेशन नियंत्रण को एक्सेस करने और अन्य कारणों के बारे में बहुत सारी टिप्पणियां हुई हैं। दुर्भाग्य से, कई अनुप्रयोगों तक पहुंच नियंत्रण नहीं है। अन्य सभी पते पर सुनते हैं, इसलिए एक फ़ायरवॉल निश्चित इंटरफेस से पहुंच को प्रतिबंधित करने का एकमात्र तरीका बन जाता है।

जैसा कि मैंने ऊपर उल्लेख किया है, एक फ़ायरवॉल सुरक्षा की केवल एक परत है। सुरक्षित एप्लिकेशन अन्य हैं, लेकिन आप आसानी से यह सुनिश्चित नहीं कर सकते कि आपके उपयोगकर्ता केवल सुरक्षित एप्लिकेशन चलाएं। फ़ायरवॉल आपके उपयोगकर्ताओं की सुरक्षा का एक तरीका है।

कोई भी उचित सुरक्षा उपाय पूरी तरह से सुरक्षित नहीं हैं। जबकि कई उपयोगकर्ता किसी फ़ायरवॉल को पूरी तरह से समझने के लिए इच्छुक या शिक्षित नहीं हो सकते हैं, यह एक कारण नहीं है कि फ़ायरवॉल का उपयोग न करें, या उनके लिए फ़ायरवॉल नहीं होना चाहिए।

— BillThor
स्रोत

3

फ़ायरवॉल के बिना डिफ़ॉल्ट नीति कनेक्शन को अस्वीकार करना है। आपको ऐसा करने के लिए फ़ायरवॉल की आवश्यकता नहीं है; जब आप पहले से ही एक सेवा स्थापित करने की कोशिश कर रहे हैं, जिसे अस्वीकार करने का प्रयास कर रहे हैं, तो अस्वीकार करने के लिए आप पॉलिसी बैक को बदलने के लिए फ़ायरवॉल का उपयोग करें। बेशक, यदि आप ऐसा करना चाहते हैं, तो पहली जगह में कनेक्शन स्वीकार करने के लिए सेवा स्थापित न करें।

— Psusi

1

@psusi। सेवा की स्थापना रद्द करना हाँ / नहीं समाधान है। फ़ायरवॉल का उपयोग करने से महीन दाने पर नियंत्रण होता है।

— बिलचोर

यह ठीक दानेदार नियंत्रण की अनुमति देता है, लेकिन सेवा आमतौर पर और भी अधिक दानेदार नियंत्रण की अनुमति देती है। जब आप एक सेवा स्थापित करते हैं, तो आप इसे प्रतिबंधित करने के लिए एक अलग उपकरण का उपयोग करने के बजाय उस तरह के कनेक्शन को स्वीकार करने के लिए कॉन्फ़िगर करते हैं। सेवाओं में भी चूक है, ताकि जब आप उन्हें स्थापित करते हैं, तो वे या तो स्थानीय होस्ट या स्थानीय नेटवर्क से कनेक्शन स्वीकार करते हैं, इसलिए फिर से, फ़ायरवॉल की आवश्यकता नहीं होती है।

— Psusi

@psusi दी गई सेवाओं में अक्सर ठीक दानेदार नियंत्रण होता है। जब वे कनेक्शन को सुसंगत तरीके से छोड़ते हैं तो वे हमेशा लॉग नहीं करते हैं। एक फ़ायरवॉल लगातार लॉगिंग प्रदान कर सकता है, हालांकि अन्य लॉग को स्कैन करना उपयोगी है। एक फ़ायरवॉल गुम सेवाओं की जांच भी कर सकता है। यह प्रोएक्टिव तरीके से मूल मेजबान को अवरुद्ध करने की अनुमति दे सकता है।

— बिलचोर

आपके औसत डेस्कटॉप उपयोगकर्ता को उस तरह की जानकारी नहीं है या परवाह नहीं है। बेशक कुछ चीजें हैं जो आप ipchains के साथ कर सकते हैं जो आप किसी दिए गए डेमॉन के साथ नहीं कर सकते हैं, लेकिन ऐसा कुछ भी नहीं है जो औसत डेस्कटॉप उपयोगकर्ता "आवश्यक" पर विचार करेगा।

— psusi

0

हर कोई सही है, सावधान रहें और शायद किसी तरह की सुरक्षा का उपयोग करें, यह आपके द्वारा किए जाने के आधार पर कुछ परेशानी पैदा कर सकता है लेकिन कभी-कभी आपको यह ध्यान नहीं आता है कि अतिरिक्त परेशानी वास्तव में आपकी रक्षा कर रही है।

एक तरीका यह है कि आप कुछ अतिरिक्त सुरक्षा है कि वास्तव में घुसपैठ सभी में देखना होगा पर नहीं है जोड़ सकता है OpenDNS , मूल रूप से बस कुछ अच्छा नियंत्रण कहते हैं और बुनियादी इंटरनेट का उपयोग के लिए अतिरिक्त सुरक्षा प्रदान करता है।

— जॉन फेनोव
स्रोत