Brandvägg, är det något man behöver tänka på i Ubuntu/Debian

[Rune.K]

Ibland läser jag, att det rekommenderas att man ska aktivera brandväggen, typ...

Jag har aldrig satt mej ordentligt in i hur det fungerar med brandvägg i Linux, men vad jag tror så är det inget man behöver tänka på.
Det skulle vara isåfall om man vill spärra vissa IP-adresser eller tvärtom om man vill endast tillåta att vissa IP-adresser kan ansluta till datorn, det finns ju många scenarion som en brandvägg kan komma till nytta...

Jag har en maskin kopplad direkt till nätet, den kör en ssh-server och en Tor-brygga.
Inte behöver jag tänka på att dona något med brandväggen, eller hur?

[JoWa]

Jag har aktiverat blockering av alla inkommande anslutningar i gufw. Kanske inte nödvändigt, men jag kommer inte på något skäl att inte aktivera det.

[johanre]

Jag har en maskin kopplad direkt till nätet, den kör en ssh-server och en Tor-brygga.
Inte behöver jag tänka på att dona något med brandväggen, eller hur?

Det kan man debattera fram och tillbaks och handlar mycket om hur just individen ser på säkerhetsfrågor. Min rekommendation är - rent generellt - senast när du börjar göra tjänster tillgängliga direkt från Internet så skall du definitivt ha en brandvägg i åtanke.

[m!rage]

Din dator är antagligen bakom en router med Network Address Translation-funktion (http://en.wikipedia.org/wiki/NAT). Den funktionen blockerar som standard alla inkommande anslutningar, precis som en brandvägg kan göra. Resultatet är att om du får in ett skadligt program i din dator så kan inte detta sätta upp en server som är tillgänglig utifrån. Port forwarding och UPnP används för att "göra hål" i NAT och tillåta inkommande anslutningar på vissa portar, till vissa datorer i nätverket.

Jag är dessutom inte helt övertygad om nyttan med en brandvägg som enbart filtrerar på portar, eftersom ett skadligt program precis lika gärna kan agera klient istället för server och upprätta en anslutning mot banditens server ute på internet. Är man riktigt seriös kan man även filtrera utgående trafik, men ett skadligt program kan då bara ansluta genom en standardport som alldeles säkert måste lämnas öppen (som port 80 för HTTP).

[Antec]

Jag har aktiverat blockering av alla inkommande anslutningar i gufw. Kanske inte nödvändigt, men jag kommer inte på något skäl att inte aktivera det.

Det brukar jag också göra! Men jag ska ändå säga att jag hade en konstig sak i går, förmodligen inget säkerhetsproblem men jag drog växlarna dit först.. Jag gick in på SEB Internet bank och skulle betala ett par räkningar, jag använder 12.04 för det. Vad händer jo datorn blir helkonstig, jag märket att det var nått fel då jag starta miniräknaren siffrorna flöt omkring bara i räknaren, Jag ringde upp SEB och fråga om jag har problem med troajer, svaret var kanske inte så informativt, Starta om datorn och prova igen fungerar det så är det lugnt, men jag sa heller aldrig jag hade Linux.. Jag vet inte vad jag ska riktigt tro, kan det vara så att SEB är smittad av Trojan eller fallera mitt system så totalt utan att det hänt tidigare?

[Antec]

Jag har i alla fall testat systemet nu och ser inga fel

[Rune.K]

Jag upprepar frågan eftersom någon trodde att datorn var bakom en "NAT".

Jag har en maskin kopplad direkt till nätet, den kör en ssh-server och en Tor-brygga.
Inte behöver jag tänka på att dona något med brandväggen, eller hur?


Nu bara gissar/tror jag!
Om vi tänker på port 80...
Utan brandvägg så skickas det väl ett svar till klienten att det inte finns någon tjänst som svarar på port 80.
Är brandväggen igång så "droppas" väl bara anropet, dvs det skickas inget svar till klienten.
Stämmer det?

[Antec]

mm jag tro det stämmer!

[johanre]

Jag upprepar frågan eftersom någon trodde att datorn var bakom en "NAT".

Jag har en maskin kopplad direkt till nätet, den kör en ssh-server och en Tor-brygga.
Inte behöver jag tänka på att dona något med brandväggen, eller hur?

Jo, det tycker jag du skall.

Nu bara gissar/tror jag!
Om vi tänker på port 80...
Utan brandvägg så skickas det väl ett svar till klienten att det inte finns någon tjänst som svarar på port 80.
Är brandväggen igång så "droppas" väl bara anropet, dvs det skickas inget svar till klienten.
Stämmer det?

Ja, i stort sett - men beorende på hur brandväggen är uppsatt så kan du få olika svar.

[Rune.K]

...
Jag är dessutom inte helt övertygad om nyttan med en brandvägg som enbart filtrerar på portar, eftersom ett skadligt program precis lika gärna kan agera klient istället för server och upprätta en anslutning mot banditens server ute på internet. Är man riktigt seriös kan man även filtrera utgående trafik, men ett skadligt program kan då bara ansluta genom en standardport som alldeles säkert måste lämnas öppen (som port 80 för HTTP).

Det stämmer bra om man har en Windowsdator, i Windows använder jag alltid Zonealarm som både kontrollerar ut och ingående trafik. De flesta virus sedan länge är uppdelade på flera program, först är det ett litet snabbt program som stänger av de flesta antivirusprogram för att sedan hämta den riktigt skadliga koden från nätet, men har man då en ordentlig brandvägg typ Zonealarm kan det viruset inte komma ut på nätet för att hämta mer skadlig kod. I Windows använder jag inte längre antivirusprogram som skannar i realtid.

[m!rage]

...men har man då en ordentlig brandvägg typ Zonealarm kan det viruset inte komma ut på nätet för att hämta mer skadlig kod...

Vad jag har förstått så är Zonealarm lite smartare än en simpel portbaserad brandvägg som UFW. Den filtrerar även utgående trafik och frågar användaren om lov när ett nytt program försöker ansluta till internet. Stämmer det? En sådan gör förstås betydligt större nytta än en rent portbaserad brandvägg.

[Rune.K]

...men har man då en ordentlig brandvägg typ Zonealarm kan det viruset inte komma ut på nätet för att hämta mer skadlig kod...

Vad jag har förstått så är Zonealarm lite smartare än en simpel portbaserad brandvägg som UFW. Den filtrerar även utgående trafik och frågar användaren om lov när ett nytt program försöker ansluta till internet. Stämmer det? En sådan gör förstås betydligt större nytta än en rent portbaserad brandvägg.

Jo det stämmer att Zonealarm ställer en fråga om programmet virus.exe ska få ansluta till internet. Firefox uppdateras ganska ofta och efter varje uppdatering så får man en fråga om det nya Firefox ska få ansluta till internet.

Den senaste versionen av Zonealarm har 2 lägen, ett där man inte får så många frågor, jag tror att programmen som vill ut på nätet kontrolleras gentemot en community-underhållen lista. Det andra läget så är det fler frågor, men eftersom det är det gamla sättet som jag är van vid sedan länge så kör jag på det.

Visst det är lite jobb med Zonealarm, men eftersom jag kan skippa ett realtids-sökande antivirusprogram så jämnar det nog ut sej. Jag har Clamwin för att skanna CD eller USB som jag får av andra. Sedan har jag förstås den där Windows-skiten Defender. På min förra dator, den som brann upp i ett blixtnedslag, lyckades jag avaktivera Defender, men det var krångligt...

Man kan även lätt ställa in om windows fildelning ska vara tillåten eller inte. Det är perfekt om man ansluter till hotspots och okända nätverk. Windows fildelning (netbios) är ju som bekant ett såll vad det gäller säkerheten. Alla seriösa ISPer har ju spärrat portarna som Windows fildelning använder.

Jag har alltid använt tredjeparts brandvägg i Windows, på Napster-tiden var det kalas. För ofta så följde det med något spionprogram när man installerade ett program för olaglig fildelning, men då var det bara att spärra spionprogrammet i brandväggen, hehehe.