Detta med brandvägg

[Lao Tzu]

Nu vet jag inte om det här är rätt plats men trådar är ju flyttbara...

Av en slump fick jag reda på att Xubuntus brandvägg är inaktiverad från start och jag har inte aktiverat den själv heller. Hur illa är detta på en skala egentligen?

(Eventuellt kan den här tråden framöver komma att bli en tråd om hjälp med brandväggskonfiguration också.)

[JoWa]

En standardinstallation av Ubuntu (antar att detsamma gäller Xubuntu) har inga öppna portar som lyssnar: https://wiki.ubuntu.com/Security/Features#ports

• Myth: I don't need a firewall because Ubuntu has no open ports by default.
• Reality: This is a matter of risk tolerance. Added protection, particularly that which takes only a few minutes to set up, is always worth it. Firewalls are discussed in more depth later in this document.

https://wiki.ubuntu.com/BasicSecurity#L ... rabilities

Mer: https://wiki.ubuntu.com/BasicSecurity#Firewall

ShieldsUP är ett klassiskt brandväggstest.

[Hund]

Om du har en router så räcker det bra. Men är du på ett annat nätverk än ditt egna så hade jag satt upp en mjukvarubaserad brandvägg.

[johanre]

Om du har en router så räcker det bra.

Håller principiellt med om det *men* vill lägga in en liten varning: har du ställt in din router så att vissa portar skall vara öppna från Internet till datorer på ditt hemmanät / kontorsnät, så bör du tänka till lite mer och eventuellt sätta upp lite fler verktyg (brandvägg, osv) för att höja ditt skalskydd.

[Lao Tzu]

Alltså, det blir en del information overload när när jag försöker förstå det här med brandvägg och vilken port som gör vad. Det finns så många sidor som talar ovanför huvudet på en och dessutom är fulla av länkar som förklarar olika delar utan att jag får något sammanhang på nånting.

Jag kollade dina länkar, JoWa, men blev inte mycket klokare. Istället provade jag metod 2 för att se vad som hände (från nån av dina länkar: https://wiki.ubuntu.com/BasicSecurity/Firewall). Efter att ha skrivit in kommandona kommer jag inte ut på nätet alls (eller ja, har bara provat ett par hemsidor men ändå). Enligt listan längst ner ska port 80 och port 443 vara öppna för att komma åt internet (eller?).

Nedan kan ni se resultatet av mitt försök att följa guiden:

Kod: Markera allt

emsa@Gammeln:~$ sudo ufw status verbose
Status: aktiv
Loggning: on (low)
Förval: deny (inkommande), deny (utgående), disabled (ruttlagda)
Nya profiler: skip

Till                       Åtgärd      Från
----                       ------      ----
53,67,68/udp               ALLOW IN    Anywhere
53,67,68/udp (v6)          ALLOW IN    Anywhere (v6)

25,53,80,110,443/tcp       ALLOW OUT   Anywhere
51413/tcp                  ALLOW OUT   Anywhere
51413/udp                  ALLOW OUT   Anywhere
6969/tcp                   ALLOW OUT   Anywhere
25,53,80,110,443/tcp (v6)  ALLOW OUT   Anywhere (v6)
51413/tcp (v6)             ALLOW OUT   Anywhere (v6)
51413/udp (v6)             ALLOW OUT   Anywhere (v6)
6969/tcp (v6)              ALLOW OUT   Anywhere (v6)

Jag har ju en router mellan datorn och modemet (ADSL) som jag är kopplad till via ett trådlöst nätverk. Kan det vara någon port som behöver vara öppen för att komma åt den och hur tar jag reda på det i så fall?

[JoWa]

Enligt listan längst ner ska port 80 och port 443 vara öppna för att komma åt internet (eller?).

Ja, om du med ”internet” menar webben. Port 80 används för HTTP och port 443 för HTTP över TLS (”HTTPS”).

[Lao Tzu]

Enligt listan längst ner ska port 80 och port 443 vara öppna för att komma åt internet (eller?).

Ja, om du med ”internet” menar webben. Port 80 används för HTTP och port 443 för HTTP över TLS (”HTTPS”).

Ja, alltså det man kommer åt via Firefox (nätet, internet eller vad nu är mest korrekt).

Dock kvarstår frågan: hur når jag dit? Behövs det att dessa portar finns med på ALLOW IN-listan också och varför finns de inte där redan nu isåfall? Jag har ju följt guiden och där borde de väl ha tänkt på en sådan sak...

[JoWa]

Nej, det är en utgående anslutning (du vill inte att servrar skall kunna ansluta till din dator).

[Lao Tzu]

Så... vad kan det vara för inställning som gör att jag inte kommer åt internet (nätet, webben) då?

[JoWa]

Kod: Markera allt

Förval: deny (inkommande), deny (utgående), disabled (ruttlagda)

deny (utgående) är inte så användbart…

[Pink Panther]

Jag instämmer med vad Hund och johanre skriver. Har du konfigurerat din router riktigt får du en tillräcklig säkerhet. Men naturligtvis kan du komplettera med en mjukvarubaserad brandvägg. De allra flesta användare 95%, ( förmodligen ) klar sig med Gufw standard inställningar. Alternativet är firewall/firewall-applet som finns i Ubuntu Linux förråd. De är lika bra, endast ett personligt val om du använder ufw/Gufw eller firewall/firewall-applet. Personligen gillar jag firewall/firewall-applet dock kan du inte ha båda installerade. Om du använder dig av firewall/firewall-applet måste du avinstallera ufw/Gufw. Men har du ett personligt intresse av att lära dig mer om IT-säkerhet är de övningar du utför eller frågar om inte fel. Kunskap är aldrig fel. :-)

OBS! Glöm inte, Nätverksverktyg 3.8.1 ett enkelt verktyg som alla klarar av att hantera.

[Lao Tzu]

Jag instämmer med vad Hund och johanre skriver. Har du konfigurerat din router riktigt får du en tillräcklig säkerhet. Men naturligtvis kan du komplettera med en mjukvarubaserad brandvägg. De allra flesta användare 95%, ( förmodligen ) klar sig med Gufw standard inställningar.

Nu är det så att jag flyttar min dator och använder ett antal olika nätverk vars inställningar jag omöjligen kan känna till. Därför tänkte jag att det kunde vara bra att lägga till en mjukvarubrandvägg också. Sen skadar det ju aldrig ifall man kan få lite mer kunskap om brandväggar.

Kod: Markera allt

Förval: deny (inkommande), deny (utgående), disabled (ruttlagda)

deny (utgående) är inte så användbart…

Nä, det kanske men det kom sig av att det i guiden står
"Then we want to enable our default inbound and outbound policies by doing the following

Kod: Markera allt

sudo ufw default deny incoming && sudo ufw default deny outgoing

".
Handlar det inte om att datorn inte ska kunna skicka iväg en massa data till fel ställen? Sen undrar jag ifall inte den mer specifika regeln: 25,53,80,110,443/tcp ALLOW OUT Anywhere (och dess motsvarighet med v6) borde köra över deny (utgående)?

Kan det ha något med att nå det lokala nätverket att göra och då någon annan port?

[JoWa]

Handlar det inte om att datorn inte ska kunna skicka iväg en massa data till fel ställen?

Vilka portar använder ”datorn” för att ”skicka iväg en massa data till fel ställen”?

[Lao Tzu]

Handlar det inte om att datorn inte ska kunna skicka iväg en massa data till fel ställen?

Vilka portar använder ”datorn” för att ”skicka iväg en massa data till fel ställen”?

Ja, nä, det får man väl hoppas att den inte gör (tror heller inte att den gör det) men tänkte att någon skadlig kod kanske skulle välja en ovanlig port för att dölja sina spår. Se påståendet lite som "snillen spekulerar". Jag har alltså ingen aning om vad jag skriver om utan försöker bara gissa varför inställningen finns med i guiden.

Det som är viktig för mig är att ha en fungerande brandväggsinställning som tillåter mig att komma ut på nätet.

[JoWa]

Ett skadligt program (om du lyckas hitta något) gör nog klokt i att använda en port som alltid är öppen.

Jag har svårt att motivera något annat än att blockera alla inkommande, och tillåta alla utgående anslutningar.

[Lao Tzu]

Ett skadligt program (om du lyckas hitta något) gör nog klokt i att använda en port som alltid är öppen.

Jag har svårt att motivera något annat än att blockera alla inkommande, och tillåta alla utgående anslutningar.

Då provar jag det. Jag körde

Kod: Markera allt

sudo ufw allow outgoing

och testade att surfa runt lite direkt efter och det verkar fungera. Därmed ser det ut såhär numera:

Kod: Markera allt

emsa@Gammeln:~$ sudo ufw status verbose
Status: aktiv
Loggning: on (low)
Förval: deny (inkommande), allow (utgående), disabled (ruttlagda)
Nya profiler: skip

Till                       Åtgärd      Från
----                       ------      ----
53,67,68/udp               ALLOW IN    Anywhere
53,67,68/udp (v6)          ALLOW IN    Anywhere (v6)

25,53,80,110,443/tcp       ALLOW OUT   Anywhere
51413/tcp                  ALLOW OUT   Anywhere
51413/udp                  ALLOW OUT   Anywhere
6969/tcp                   ALLOW OUT   Anywhere
25,53,80,110,443/tcp (v6)  ALLOW OUT   Anywhere (v6)
51413/tcp (v6)             ALLOW OUT   Anywhere (v6)
51413/udp (v6)             ALLOW OUT   Anywhere (v6)
6969/tcp (v6)              ALLOW OUT   Anywhere (v6)

Tack för hjälpen!

[johanre]

Fråga: varför vill du ha inkommande DNS (53) och bootp (67 & 68)? Har du satt upp en DNS server och Bootp server på din maskin? Om inte, städa bort det.

[Lao Tzu]

Fråga: varför vill du ha inkommande DNS (53) och bootp (67 & 68)? Har du satt upp en DNS server och Bootp server på din maskin? Om inte, städa bort det.

Bra fråga! Nä, jag håller inte på med serververksamhet. (Brandväggar är knepigt för mig.) Dock provade jag att neka 53, 67 och 68 utgående trafik och då kommer jag inte åt nätet. Därför har jag nu nöjt mig med att bara neka inkommande (som ni egentligen rekommenderar). Då fungerar det.
Anledningen till att jag har gjort som jag har gjort är att jag helt enkelt har följt guiden, som jag trodde var en standardkonfiguration för vanliga användare.

Dock måste jag fråga vad detta betyder: "Without your knowledge or explicit permission, the Windows networking technology which connects your computer to the Internet may be offering some or all of your computer's data to the entire world at this very moment!"
Det är resultatet jag får när jag testar Shields Up och utan att helt förstå innebörden tycker jag att det låter lite oroväckande.

[johanre]

Fråga: varför vill du ha inkommande DNS (53) och bootp (67 & 68)? Har du satt upp en DNS server och Bootp server på din maskin? Om inte, städa bort det.

Bra fråga! Nä, jag håller inte på med serververksamhet. (Brandväggar är knepigt för mig.) Dock provade jag att neka 53, 67 och 68 utgående trafik och då kommer jag inte åt nätet. Därför har jag nu nöjt mig med att bara neka inkommande (som ni egentligen rekommenderar). Då fungerar det.
Anledningen till att jag har gjort som jag har gjort är att jag helt enkelt har följt guiden, som jag trodde var en standardkonfiguration för vanliga användare.

Jag tror att du gjorde något misstag längs vägen gällande inkommande DNS och bootp. Det står nämligen inte i guiden att man skall tillåta det, däremot står det för utgående.

Dock måste jag fråga vad detta betyder: "Without your knowledge or explicit permission, the Windows networking technology which connects your computer to the Internet may be offering some or all of your computer's data to the entire world at this very moment!"
Det är resultatet jag får när jag testar Shields Up och utan att helt förstå innebörden tycker jag att det låter lite oroväckande.

Det låter lite läskigt - och det bör det göra! Principiellt är det nämligen korrekt att om man inte skyddar sin nyinstallerade dator så kan man lätt råka ut för att bli hackad/crackad. (Vill minnas ett gammalt exempel med en nyinstallerad Windows XP dator som efter 15 minuters oskyddad anslutning till Internet redan var övertagen av illasinnade) Det har dock blivit betydligt bättre på senare år då alla de stora OS varianterna; Windows, OS X, och de flesta stora Linux distributionerna, har en brandvägg aktiverad, eller inte har några aktiva tjänster igång som omedelbart kan utnyttjas av illasinnade, vid nyinstallation.

Att du har valt att konfigurera och aktivera en lokal brandvägg är klokt och helt klart att rekommendera.

[Lao Tzu]

Jag tror att du gjorde något misstag längs vägen gällande inkommande DNS och bootp. Det står nämligen inte i guiden att man skall tillåta det, däremot står det för utgående.

Det har du rätt i. Man måste passa sig när man håller på i terminalen. Jag började om från början så nu nekar den allt inkommande och tillåter allt utgående (standardinställningarna).

Dock måste jag fråga vad detta betyder: "Without your knowledge or explicit permission, the Windows networking technology which connects your computer to the Internet may be offering some or all of your computer's data to the entire world at this very moment!"
Det är resultatet jag får när jag testar Shields Up och utan att helt förstå innebörden tycker jag att det låter lite oroväckande.

Det låter lite läskigt - och det bör det göra! Principiellt är det nämligen korrekt att om man inte skyddar sin nyinstallerade dator så kan man lätt råka ut för att bli hackad/crackad. (Vill minnas ett gammalt exempel med en nyinstallerad Windows XP dator som efter 15 minuters oskyddad anslutning till Internet redan var övertagen av illasinnade) Det har dock blivit betydligt bättre på senare år då alla de stora OS varianterna; Windows, OS X, och de flesta stora Linux distributionerna, har en brandvägg aktiverad, eller inte har några aktiva tjänster igång som omedelbart kan utnyttjas av illasinnade, vid nyinstallation.

Att du har valt att konfigurera och aktivera en lokal brandvägg är klokt och helt klart att rekommendera.

Frågan blir då: Hur kommer det sig att jag får upp den varningstexten trots att jag har aktiverat brandväggen (med standardinställningar)?

Jag provade att klicka på GRC's "Instant UPnP Exposure Test" som dyker upp på samma sida och där verkar allt fungera jättebra. Efter det testet står det:"THE EQUIPMENT AT THE TARGET IP ADDRESS
DID NOT RESPOND TO OUR UPnP PROBES! (That's good news!)"