Jos kaikki portit on kiinni, eli ei ole mitään palveluita auki (apache, mail jne), niin silloin ei ole tarvetta koko palomuurille.
Niin, missä vaiheessa sitä palomuuria tarvitaan? Jos pistän sshd:n päälle niin on portissa 22 kuuntelija, muissa ei edelleenkään...
Palomuuria ei välttämättä tarvita, jos kaikki toimii niin kuin pitää. Aina niin ei tietenkään ole. Pari kolme vuotta sitten Windowsissa havaittiin joku RPC-ongelma, joka mahdollisti hyökkäyksen koneeseen myös ei-palvelinporttien kautta. Madot levisivät lukemattomiin koneisiin ja asentelivat niihin tiedostopalvelimia madon omaan käyttöön. Palomuurilla suojatut koneet säästyivät. En seuraa Linux-kernelin tietoturva-asioita läheltä mutta ainakaan en ole kuullut, että Linux-kernelissä olisi ollut vastaavanlaisia aukkoja. Teoriassa kai siinäkin voi olla toistaiseksi vielä löytymättömiä ongelmia, jotka liittyvät käyttämättömiin portteihin.
On vielä toinenkin näkökulma sen lisäksi, että jotkut haluavat suojata koneensa palomuurilla mahdollisilta myöhemmin löydettäviltä tietoturvaongelmilta: hyökkääjälle annetun tiedon minimointi. Skannasin
nmap-komennolla oman koneeni portit 1–1024, ja löytyi seuraavaa:
dtw@lorien:~$ nmap -sV -p 1-1024 localhost
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2006-12-30 10:41 EET
Interesting ports on localhost (127.0.0.1):
Not shown: 1020 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 4.3p2 Debian 7 (protocol 2.0)
25/tcp open smtp Exim smtpd 4.63
111/tcp open rpcbind 2 (rpc #100000)
113/tcp open ident OpenBSD identd
Service Info: Host: lorien.arda.local; OSs: Linux, OpenBSD
Nmap finished: 1 IP address (1 host up) scanned in 6.588 second
Jos koneessani ei olisi palomuuria, hyökkääjä saisi aika paljon selville jo pelkästään porttiskannerilla. Tieto käytetyistä palvelinohjelmista ja niiden versioista saattaa helpottaa hyökkäyksen suunnittelua, koska tunnettujen ohjelmistojen tietoturvaongelmat ovat tiedossa. Jotkut pyrkivätkin asettamaan myös palvelinohjelmistot siten, että ne kertovat mahdollisimman vähän itsestään ulospäin. Käytännössä minulla on vain SSH-portti 22 avoinna ja lisäksi
/etc/hosts.allow-tiedoston avulla on sallittu yhteydet vain tietyistä osoitteista (sama on mahdollista tehdä myös palomuurin avulla).
Jotkut haluavat käyttää palomuuria pelkästään yksityisyyden vuoksi. Vaikka kukaan ei olisi hyökkäämässä koneeseen, saa porttiskannerilla tai
ping-komennolla ainakin helposti selville, että kone ylipäänsä on käynnissä. Nykyään kodin Internet-liittymissä ei ole kovin paljon kiinteitä IP-osoitteita, mutta jos olisi, voisi porttiskannerilla saada tiedon, että tietty henkilö todennäköisesti istuu parhaillaan tietokoneen ääressä. Palomuurin avulla kone voidaan piilottaa näkymättömiin.
Palomuurien asettaminen on ainakin Debianissa ja Ubuntussa tavallisen käyttäjän näkökulmasta liian vaikeata. Muurille ei ehkä ole pakottavaa tarvettakaan, mutta parempi silti olisi, että muuri olisi oletuksena päällä – tai ainakin asennuksen yhteydessä rasti ruutuun -menetelmällä valittavissa. Mielestäni on kuitenkin hyvä suuntaus, että monet ADSL-modeemit ja WLAN-tukiasemat sisältävät NAT-toiminnon, eli niiden takana olevat koneet muodostavat oman, Internetistä erillisen lähiverkon. Tällöin itse tietokoneseen ei tarvitse laittaa ohjelmistopohjaista palomuuria.
Vastaus varsinaiseen kysymykseesi on vähän ympäripyöreä: jokainen arvioi oman tarpeensa itse. Kaikki eivät palomuuritarvettaan osaa itse arvioida, joten parempi oletus on, että se on käytössä.
