Kirjoittaja Aihe: Palomuurin asetukset  (Luettu 6464 kertaa)

diax

  • Käyttäjä
  • Viestejä: 28
    • Profiili
Palomuurin asetukset
« : 22.12.06 - klo:11.38 »
Nii onko järkeä asentaa ihan tavalliseen kotikoneessa olevaan ubuntuun palomuuria, jos on niin miten se kannaittaisi konfiguroida ? kun eikös linuxien mukana tule oma palomuuri iptables vai mikä lie onkaan..  :D

Regel

  • Käyttäjä
  • Viestejä: 1090
  • Lucid
    • Profiili
Re: Palomuurin asetukset
« Vastaus #1 : 22.12.06 - klo:11.47 »
Ubuntussa on valmiina palomuuri, ja sitä voi konffata graafisella työkalulla nimeltä firestarter, joka pitää ensin asentaa esim. synapticin kautta.

diax

  • Käyttäjä
  • Viestejä: 28
    • Profiili
Re: Palomuurin asetukset
« Vastaus #2 : 22.12.06 - klo:11.49 »
Niin eli se olis järkevää asentaa ?

LinuxMan

  • Vieras
Re: Palomuurin asetukset
« Vastaus #3 : 22.12.06 - klo:11.51 »
Niin eli se olis järkevää asentaa ?

Ei sen asentaminen pakollista ole, mutta jos esim. haluat avata tiettyjä portteja tai tehdä muita muutoksia palomuurin asetuksiin niin silloin sen asentaminen kannattaa.
« Viimeksi muokattu: 22.12.06 - klo:11.53 kirjoittanut Patskumaster »

diax

  • Käyttäjä
  • Viestejä: 28
    • Profiili
Re: Palomuurin asetukset
« Vastaus #4 : 22.12.06 - klo:11.55 »
ok. kiitokset teille  :)

mikkohuo

  • Käyttäjä
  • Viestejä: 562
  • The Ubuntu Counter Project - user number #3339
    • Profiili
Re: Palomuurin asetukset
« Vastaus #5 : 22.12.06 - klo:12.11 »
Niin eli se olis järkevää asentaa ?

Käytännössä siis normaalissa nettisurffailussa tms. ei ole tarvetta palomuurin asetusten muuttamiselle. Jos kuitenkin käytät jotain palveluja, jotka kuuntelevat nettiliikennettä (esim. ssh tai apache), niin silloin palomuuriinkin on syytä koskea.

Squirrel

  • Käyttäjä
  • Viestejä: 455
    • Profiili
Re: Palomuurin asetukset
« Vastaus #6 : 22.12.06 - klo:13.10 »
Jos kaikki portit on kiinni, eli ei ole mitään palveluita auki (apache, mail jne), niin silloin ei ole tarvetta koko palomuurille.
Toivoisin tulevan päivä päivältä paremmaksi tietokoneen käyttäjäksi

audi

  • Käyttäjä
  • Viestejä: 1124
    • Profiili
Re: Palomuurin asetukset
« Vastaus #7 : 27.12.06 - klo:18.53 »
Muutin jokin aika sitten modeemin palomuuriasetuksia > toimii nyt pelkästään sillattuna ilman nattia, katson sitä myöhemmin. Täällä tarkistin ohjelmapalomuurin portit. Portti 80 oli auki, muut kiinni ja 25 taisi olla näkymätön. Poistin varmuuden vuoksi apachen, jolloin kaikki portit olivat suljettuja.

Katsoin firestarter how to -ohjeista asetukset. Meniköhän ne oikein? Policy > Outbound traffic policy > Restrictive by default, whitelist traffic > Allow service > HTTP port 80 for everyone jne. Tarkoituksena on sallia liikenne ulospäin tietyille toiminnoille: selain, sähköposti...

Ongelma: Päivitysten tarkistus onnistuu vain, jos laitan Permissive by default, blacklist traffic. Mikä portti vaikuttaa tähän?

Ubuntu Edgy Eft 6.10
Mozillazine

A1398 ym romua,  macOS 10.13
Linux Mint 18, Mate

_Pete_

  • Käyttäjä
  • Viestejä: 1845
  • Fufufuuffuuu
    • Profiili
Re: Palomuurin asetukset
« Vastaus #8 : 28.12.06 - klo:08.00 »
Jos kaikki portit on kiinni, eli ei ole mitään palveluita auki (apache, mail jne), niin silloin ei ole tarvetta koko palomuurille.

Niin, missä vaiheessa sitä palomuuria tarvitaan? Jos pistän sshd:n päälle niin on portissa 22 kuuntelija, muissa ei edelleenkään...

DtW

  • Vieras
Re: Palomuurin asetukset
« Vastaus #9 : 30.12.06 - klo:11.24 »
Jos kaikki portit on kiinni, eli ei ole mitään palveluita auki (apache, mail jne), niin silloin ei ole tarvetta koko palomuurille.

Niin, missä vaiheessa sitä palomuuria tarvitaan? Jos pistän sshd:n päälle niin on portissa 22 kuuntelija, muissa ei edelleenkään...

Palomuuria ei välttämättä tarvita, jos kaikki toimii niin kuin pitää. Aina niin ei tietenkään ole. Pari kolme vuotta sitten Windowsissa havaittiin joku RPC-ongelma, joka mahdollisti hyökkäyksen koneeseen myös ei-palvelinporttien kautta. Madot levisivät lukemattomiin koneisiin ja asentelivat niihin tiedostopalvelimia madon omaan käyttöön. Palomuurilla suojatut koneet säästyivät. En seuraa Linux-kernelin tietoturva-asioita läheltä mutta ainakaan en ole kuullut, että Linux-kernelissä olisi ollut vastaavanlaisia aukkoja. Teoriassa kai siinäkin voi olla toistaiseksi vielä löytymättömiä ongelmia, jotka liittyvät käyttämättömiin portteihin.

On vielä toinenkin näkökulma sen lisäksi, että jotkut haluavat suojata koneensa palomuurilla mahdollisilta myöhemmin löydettäviltä tietoturvaongelmilta: hyökkääjälle annetun tiedon minimointi. Skannasin nmap-komennolla oman koneeni portit 1–1024, ja löytyi seuraavaa:

Koodia: [Valitse]
dtw@lorien:~$ nmap -sV -p 1-1024 localhost

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2006-12-30 10:41 EET
Interesting ports on localhost (127.0.0.1):
Not shown: 1020 closed ports
PORT    STATE SERVICE VERSION
22/tcp  open  ssh     OpenSSH 4.3p2 Debian 7 (protocol 2.0)
25/tcp  open  smtp    Exim smtpd 4.63
111/tcp open  rpcbind  2 (rpc #100000)
113/tcp open  ident   OpenBSD identd
Service Info: Host: lorien.arda.local; OSs: Linux, OpenBSD

Nmap finished: 1 IP address (1 host up) scanned in 6.588 second

Jos koneessani ei olisi palomuuria, hyökkääjä saisi aika paljon selville jo pelkästään porttiskannerilla. Tieto käytetyistä palvelinohjelmista ja niiden versioista saattaa helpottaa hyökkäyksen suunnittelua, koska tunnettujen ohjelmistojen tietoturvaongelmat ovat tiedossa. Jotkut pyrkivätkin asettamaan myös palvelinohjelmistot siten, että ne kertovat mahdollisimman vähän itsestään ulospäin. Käytännössä minulla on vain SSH-portti 22 avoinna ja lisäksi /etc/hosts.allow-tiedoston avulla on sallittu yhteydet vain tietyistä osoitteista (sama on mahdollista tehdä myös palomuurin avulla).

Jotkut haluavat käyttää palomuuria pelkästään yksityisyyden vuoksi. Vaikka kukaan ei olisi hyökkäämässä koneeseen, saa porttiskannerilla tai ping-komennolla ainakin helposti selville, että kone ylipäänsä on käynnissä. Nykyään kodin Internet-liittymissä ei ole kovin paljon kiinteitä IP-osoitteita, mutta jos olisi, voisi porttiskannerilla saada tiedon, että tietty henkilö todennäköisesti istuu parhaillaan tietokoneen ääressä. Palomuurin avulla kone voidaan piilottaa näkymättömiin.

Palomuurien asettaminen on ainakin Debianissa ja Ubuntussa tavallisen käyttäjän näkökulmasta liian vaikeata. Muurille ei ehkä ole pakottavaa tarvettakaan, mutta parempi silti olisi, että muuri olisi oletuksena päällä – tai ainakin asennuksen yhteydessä rasti ruutuun -menetelmällä valittavissa. Mielestäni on kuitenkin hyvä suuntaus, että monet ADSL-modeemit ja WLAN-tukiasemat sisältävät NAT-toiminnon, eli niiden takana olevat koneet muodostavat oman, Internetistä erillisen lähiverkon. Tällöin itse tietokoneseen ei tarvitse laittaa ohjelmistopohjaista palomuuria.

Vastaus varsinaiseen kysymykseesi on vähän ympäripyöreä: jokainen arvioi oman tarpeensa itse. Kaikki eivät palomuuritarvettaan osaa itse arvioida, joten parempi oletus on, että se on käytössä.

fossiili

  • Käyttäjä
  • Viestejä: 785
    • Profiili
Re: Palomuurin asetukset
« Vastaus #10 : 30.12.06 - klo:14.53 »
Olisi varmaan tyhmä kysymys: Minulla on reitin tms. purkki D-Link DI-604 johon mikron verkkokortti on yhdistetty. D-Linkistä johtaa kaapeli ADSL-modeemiin. D-Link aikanaan viritettiin Windows-puolelta. Muistelen, että siinä on palomuuri, jonka asetuksiakin olisi voinut muuttaa, mutta jäivät oletuksiksi.

Jos reitittimessä on palomuuri, tarvitaanko sitä WindowsXP:ssä ja Ubuntussa?

Pitääkö se laittaa niissäkin päälle "varmuuden vuoksi"?  Hidastaako palomuuri mikroa?

Tuplanolla

  • Käyttäjä
  • Viestejä: 1420
  • Reg. Linux user #423604
    • Profiili
Re: Palomuurin asetukset
« Vastaus #11 : 30.12.06 - klo:16.57 »
Olisi varmaan tyhmä kysymys
Ei ole, tyhmiä kysymyksiä ei olekaan! On vain tyhmiä vastauksia.

Jos reitittimessä on palomuuri, tarvitaanko sitä WindowsXP:ssä ja Ubuntussa?
Reitittimen palomuuri on jopa parempi kuin tietokoneen ohjelmistopalomuuri, koska esim. hakkeri voi koneelle murtautuessaan ohittaa ohjelmapalomuurin, mutta nk. rautapalomuuria kytkimestä / reitittimestä / jostain ei niin vain ohiteta.

Pitääkö se laittaa niissäkin päälle "varmuuden vuoksi"?  Hidastaako palomuuri mikroa?
Ei pidä, ei meillä ainakaan ole. Palomuuri tosiaan hidastaa konetta, uudemmissa malleissa sitä ei kyllä oikeastaan huomaa, mutta etenkin vanhoissa se alkaa tuntua.
Lisää [ratkaistu] ketjun ensimmäisen viestin otsikkoon, kun ongelma ratkeaa!

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Re: Palomuurin asetukset
« Vastaus #12 : 30.12.06 - klo:17.16 »
Jos reitittimessä on palomuuri, tarvitaanko sitä WindowsXP:ssä ja Ubuntussa?
Reitittimen palomuuri on jopa parempi kuin tietokoneen ohjelmistopalomuuri, koska esim. hakkeri voi koneelle murtautuessaan ohittaa ohjelmapalomuurin, mutta nk. rautapalomuuria kytkimestä / reitittimestä / jostain ei niin vain ohiteta.

tämä on tietyllä tapaa totta, tosin windowsissa on usein tarvetta myös ulospäin suutatutuvaa liikennettä ja nettiin yrittäviä ohjelmia tutkailevalle palomuurille ja siihen rautamuuri ei pysty.

Pitääkö se laittaa niissäkin päälle "varmuuden vuoksi"?  Hidastaako palomuuri mikroa?
Ei pidä, ei meillä ainakaan ole. Palomuuri tosiaan hidastaa konetta, uudemmissa malleissa sitä ei kyllä oikeastaan huomaa, mutta etenkin vanhoissa se alkaa tuntua.

ei mikään tietysti ole pakollista ja kieltämättä hyvin konffatulla palomuurillisella purkilla ja ja järkevillä käyttötottumiksilla on hyvinkin turvassa. mitä koneen hidastamiseen tulee, niin toki kaikki koneella ajettu softa kuluttaa koneen resursseja ja palomuureissa tämä resurssein vieminen riippuu aika paljon valitusta palomuurista. itse en ole kyllä linux palomuurien (ipchains, netfilter/iptables) kanssa mitään silminnähtävää hidastumista koskaan huomannut hitaillakaan koneilla.
Janne