Perché Debian arriva senza un firewall abilitato di default?

Sto usando Debian 9.1 con KDE e mi chiedo perché arrivi senza un firewall installato e abilitato di default? gufw non è nemmeno nei pacchetti di DVD1.

Le persone dovrebbero connettersi a Internet prima di ottenere un firewall? Perché? Anche se tutte le porte sono chiuse per impostazione predefinita, vari programmi installati, aggiornati o scaricati potrebbero aprirli (o no?) E non vorrei nemmeno un singolo bit di lasciare la mia macchina senza il mio permesso.

Modifica: Quindi ho appena scoperto iptables ma immagino che la domanda rimanga ancora iptables come il firewall sembra essere piuttosto sconosciuta alla maggior parte, le sue regole predefinite, la sua accessibilità e facilità d'uso e il fatto che per impostazione predefinita qualsiasi regola iptable viene ripristinata al riavvio .

Innanzitutto, Debian tende ad assumere che tu sappia cosa stai facendo e cerca di evitare di fare delle scelte per te.

L'installazione predefinita di Debian è abbastanza piccola ed è sicura - non avvia alcun servizio. E anche gli extra opzionali standard (ad es. Web server, ssh) che vengono aggiunti a un'installazione sono generalmente abbastanza conservativi e sicuri.

Pertanto, in questo caso non è necessario un firewall. Debian (o i suoi sviluppatori) presumono che se avvii servizi aggiuntivi, saprai come proteggerli e, se necessario, puoi aggiungere un firewall.

Ancora più importante, forse, Debian evita di fare la scelta per quanto riguarda quale software firewall usare. Sono disponibili diverse opzioni: quale utilizzare? E anche per quanto riguarda un'impostazione del firewall di base, quale impostazione dovrebbe essere scelta? Detto questo, iptablesè di priorità importante, quindi è installato di default. Ma, naturalmente, Debian non sa come configurarlo, quindi non lo configura per te. E potresti preferire usare iptablesil successore nftables, comunque.

Si noti inoltre che la funzionalità di firewalling è già integrata nel kernel Linux in una certa misura; eg nftablese netfilter. Le distribuzioni Debian e Linux forniscono strumenti per lo spazio utente come iptablesgestire quella funzionalità. Ma quello che fai con loro dipende da te.

Si noti che queste entità non sono denominate in modo coerente. Per citare la pagina di Wikipedianftables :

nftables è configurato tramite l'utilità spazio utente nft mentre netfilter è configurato tramite i programmi di utilità iptables, ip6tables, arptables e framework ebtables.

Prima di tutto, voglio ripetere ciò che è già stato detto: Debian si rivolge a un gruppo di utenti piuttosto diverso rispetto a molte altre distribuzioni mainstream, in particolare Ubuntu. Debian è orientato verso le persone che sanno come funziona il sistema e che non hanno paura di armeggiare di tanto in tanto in cambio di un alto grado di controllo sul sistema. Ubuntu, ad esempio, si rivolge a un pubblico target molto diverso: le persone che vogliono solo che le cose funzionino e non (davvero) si preoccupano di ciò che sta succedendo, e certamente non vogliono modificare la configurazione del sistema per fare le cose opera. Ciò incide su una serie di aspetti del sistema risultante. E in una certa misura, questa è una bellezza di Linux; lo stesso sistema di base può essere utilizzato per creare ambienti in grado di soddisfare esigenze diverse. Ricorda che Ubuntu è un derivato Debian,

gufw non è nemmeno nei pacchetti di DVD1.

Il primo disco contiene il software più popolare, come determinato dalla raccolta opt-in di statistiche anonime dai sistemi installati. Il fatto che gufw non sia sul primo disco indica semplicemente che questo non è un pacchetto molto popolare (in termini di base installata) in Debian. È anche facile da installare una volta che hai il sistema di base con rete attiva e funzionante, se lo preferisci rispetto alle alternative.

Le persone dovrebbero connettersi a Internet prima di ottenere un firewall? Perché?

Bene, per prima cosa, credo che Debian consenta l'installazione su una rete. (Non solo il download di pacchetti dalla rete durante un'installazione normale, ma letteralmente l' avvio dell'installazione da un host diverso da quello su cui è installato .) Un firewall configurato di default con un set di regole restrittivo rischierebbe di interferire con quello. Lo stesso vale per le installazioni che richiedono l'accesso alla rete in uscita durante il processo di installazione per scopi diversi dal semplice download delle versioni più recenti dei pacchetti installati.

Per un altro, c'è quello che ho menzionato sopra; di regola, Debian si aspetta che tu sappia cosa stai facendo. Se vuoi un firewall, dovresti essere in grado di configurarlo tu stesso, e ci si aspetta che tu sappia meglio dei manutentori Debian quali sono le tue esigenze particolari. Debian è un po 'come OpenBSD in questo senso, ma non altrettanto estremo. (Quando viene data la scelta tra rendere il sistema di base un po 'più sicuro e renderlo un po' più utilizzabile, i manutentori di OpenBSD scelgono praticamente sempre la sicurezza. Ciò mostra nelle loro statistiche di vulnerabilità di sicurezza del sistema di base, ma ha enormi implicazioni sull'usabilità.)

E, naturalmente, il tecnicismo: il supporto del firewall è incluso nel sistema di base. È solo che è impostato su una regola permissiva impostata di default dal kernel, e un'installazione Debian di base non fa nulla per cambiarla. È possibile eseguire un paio di comandi per limitare il flusso del traffico.

Anche se tutte le porte sono chiuse per impostazione predefinita, vari programmi installati, aggiornati o scaricati potrebbero aprirli (o no?) E non vorrei nemmeno un singolo bit di lasciare la mia macchina senza il mio permesso.

Innanzitutto, i firewall vengono generalmente utilizzati per limitare il traffico in entrata . Se vuoi limitare l' uscitatraffico, questo è un bollitore di pesce piuttosto diverso; sicuramente fattibile, ma ha bisogno di molto più su misura per la tua situazione specifica. Un firewall di traffico in uscita a blocco predefinito che lascia aperte le porte di uso comune (dove le porte di uso comune potrebbero essere ftp / 20 + 21, ssh / 22, smtp / 25, http / 80, https / 443, pop3 / 110, imap / 143 e un insieme di altri), oltre a consentire il traffico correlato a sessioni stabilite, non sarebbe molto più sicuro di un firewall predefinito. È meglio assicurarsi che il set di pacchetti installati dal sistema di base sia limitato a un set di pacchetti ben compresi e configurati sicuri come pacchetti consegnati e consentire all'amministratore di impostare le regole del firewall appropriate se necessitano di maggiore protezione.

In secondo luogo, una porta chiusa (una che risponde a un SYN TCP con un RST / ACK TCP, generalmente indicato come "connessione rifiutata" - questo è in genere lo stato predefinito di una porta TCP su un sistema live che supporta TCP / IP in assenza di una configurazione contraria o del software in ascolto) non è una vulnerabilità significativa, anche su un sistema non connesso tramite un firewall separato. L'unica vulnerabilità significativa in una configurazione completamente chiusa sarebbe se vi fosse una vulnerabilità nell'implementazione dello stack TCP / IP del kernel. Ma i pacchetti stanno già passando attraverso il codice netfilter (iptables) nel kernel e un bug potrebbe nascondersi anche lì. La logica per rispondere a ciò che si traduce in una "connessione rifiutata" all'altra estremità è abbastanza semplice che ho difficoltà a credere che sarebbe una delle principali fonti di bug, per non parlare di bug relativi alla sicurezza;

In terzo luogo, i pacchetti vengono generalmente installati come root, da cui l'utente (il pacchetto) può modificare le regole di iptables a propria insaputa. Quindi non è come ottenere qualcosa come richiedere all'amministratore umano di consentire manualmente il traffico attraverso il firewall host. Se vuoi quel tipo di isolamento, dovresti avere un firewall separato dall'host che sta proteggendo in primo luogo.

Quindi ho appena scoperto iptables ma immagino che la domanda rimanga ancora iptables come il firewall sembra essere piuttosto sconosciuto alla maggior parte, le sue regole predefinite e l'accessibilità e la facilità d'uso.

Direi che è vero il contrario ; iptables come firewall è ben noto . È anche disponibile praticamente su tutti i sistemi Linux che potresti incontrare. (Ha sostituito ipchains durante lo sviluppo che ha portato alla versione 2.4 del kernel di Linux, intorno all'anno 2000 o giù di lì. Se ricordo bene le cose, il più grande cambiamento visibile dall'utente tra i due per il caso d'uso comune del firewall era che la regola integrata le catene venivano ora nominate in maiuscolo, come INPUT, anziché in minuscolo, come input.)

Semmai, iptables può fare cose diverse dal firewall che non sono ampiamente utilizzate o comprese. Ad esempio, può essere utilizzato per riscrivere i pacchetti IP prima che vengano passati attraverso il firewall.

Se dovessi indovinare, senza essere effettivamente a capo di una generazione di sviluppatori e manutentori Debian, la mia ipotesi sarebbe questa:

Debian è principalmente progettata come sistema operativo server, sia i rami sid che quelli di testing hanno come scopo principale la creazione del prossimo ramo stabile e, al momento del congelamento, vengono congelati e la nuova stalla viene presa dai test, come solo è successo con Stretch.

Detto questo, suppongo ulteriormente, dovrei confermare questo con un amico di amministratore di sistema, che i firewall del datacenter sono dispositivi esterni, una sicurezza molto più elevata (almeno si spera che sia così)), ai server e gestiscono il principale attività di firewalling. Anche su una piccola LAN con un router, questo è il caso, il router è il firewall, non utilizzo alcuna regola firewall locale su nessuno dei miei sistemi, perché dovrei?

Penso che forse le persone confondano le loro installazioni locali di desktop Debian o un singolo file server in un ufficio o in una casa con il lavoro effettivo connesso a Debian, che credo si concentri principalmente sull'uso della produzione.

Non ne sono sicuro, ma dopo oltre un decennio di utilizzo di Debian, questo è il mio sentimento, sia come sviluppatore che come sostenitore di Debian in molti modi.

Posso verificarlo, dal momento che in realtà è una buona domanda, ma la mia ipotesi sarebbe che le reti reali siano protette da firewall nei punti di ingresso alla rete, non su una base per macchina, o almeno, questa è l'idea di base che potrebbe guidare Debian. Inoltre, ovviamente, se così non fosse, l'amministratore di sistema configurerebbe le regole del firewall su una base per macchina, usando qualcosa come Chef, non basandosi su un'installazione predefinita, che non sarebbe qualcosa che tenderesti fidarsi, ad esempio, delle configurazioni predefinite di Debian ssh non sono ciò che userei personalmente come predefinito, ad esempio, consentono l'accesso come root di default, e spetta al sysadmin correggerlo se lo trovano una cattiva pratica .

Cioè, c'è un presupposto di competenza che penso su Debian che potrebbe essere assente in alcune altre distro. Come in, cambieresti ciò che vuoi cambiare, creare immagini, gestirle con il software di gestione del sito e così via. Queste sono solo alcune possibilità. Ad esempio, non useresti mai il DVD per creare un nuovo server, almeno mai in produzione, probabilmente useresti qualcosa come il netinstall minimo, è quello che uso sempre, per esempio (usavo un'immagine ancora più piccola , ma lo hanno interrotto). Se dai un'occhiata a cosa è incluso in quell'installazione di base, hai un'idea decente di ciò che Debian considera cruciale e cosa no. ssh c'è, per esempio. Xorg no, Samba no.

Ci si potrebbe anche chiedere perché sono tornati a GNOME come desktop predefinito, ma queste sono solo decisioni che prendono e che i loro utenti praticamente ignorano dal momento che è possibile rendere i sistemi nel modo desiderato (vale a dire, per ottenere i desktop Xfce, io non installa Xdebian (come in Xubuntu), installo solo Debian core, Xorg e Xfce, e vado via). In modo simile, se volessi un firewall, lo configurerei, imparerei i dettagli, ecc., Ma non mi sarei aspettato personalmente che Debian fosse fornito con quello abilitato, sarebbe davvero fastidioso per me se fosse . Forse le mie opinioni al riguardo riflettono una sorta di consenso che potresti trovare anche internamente in Debian.

Inoltre, Debian non esiste davvero, esistono varie immagini di installazione, netinstall, installazione completa, che variano da barebone, solo cli, a un desktop utente ragionevolmente completo. Gli utenti della produzione probabilmente creerebbero immagini, ad esempio, che sarebbero configurate nel modo desiderato dall'utente, so che se stavo installando un server Debian, inizierei con le basi grezze e lo costruirò fino a quando non avesse fatto quello che volevo.

Quindi hai il mondo dei server web, che è una sfera di cera completamente diversa, quelli che hanno domande di sicurezza molto diverse e, come ha detto un mio vecchio amico ben collegato all'hacker underground, qualcuno che gestisce un server web senza sapere come proteggere può anche essere chiamato qualcuno il cui server è di proprietà dei cracker.

L'idea generale è che non dovresti avere bisogno di un firewall sulla maggior parte dei sistemi ad eccezione di configurazioni complesse.

SSH è in esecuzione ,, quando hai installato un server. Nient'altro dovrebbe essere in ascolto e probabilmente vorrai essere in grado di connetterti a ssh.

Quando installi un server web, ti aspetteresti che il server web sia disponibile, vero? E per l'ottimizzazione di base, è possibile associare il server Web solo all'interfaccia lan privata, ad esempio 192.168.172.42 (IP LAN locale), anziché 0.0.0.0 (tutti ips). Non hai ancora bisogno di un firewall.

Naturalmente, tutto può aprire una porta> 1024, ma quando si dispone di software non attendibile (o utenti non attendibili), è necessario fare di più che installare semplicemente un firewall. Nel momento in cui devi diffidare di qualcosa o di qualcuno, hai bisogno di un concetto di sicurezza non solo di un software. Quindi è una buona cosa quando devi pensare attivamente alla tua soluzione firewall.

Ora ci sono ovviamente scenari più complessi. Ma quando hai effettivamente uno di questi, devi davvero mettere a punto il firewall da solo e non lasciare che un sistema mezzo automatico come uww lo faccia. Oppure potresti anche usare ufw, ma poi l'hai deciso e non l'impostazione predefinita del sistema operativo.

Le persone dovrebbero connettersi a Internet prima?

sì

ottenere un firewall?

Anche se tutte le porte sono chiuse per impostazione predefinita

Scusa, non lo sono. rpcbindsembra essere installato, abilitato e in ascolto sulla rete per impostazione predefinita.

EDIT: credo che sia stato risolto nell'ultimo programma di installazione, vale a dire per Debian 9 (Stretch) . Ma con le versioni precedenti di Debian, non mi sentirei molto sicuro installandole (e quindi aggiornandole) su una rete wifi pubblica.

Perché?

Ho il sospetto che la gente abbia questo presupposto

1. la rete locale non attaccherà i tuoi servizi di rete
2. esiste già un firewall tra la rete locale e Internet più ampio.

Sebbene quest'ultima sia una pratica comune, ad esempio dei router di consumo, non credo sia garantita. Non sorprende che la prima ipotesi non sia documentata; né è ragionevole.

Secondo me, il problema con rpcbind è un esempio di un punto più generale. Le persone possono provare a promuovere Debian e ha molte funzioni interessanti. Ma Debian è in ritardo rispetto a Ubuntu per quanto sia lucido e amichevole, o probabilmente anche quanto sia affidabile per coloro che vogliono imparare tali dettagli.

i programmi scaricati potrebbero aprirli (o no?) e non vorrei nemmeno un po 'di lasciare la mia macchina senza il mio permesso.

Sei certamente libero di installare un firewall prima di iniziare a scaricare ed eseguire software casuali che non sei sicuro di ciò che fa :-p.

Sono in parte d'accordo, è allarmante installare Linux e non trovare alcuna interfaccia configurata per un livello di sicurezza molto noto. Personalmente ho trovato utile capire come è impostato il firewall predefinito di Windows. Vuole che tu sia in grado di "fidarti" di una rete domestica e nelle versioni più recenti l'installazione rapida salterà persino la domanda se ti fidi della rete corrente. L'obiettivo principale sembra essere quello di distinguere tra reti domestiche, connessioni non protette come un modem collegato direttamente e reti wifi pubbliche. Si noti che UFW non supporta comunque questo.

Fedora Linux da solo ha cercato di fornire qualcosa del genere, in firewalld. (I pacchetti sembrano essere disponibili anche in Debian ...). La GUI non è così "amichevole", diciamo, come GUFW.

La filosofia tradizionale di Unix è sempre stata KISS e gestisce / espone il minimo dei servizi.

Diversi servizi devono anche essere installati in modo esplicito, e anche alcuni vengono associati a localhost e devi consentire loro di essere visibili nella tua rete locale / in Internet (MySQL, MongoDB, snmpd, ntpd, xorg ...). Questo è un approccio più sensato quindi abilitare un firewall per impostazione predefinita.

Hai solo bisogno della complessità che un firewall porta da un certo punto, e tale necessità potrebbe essere ridotta essendo dietro un router aziendale o un dispositivo di accoppiamento domestico, quindi sembra ragionevole lasciare all'utente questa decisione. Un firewall, come tanti altri software di sicurezza, può anche fornire una falsa sensazione di sicurezza se non gestito correttamente.

L'orientamento di Debian è sempre stato il popolo più tecnicamente orientato che sa cos'è iptables; ci sono anche molti wrapper ben noti, interfacce di testo o grafiche che possono essere facilmente installate.

Inoltre, sia che si tratti di software installato troppo o di meno, viene presa in considerazione. Per molto tempo veterano, viene fornito con troppi software e servizi installati per impostazione predefinita, soprattutto in modalità server.