¿Por qué el firewall está deshabilitado por defecto?

¿Por qué se incluye el firewall ufw en Ubuntu, cuando no está habilitado y preconfigurado de manera predeterminada? La mayoría de los usuarios ni siquiera saben que está allí, porque no se proporciona una interfaz gráfica de usuario.

Fuera de la caja, Ubuntu se envía sin puertos TCP o UDP abiertos, de ahí la creencia de que no hay razón para ejecutar Firewall sin complicaciones (ufw) de forma predeterminada. Sin embargo, estoy de acuerdo en que tener ufw deshabilitado es una decisión extraña. Mi razonamiento es que los usuarios inexpertos van a instalar cosas como Samba, Apache y cosas similares, a medida que experimentan con el sistema que se les presenta. Si no comprenden las implicaciones de esto, se expondrán a comportamientos maliciosos en Internet.

Ejemplo: tengo mi computadora portátil configurada con Samba, que está bien en mi red doméstica protegida con WPA2. Pero si llevo mi computadora portátil a un Starbucks, es posible que no piense nada de eso, pero esa computadora portátil ahora está anunciando mis acciones a todos y cada uno. Con un firewall, puedo restringir mis puertos samba solo a mi servidor doméstico o dispositivos similares. No hay que preocuparse tanto por quién podría estar intentando conectarse a mi computadora portátil. Lo mismo ocurre con VNC, SSH o una gran cantidad de otros servicios útiles que mi computadora portátil podría estar ejecutando o intentando conectarse.

Ubuntu adopta un enfoque muy activo de ciertos elementos de seguridad, una filosofía con la que no puedo estar de acuerdo. La seguridad puede estar técnicamente activada o desactivada, pero al superponer elementos de seguridad entre sí, se obtiene un sistema mejor. Claro, la seguridad de Ubuntu es lo suficientemente buena para una gran cantidad de casos de uso, pero no para todos.

En pocas palabras, ejecute ufw. Más vale prevenir que curar.

El cortafuegos sin complicaciones tiene una serie de interfaces gráficas, pero la más simple es Gufw .

sudo apt-get install gufw

Aquí, estoy permitiendo todo el tráfico de VLAN de servidores específicos en mi entorno corporativo y he agregado una regla para permitir que los puertos necesarios para una sesión SSH inversa reboten en esta máquina.

A diferencia de Microsoft Windows, un escritorio de Ubuntu no necesita un firewall para estar seguro en Internet, ya que, de forma predeterminada, Ubuntu no abre puertos que puedan presentar problemas de seguridad.

En general, un sistema Unix o Linux debidamente reforzado no necesitará un firewall. Los firewalls (a excepción de ciertos problemas de seguridad con las computadoras con Windows) tienen más sentido para bloquear las redes internas a Internet. En este caso, las computadoras locales pueden comunicarse entre sí a través de puertos abiertos que son bloques hacia el exterior por el firewall. En este caso, las computadoras se abren intencionalmente para comunicaciones internas que no deberían estar disponibles fuera de la red interna.

El escritorio estándar de Ubuntu no requeriría esto, por lo tanto, ufw no está habilitado por defecto.

En Ubuntu o cualquier otro Linux, el firewall es parte del sistema base y se llama iptables / netfilter. Siempre está habilitado.

iptables consiste en un conjunto de reglas sobre qué hacer y cómo comportarse cuando un paquete sale de su entrada. Si desea bloquear explícitamente las conexiones entrantes de una IP específica, deberá agregar una regla. En realidad no necesitas hacerlo. Relajarse.

Si desea una buena seguridad frente a cualquier cosa, recuerde que no instale software aleatorio desde ningún lugar. Puede arruinar su configuración de seguridad predeterminada. No se ejecute como root nunca. Siempre confíe en los repositorios oficiales.

Creo que lo que querías preguntar era si la interfaz de usuario está instalada o no.

Además, gufwpuede proporcionar una interfaz gráfica de usuario. (Para mí, en realidad no es más intuitivo que ufw en la línea de comando, pero te da un recordatorio más visual de lo que hay allí). Estoy de acuerdo en que el firewall no se anuncia bien en este momento. Si tuviera que adivinar, diría que esto es para evitar que los nuevos usuarios se disparen en el pie.

Porque: contraseñas o claves criptográficas.

Esta es IMO la respuesta correcta, y hasta ahora, una respuesta bastante diferente a las demás. ufwestá deshabilitado de forma predeterminada para la conveniencia de la mayoría de los usuarios de Ubuntu que saben que las contraseñas son una forma importante de protección para proporcionar privacidad y control restringido. La mayoría de los usuarios de Ubuntu "examinarán" el software al instalar desde repositorios aprobados por Ubuntu y tendrán cuidado con otras fuentes, a fin de minimizar los riesgos en general, no solo los relacionados con los puertos. Al hacerlo, contribuyen en gran medida a minimizar el riesgo relacionado con el puerto que ya era pequeño porque usan contraseñas "normales" y muy pequeñas si usan contraseñas o claves criptográficas difíciles de usar.

Algunos de los riesgos citados, como el servidor de archivos Samba, el servidor Apache HTTP, SSH, VNC en un WiFi Starbucks (público) generalmente se eliminarían con contraseñas difíciles de usar en el host.

ufw"rompe" el software, como debería hacerlo un cortafuegos, razón por la cual está deshabilitado de forma predeterminada. Para probar esto en una nueva instalación de Ubuntu, el servidor A, instale sshe inicie sesión desde otra máquina, el cliente B, en la misma red local y verá que funciona de inmediato. Cerrar sesión. Luego regrese al servidor A y sudo ufw enable. Regrese al cliente B y no podrá acceder sshal servidor A.