justitie wil meekijken c.q. inbreken in pc

[markba]

Klopt, er zijn uitzonderingssituaties waarin de standaardinstellingen van ufw niet voldoen. Vooral geavanceerde doorgewinterde Linuxgebruikers als jij, hebben aan de standaardinstellingen meestal niet genoeg.

Wat te denken van:
- bestanden delen (via samba, vereist slechts enkele klikken)
- torrents downloaden.

Dit lijken met toch echt wel toepassingen die een normale gebruiker vaak uitvoert, daar hoef je echt niet doorgewinterd voor te zijn. En als die gebruiker dan op een argeloze manier de firewall dicht heeft gegooid (door het afwerken van jouw lijstje), probeer dan maar eens te achterhalen waarom. Want waarschijnlijk (ik ken mijn pappenheimers en neem het ze ook niet kwalijk) weten ze zich niet meer te herinneren dát ze ooit de firewall geactiveerd hebben.

Een veel betere optie is dan ook gufw, omdat gebruikers dan ook *zichtbaar* hebben dat de firewall is ingeschakeld en ze deze ook makkelijk weer kunnen uitschakelen.

Voor verreweg de meeste eindgebruikers is het dus helemaal niet nodig om moeilijk te gaan zitten doen met het toevoegen van eigen regels aan ufw. Gewoon aanzetten en klaar. Quod erat demonstrandum.

Nee dus.

[Pjotr]

[knip] doe eens normaal. Discussiëren is prima, maar dan wel op een volwassen manier graag

[Soul-Sing]

En dat geldt ook voor jou

[markba]

[knip]
Nou, tis weer gezellig hier. Dit is nu precies de reden waarom ik 'mijn' gebruikers niet naar dit forum stuur.

[Pjotr]

Wat te denken van:
- bestanden delen (via samba, vereist slechts enkele klikken)
- torrents downloaden.

Dit lijken met toch echt wel toepassingen die een normale gebruiker vaak uitvoert, daar hoef je echt niet doorgewinterd voor te zijn. En als die gebruiker dan op een argeloze manier de firewall dicht heeft gegooid (door het afwerken van jouw lijstje), probeer dan maar eens te achterhalen waarom. Want waarschijnlijk (ik ken mijn pappenheimers en neem het ze ook niet kwalijk) weten ze zich niet meer te herinneren dát ze ooit de firewall geactiveerd hebben.

Een veel betere optie is dan ook gufw, omdat gebruikers dan ook *zichtbaar* hebben dat de firewall is ingeschakeld en ze deze ook makkelijk weer kunnen uitschakelen.

Een belangrijk punt, want daar zit iets in.....

De standaardregels gooien niet *alles* dicht, zoveel is duidelijk. Er wordt het nodige doorgelaten, en dat is ongetwijfeld maar goed ook.

Echter, ik heb nog niet precies kunnen achterhalen wat er nu allemaal wordt doorgelaten bij de standaardregels.... En dat lijkt me wel belangrijk om te weten, juist voor dit soort kwesties. Wie weet waar we de standaardregels exact kunnen nalezen en beoordelen, en dan in een wat toegankelijkere vorm dan het raadplegen van logboeken en de uitvoer van sudo iptables -L ?

[Vistaus]

Torrents worden gewoon doorgelaten. Kan prima downloaden met de firewall aan.

[markba]

Torrents worden gewoon doorgelaten. Kan prima downloaden met de firewall aan.

Vreemd hoor. Waarom zou gufw anders een standaard regel kunnen toevoegen in de cofiguratie als dat helemaal geen zin heeft:

[Pjotr]

@markba: die "allow in" voor Transmission, staat die standaard op die waarde, wanneer gufw is aangezet?

[Johan van Dijk]

De firewall laat alleen verbindingen door die "established" of "related" zijn. Related betekent dat de verbinding nieuw is, maar gerelateerd is aan een andere verbinding die al toegelaten is door andere reden. Established betekent dat het een al bestaande verbinding is.

Je torrentprogramma wordt dus voor een deel geblokkeerd (alle verbindingen van buitenaf die "new" zijn). Uitgaand verkeer gaat prima. maar data binnenhalen van nieuwe bronnen waar je nog niet eerder contact mee hebt gehad werken niet.

Een ander probleem met je torrent is dat je geen controle hebt over de poorten die de andere partij gebruikt. Je kan dus vrij moeilijk regels instellen voor uitgaand verkeer.

@markba: die "allow in" voor Transmission, staat die standaard op die waarde, wanneer gufw is aangezet?

Nee, dat is een screenshot van het schermpje waarmee je nieuwe regels toe kan voegen. Standaard is er geen regel voor Transmission. Je kan zelf aangeven in dat scherm of je het wil toestaan of juist blokkeren.

[markba]

@markba: die "allow in" voor Transmission, staat die standaard op die waarde, wanneer gufw is aangezet?

Goeie vraag. Ik denk het wel maar weet het niet zeker, ik heb het plaatje ergens van internet afgeplukt. Om het zeker te weten moet ik het thuis uitproberen, maar dan kun jij vast ook wel. 

P.S. Het antwoord van Johan op dezelfde vraag gaat ergens anders over, nl. of de regel er al inzit (= nee). De vraag van pjotr gaat specifiek over het 'allow in'-gedeelte.

[Vistaus]

@Johan: Ik merk anders geen vertraging in het downloaden met de firewall aan.

En trouwens, in Transmission kun je een vaste poort instellen dus je hebt wel degelijk controle (idem in KTorrent trouwens).

[Progger]

Een vraagje voor de kenners:

Oct 26 09:20:21 djf-laptop pulseaudio[1583]: pid.c: Daemon already running.
Oct 26 09:31:20 djf-laptop pulseaudio[1563]: ratelimit.c: 3 events suppressed

In mijn log van ufw staan bovenstaande regels, vraag is: wat betekent die vetgedrukte melding eigenlijk?

[Johan van Dijk]

@Johan: Ik merk anders geen vertraging in het downloaden met de firewall aan.

Dat zou kunnen, maar daar is niks met zekerheid over te zeggen als we de regels van je firewall niet kennen.

En trouwens, in Transmission kun je een vaste poort instellen dus je hebt wel degelijk controle (idem in KTorrent trouwens).

En dat helpt met het netjes firewallen van uitgaande verbindingen? Op welke manier dan? Jij kan toch niet bepalen of ik mijn torrent op poort 9000, 9001 of 12345 heb draaien? Hoe wil je de uitgaande verbindingen dan netjes afschermen?

Een vraagje voor de kenners:

Oct 26 09:20:21 djf-laptop pulseaudio[1583]: pid.c: Daemon already running.
Oct 26 09:31:20 djf-laptop pulseaudio[1563]: ratelimit.c: 3 events suppressed

In mijn log van ufw staan bovenstaande regels, vraag is: wat betekent die vetgedrukte melding eigenlijk?

Dat is iets heel anders. Die meldingen gaan over PulseAudio (voor je geluid, niet voor je netwerk ) en de laatste melding betekent dat er teveel meldingen gegeven werden in een te korte tijd door PA. Zet de logging van pulse aan naar een apart bestand en je kan ze allemaal zien.

[Pjotr]

Je torrentprogramma wordt dus voor een deel geblokkeerd (alle verbindingen van buitenaf die "new" zijn). Uitgaand verkeer gaat prima. maar data binnenhalen van nieuwe bronnen waar je nog niet eerder contact mee hebt gehad werken niet.

Ik haal af en toe weleens een torrent binnen, vaak van bronnen waar ik nog nooit eerder contact mee heb gehad. En het gaat altijd snel en goed. Met ufw ingeschakeld, zonder enige afwijking van de standaardregels....

[Vistaus]

Precies. Ik wijk ook niet af van de standaardregels.

[Pjotr]

Ik heb de hoofdontwikkelaar van ufw, Jamie Strandboge, bereid gevonden om een paar vragen over ufw te beantwoorden. Het volledige verslag lees je verderop in dit bericht.

Samengevat: dit lijkt te bevestigen, dat er geen bezwaar tegen is om ufw standaard aan te zetten, ook bij minder ervaren gebruikers.

De standaardregels bieden een redelijke gebruikssituatie voor de gemiddelde thuisgebruiker. Dat is althans wat de ontwikkelaars ermee beogen. Met geen beperkingen voor Samba, en voor torrents geen beperkingen op het binnenkomende vlak.

Zie hieronder het volledige verslag van irc:

-ChanServ- [#ubuntu-devel] Welcome to #ubuntu-devel. This channel is logged. Use of this channel implies acceptance of terms at https://wiki.ubuntu.com/IRC/TermsOfService
<Pjotr> Hello, I have a question about ufw.
<Pjotr> Where can I find the default rules profile of ufw?
<jdstrand> Pjotr: look in /etc/ufw/*rules. you can also do 'sudo ufw show raw'
<jdstrand> (if it is enabled)
<Pjotr> jdstrand: that doesn't show a lot of rules... Is the default profile secure enough for the average home user, or do you advise adding extra rules?
<jdstrand> Pjotr: it is default deny. It is recommended for a home user, yes
<Pjotr> jdstrand: would ufw with the default profile negatively affect samba or torrents?
<jdstrand> Pjotr: the basic idea is that it is default deny for incoming. default allow with connection tracking for outgoing. it allows for things like dhcp and ping. it is a reasonable default but can be adjusted for your requirements
<jdstrand> Pjotr: as a samba client, it shouldn't in recent releases. you would be able to fetch torrents, you'd have to open up a port to serve torrents
<jdstrand> (you'd also have to open a port to serve clients)
<Pjotr> jdstrand: thanks for the information.... :-)  For now, this answers my questions about ufw.
<jdstrand> np

[Pjotr]

In vervolg op mijn bovenstaande bericht: ik heb gelijk even de wiki van Ubuntu gecorrigeerd, die onjuiste informatie bevatte inzake de standaardinstellingen van UFW:
https://help.ubuntu.com/community/UFW

Nu zou de boel in orde moeten zijn, denk ik.... 

[Joris Donders]

Thx Pjotr voor de glasheldere opheldering.

[Pjotr]

Graag gedaan. 

Overigens: de betreffende onjuistheid stond alleen in de Engelse wiki. De Nederlandse wiki bevat deze onjuistheid niet en hoeft derhalve ook niet te worden gecorrigeerd.
Hierbij dus een complimentje aan onze Nederlandstalige wikischrijvers. 

[Ron]

Hierbij dus een complimentje aan onze Nederlandse wikischrijvers. 

Je bedoelt Nederlandstalige schrijvers, dat had je kunnen weten
Het forum is voor Nederland en Vlaanderen !

[Pjotr]

Zoals zo vaak heb je volledig gelijk. Ik zal het direct even wijzigen. 

[asphyxia]

Kleine wrap-up:

Na een pittige discussie, blijkt (gelukkig) dat het mogelijk is om met relatief eenvoudige middelen een pc vrij goed dicht te timmeren is tegen gespeur van buitenuit.
Het is niet zaligmakend, en er zullen discussiepunten overblijven over services hier en daar. De technische achtergronden zijn hoe dan ook best ingewikkeld, zoals blijkt. Dank trouwens aan degenen die hierin de nodige moeite hebben gestoken om zaken na te speuren, dan wel vast te leggen 

Een kleine waarschuwing mijnerzijds blijft, om niet zonder meer te vertrouwen op 'nu zal het wel goed zijn'. Dat is het nooit, blijf alert:




(Btw, dit is -denk ik- niet gemanipuleerd. Eén van de katten van mijn buurvrouw presteert het, om halverwege de voordeur te hangen, en met haar andere pootje aan de brievenbus te klepperen om aan te geven dat ze naar binnen wil  )

Edit; enkele typos.

[RikRik]

Geweldig filmpje asphyxia     

[Pjotr]

Na een pittige discussie, blijkt (gelukkig) dat het mogelijk is om met relatief eenvoudige middelen een pc vrij goed dicht te timmeren tegen gespeur van buitenuit
Het is niet zaligmakend, en er zullen discussiepunten overblijven over services hier en daar.

Klopt; al is het een redelijk compromis dat de Ubuntu-ontwikkelaars voor ons hebben samengesteld, in de vorm van de standaardregels voor UFW, het blijft natuurlijk een compromis tussen veiligheid en gebruiksgemak. Een goed compromis, heb ik de indruk, maar absolute veiligheid biedt het niet. Kan het ook niet bieden.
(mooi filmpje trouwens!)

Nu we de situatie duidelijk hebben, kan het m.i. trouwens ook heel interessant zijn om dieper in te gaan op *bijzondere* gebruikssituaties en de afwijkende UFW-regels die daarbij behulpzaam kunnen zijn.... Ik ben benieuwd.

--verzoek aan de moderatoren: kunnen jullie het deel van de draad dat de discussie over UFW bevat, afsplitsen en onderbrengen in Software en configuratie? Bijvoorbeeld met een titel als: "Hoe stel je firewall UFW het beste in?"

[markba]

Zo, heb het ff allemaal uitgetest in een verse virtuele sessie van 12.04. Het kost wat kruim, maar dan heb je ook wat.
- aan/uitzetten via: sudo ufw enable/disable
- geen extra ufw-regels toegevoegd
- getest op open poorten via nmap

Situatie 1a: geen diensten geinstalleerd, firewall uit
- geen poorten open
- externe samba-server benaderen: werkt
- ssh verbinding met externe server: werkt
- torrent downloaden: werkt

Situatie 1b: geen diensten geinstalleerd, firewall aan
- geen poorten open
- externe samba-server benaderen: werkt
- ssh verbinding met externe server: werkt
- torrent downloaden: werkt

Situatie 2a: ssh geinstalleerd, firewall uit
- poort 22 (ssh) open
- sessie benaderbaar via ssh

Situatie 2b: ssh geinstalleerd, firewall aan
- geen poorten open (Note: Host seems down)
- sessie NIET benaderbaar via ssh

Situatie 3a: samba (-server) geinstalleerd tbv bestanden delen, firewall uit
- poorten 139 + 445 open
- bestanden op sessie benaderbaar

Situatie 3b: samba (-server) geinstalleerd tbv bestanden delen, firewall aan
- geen poorten open (Note: Host seems down)
- bestanden op sessie NIET benaderbaar

Conclusie:
- firewall heeft GEEN effect op torrents en samba als client en benaderen externe SSH-server
- firewall heeft WEL effect op samba als server en SSH als server

Typisch is dus dat torrents downloaden (ook: nieuwe toorets starten) gewoon werkt met ingeschakelde firewall, vistaus berichtte hier al over. Typisch omdat in gufw hier een speciale uitzonderingsregel toegevoegd kan worden, dat lijkt dan niet nuttig c.q. overbodig.

Verder is het zo dat samba-shares op de machines *zelf* geblokkeerd worden met een firewall, dit is conform verwachting; overigens is dit wat anders als samba-shares benaderen (van binnen naar buiten), want dit werkt wél met ingeschakelde firewall. Hetzelfde geldt ook wederom conform verwachting voor benadering als SSH-server (is geblokkeerd door de firewall); en ook hiervoor geldt dat benadering van een *externe* ssh-server zonder problemen gaat, onafhankelijk van de status van de firewall.

Het delen van bestanden beschouw ik als 'gewone' functionaliteit die voor een gewone gebruiker eenvoudig aan te spreken is (vergt een drietal muisklikken) en zou dus opgenomen moeten worden in de uitzonderingsgevallen. En in die context zou gufw een rol kunnen spelen door zichtbaar duidelijk te hebben dat de firewall aan- of uitstaat, naast het gemakkelijk omzetten.