justitie wil meekijken c.q. inbreken in pc

[Soul-Sing]

En nogmaals: dat is een leuke uitleg maar we praten hier over een *gewoon* Linux-systeem.

dit/dat bestaat niet suffie, zelf niet tussen haakjes. ubuntu heeft al3/4 smaken. met elk andere uitkomsten. door monitoring kom je erachter welke services draaien, en soms/vaak volstrekt voor noppes.
-avahi
-cupsd (heb ik niet nodig)
-bluetoothd
-whoopsie
-enzovoort, enzovoort

disable op z'n minst voor jou overbodige serverachtige toestanden.

[Soul-Sing]

Situatie 2: hebt u een computer (laptop?), die gebruik maakt van een draadloos netwerk dat tegelijkertijd ook door anderen wordt gebruikt? Dan raad ik u aan om de firewall aan te zetten. Want anders zouden die gelijktijdige medegebruikers via de gedeelde verbinding toch in uw computer kunnen komen.
Aanzetten van de firewall kan via de terminal. U doet dit als volgt:

dank u wanda, een heel goede reden inderdaad.

[Vistaus]

Dus jij denkt dat een beginner met Linux dit allemaal gaat doen? Nou, niet dus. Daarom is Linux wel degelijk vatbaar want beginners werken met de standaardwaarden.

[Pjotr]

Neen. "sudo ufw enable" gooit de boel  potdicht en op stealth. Kun je proefondervindelijk vaststellen op Shields Up: https://www.grc.com/x/ne.dll?bh0bkyd2

nee, dat ufw enable zet niks op stealth. grc stresst nogmaals je modem/router. graag geen onzin verkopen.

Dus jij beweert dat "sudo ufw enable" zonder meer, nog niets doet aan tegenhouden?

[Vistaus]

Neen. "sudo ufw enable" gooit de boel  potdicht en op stealth. Kun je proefondervindelijk vaststellen op Shields Up: https://www.grc.com/x/ne.dll?bh0bkyd2

nee, dat ufw enable zet niks op stealth. grc stresst nogmaals je modem/router. graag geen onzin verkopen.

Dus jij beweert dat "sudo ufw enable" zonder meer, nog niets doet aan tegenhouden?

Ik heb ufw niet ingeschakeld en toch zit de boel dicht volgens de Shields Up!-test die jij linkt.

[Soul-Sing]

Dus jij beweert dat "sudo ufw enable" zonder meer, nog niets doet aan tegenhouden?

das een spitse van je.....
je weet in dit draadje hoe ik er over denk. bij grc shields stresst grc idd niet je netfilter.

[Pjotr]

Dus jij beweert dat "sudo ufw enable" zonder meer, nog niets doet aan tegenhouden?

das een spitse van je.....
je weet in dit draadje hoe ik er over denk. bij grc shields stresst grc idd niet je netfilter.

Graag een antwoord op mijn vraag. Terwille van de overzichtelijkheid en de klantvriendelijkheid jegens meelezers, die geen zin hebben om alle pagina's van deze draad na te lezen.

Moderator edit: aangepast.

[SeySayux]

Dit zegt de wikipagina voor UFW:

Unless you have set the default to deny when you initially enable ufw, it is in ALLOW mode and will allow everything incoming and outgoing until you make rulesets.

En als "alles potdicht zit" als je enkel ufw enable of zelfs helemaal niets gedaan hebt: proficiat, je hebt een NAT router. Net zoals ongeveer iedereen met breedband internet.

[Pjotr]

Dit zegt de wikipagina voor UFW:

Unless you have set the default to deny when you initially enable ufw, it is in ALLOW mode and will allow everything incoming and outgoing until you make rulesets.

En als "alles potdicht zit" als je enkel ufw enable of zelfs helemaal niets gedaan hebt: proficiat, je hebt een NAT router. Net zoals ongeveer iedereen met breedband internet.

Leuk, zo'n wiki..... Klopt natuurlijk altijd, toch?

Maar hoe verklaar je dit dan:

Code: [Selecteer]

pjotr@bureaucomputer:~$ sudo ufw enable
[sudo] password for pjotr:
Firewall is actief en ingeschakeld bij het opstarten van het systeem
pjotr@bureaucomputer:~$ sudo ufw status verbose
Status: actief
Loggen: on (low)
Standaard: deny (inkomend), allow (uitgaand)
Nieuwe profielen: skip
pjotr@bureaucomputer:~$
Geen stealth inderdaad, maar wel potdicht voor incoming. Zonder enige toegevoegde regel mijnerzijds.

[asphyxia]

Als je geen inkomend verkeer toestaat, dan kan je toch niet internetten?
Hoe komt anders een webpagina op je scherm?

Hebben we hier geen spraakverwarring ergens?

[Vistaus]

Pjotr heeft inderdaad gelijk:

Code: [Selecteer]

vistaus@vistaus-ThinkPad-Edge-E530:~$ sudo ufw enable
Password:
Firewall is actief en ingeschakeld bij het opstarten van het systeem
vistaus@vistaus-ThinkPad-Edge-E530:~$ sudo ufw status verbose
Status: actief
Loggen: on (low)
Standaard: deny (inkomend), allow (uitgaand)
Nieuwe profielen: skip
vistaus@vistaus-ThinkPad-Edge-E530:~$


[SeySayux]

Dit zijn de standaardregels die ufw inschakelt als je enable doet:

Code: [Selecteer]

# allow all on loopback
iptables -A ufw-before-input -i lo -j ACCEPT
iptables -A ufw-before-output -o lo -j ACCEPT

# quickly process packets for which we already have a connection
iptables -A ufw-before-input -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A ufw-before-output -m state --state RELATED,ESTABLISHED -j ACCEPT

# drop INVALID packets (logs these in loglevel medium and higher)
iptables -A ufw-before-input -m state --state INVALID -j ufw-logging-deny
iptables -A ufw-before-input -m state --state INVALID -j DROP

# ok icmp codes
iptables -A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
iptables -A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
iptables -A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

# allow dhcp client to work
iptables -A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT

#
# ufw-not-local
#
iptables -A ufw-before-input -j ufw-not-local

# if LOCAL, RETURN
iptables -A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN

# if MULTICAST, RETURN
iptables -A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN

# if BROADCAST, RETURN
iptables -A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN

# all other non-local packets are dropped
iptables -A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
iptables -A ufw-not-local -j DROP

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
iptables -A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

# allow MULTICAST UPnP for service discovery (be sure the MULTICAST line above
# is uncommented)
iptables -A ufw-before-input -p udp -d 239.255.255.250 --dport 1900 -j ACCEPT

# don't delete the 'COMMIT' line or these rules won't be processed
iptables COMMIT

Ken je dit van ergens? Ja, dit is ongeveer hetzelfde als mijn script, behalve dat hij niet de default rule op 'deny' zet (iptables zet de default rule op accept). En daar dient dus 'ufw default deny' voor.

Dus als je niet direct met iptables en mijn script wilt prullen, doe gewoon:

Code: [Selecteer]

sudo ufw default deny
sudo ufw enable

Doet zo goed als hetzelfde.

[SeySayux]

Als je geen inkomend verkeer toestaat, dan kan je toch niet internetten?
Hoe komt anders een webpagina op je scherm?

Hebben we hier geen spraakverwarring ergens?

UFW/mijn iptables script laten inkomend verkeer toe als de verbinding al reeds op 'established' staat (met andere woorden: het antwoord van een server). Nieuwe inkomende aanvragen worden gedropt. Vandaar mijn hele uitleg over waarom je niet zomaar alle verkeer mag blokkeren ;0

[Pjotr]

Mogen we in elk geval vaststellen dat er van een hoogst belangrijk deel van de wiki over ufw, geen barst klopt?

[Luckiboy]

Mogen we in elk geval vaststellen dat er van een hoogst belangrijk deel van de wiki over ufw, geen barst klopt?

Niet om het een en het ander, maar de handleiding op jouw site klopt ook niet, of is iig niet volledig, want als ik dit topic doorlees, lees ik dat alleen de firewall aanzetten met sudo ufw enable geen enkel nut heeft. Op je site (https://sites.google.com/site/computertip/veiligheid#TOC-Firewall) staat echter dat ufw enable alleen voldoende is.
Merk op: deze opmerking is absoluut niet bedoeld om je site af te kraken, het valt me op, en misschien krijg je zo de ingeving om je handleiding te volledigen/verbeteren

EDIT: typo

[Johan van Dijk]

Heeft iemand een ervaring met Firestarter ? Er wordt dat aanbevolen (simpel, logisch, etc) maar het vereist de verwijdering van ufw en eventueel Gufw; of is dat progje alleen maar de zaak nog complexer maken.

Persoonlijk heb ik echt geen kaas gegeten van het configureren van ufw  ik begrijp die logica helemaal niet (lees: geen kennis van die dingen ) .

Dus eigenlijk je firewall aanzetten zonder specifieke regels is dus evengoed als hem niet aanzetten ? Ik hoop dat ik het juist begrepen heb

Firestarter werkt in recente versies van Ubuntu (alles na 8.04 ofzo) niet goed meer samen met de rest van je systeem. Je kan het vast wel werkend krijgen, maar dat is een stuk ingewikkelder dan even de logica van UFW leren. Het advies is dan ook om Firestarter niet te gebruiken.

[Johan van Dijk]

Mogen we in elk geval vaststellen dat er van een hoogst belangrijk deel van de wiki over ufw, geen barst klopt?

Het kan zijn dat in de nieuwste versies van Ubuntu (12.04, 12.10) de standaardregel voor UFW is veranderd.
Op de specificatiepagina van UFW staat dit: "default policy of ACCEPT for incoming (configurable)", maar dat kan inmiddels verouderd zijn. Bij eerdere versies van Ubuntu klopte dat statement in ieder geval wel.

Het handigste is dat iemand even een virtuele machine opzet met een verse installatie van 12.04 en 12.10.
Dan kan je zo uitzoeken wat de standaardregels zijn

[Johan van Dijk]

Dus eigenlijk je firewall aanzetten zonder specifieke regels is dus evengoed als hem niet aanzetten ? Ik hoop dat ik het juist begrepen heb

Neen. "sudo ufw enable" gooit de boel potdicht en op stealth. Kun je proefondervindelijk vaststellen op Shields Up: https://www.grc.com/x/ne.dll?bh0bkyd2

Shields Up test het eerste apparaat wat na je modem komt en dat is (in Nederland) in 99,9% van de gevallen je router. Vanaf buiten je netwerk is het ook schier onmogelijk om vast te stellen of een systeem binnen je netwerk wel volledig dicht staat. Hiervoor zou je nmap of ander testgereedschap moeten gebruiken op een systeem in je eigen netwerk.

Verder zet ik de nodige vraagtekens bij het "stealth" moeten zijn van alle poorten. Dicht is dicht en het terugsturen van een antwoord dat die poort dicht zit of dat juist niet doen maakt de service die achter die poort zit geen haar veiliger. Het niet terugsturen van zo'n antwoord (stealth dus) kan wel voor lange time outs zorgen en maakt het testen en uitzoeken van problemen wel een stuk tijdrovender.

[Pjotr]

Mogen we in elk geval vaststellen dat er van een hoogst belangrijk deel van de wiki over ufw, geen barst klopt?

Niet om het een en het ander, maar de handleiding op jouw site klopt ook niet, of is iig niet volledig, want als ik dit topic doorlees, lees ik dat alleen de firewall aanzetten met sudo ufw enable geen enkel nut heeft.

De handleiding op mijn webstek klopt wel, want louter "sudo ufw enable", blijkt dus wel degelijk incoming dicht te gooien. In tegenstelling tot hetgeen de wiki beweert. Waardoor de wiki dus een hoop onnodige onrust kan veroorzaken.

Voor alle duidelijkheid: ik heb dit uitgeprobeerd op zowel 12.04 als 12.10.

@Johan: stealth is inderdaad nog een stap verder dan wat een simpele "sudo ufw enable" (zonder toegevoegde regels) teweeg brengt. Maar incoming is door die eenvoudige terminalopdracht wel dicht, en dat is m.i. het belangrijkste voor de eindgebruiker.

[SeySayux]

'Closed' betekent dat het pakket niet wordt geaccepteerd en er een signaal wordt teruggestuurd van het OS (over IMCP) dat er niets draait op die poort. Dat kan zijn omdat de firewall zo ingesteld staat of omdat er effectief niets op die poort draait.
'Stealth' betekent dat het pakket zonder boe of ba gedropt wordt. Een aanvaller weet dus niet dat er een computer daar draait.

Natuurlijk staat standaard alles op closed. Daar heb je geen firewall voor nodig. Er luistert immers niets op die poorten.

[Pjotr]

Natuurlijk staat standaard alles op closed. Daar heb je geen firewall voor nodig. Er luistert immers niets op die poorten.

Onjuist. Standaard staat alles *open*, en dat kan standaard inderdaad geen kwaad, juist omdat er standaard niks ligt te luisteren.

Maar je installeert weleens wat erbij, in een standaardsysteem. Houdt iedereen bij, wat die extra programmatuur eventueel aan luisterende diensten installeert? Bovendien maak je weleens gebruik van een gedeeld onbeveiligd draadloos netwerk....

Daarom is het m.i. een goed gebruik, om met een simpele terminalopdracht als "sudo ufw enable", de boel dicht te gooien voor incoming. Bam, klaar, geregeld. Geen omkijken meer naar. Althans in verreweg de meeste situaties.

[Soul-Sing]

De geschiedenis van UFW met haar functionaliteit: https://wiki.ubuntu.com/UncomplicatedFirewall?action=show&redirect=UbuntuFirewall
GUFW komt in haar ontwikkeling daar net achteraan.
In de nabije toestand komt er zelfs een set-up manager, die je door vragen te stellen, de firewall/GUFW regels helpt opbouwen.
*desktop/server vragen onder andere.
*applicatie vragen.

[Johan van Dijk]

Blijkbaar is de standaardinstelling van UFW veranderd. In de bijlage een screenshot van een verse 12.04 installatie.

[Joris Donders]

Maar als ik dat screenshot lees van Johan, dat is toch al lang zo ? Ik herinner me zeer goed dat met'sudo ufw status verbose'  ik dezelfde output had als heden met 12.04 (12.10 draai ik nu even niet meer) ik deed dat commando al op 11.04

[Johan van Dijk]

12.04 is nog niet "heel lang" lijkt me. Voor zover ik weet was het in de vorige LTS (10.04) anders.