justitie wil meekijken c.q. inbreken in pc

[Joris Donders]

Ja ok 'lang' is natuurlijk een overdreven begrip, maar voor de hoge release-cycle is 3 a 4 versies toch al behoorlijk veel.

In ieder geval heb ik eens bij askubuntu de vraag gedropt i.v.m. ufw en standaardwaarden, ben benieuwd voor het eventuele antwoord.

[SeySayux]

Natuurlijk staat standaard alles op closed. Daar heb je geen firewall voor nodig. Er luistert immers niets op die poorten.

Onjuist. Standaard staat alles *open*, en dat kan standaard inderdaad geen kwaad, juist omdat er standaard niks ligt te luisteren.

Maar je installeert weleens wat erbij, in een standaardsysteem. Houdt iedereen bij, wat die extra programmatuur eventueel aan luisterende diensten installeert? Bovendien maak je weleens gebruik van een gedeeld onbeveiligd draadloos netwerk....

Daarom is het m.i. een goed gebruik, om met een simpele terminalopdracht als "sudo ufw enable", de boel dicht te gooien voor incoming. Bam, klaar, geregeld. Geen omkijken meer naar. Althans in verreweg de meeste situaties.

Als GRC 'open' zegt, bedoelen ze dat er iets staat te luisteren. 'Closed' betekent dat er niets staat te luisteren, maar er wel een doorgang is naar je PC. 'Stealth' betekent dat het pakket gewoon gedropt werd -- je kan dus niet weten of er gewoon geen computer daar is, of dat die computer een firewall draait.

Als GRC na enkel 'sudo ufw enable' meldt dat het resultaat 'Closed' is betekent dat dat je eigenlijk nog niet veiliger bent dan zonder firewall. Als je 'sudo ufw default deny' doet zou het op 'Stealth' moeten gaan -- de firewall is nu actief.

[Pjotr]

Als GRC na enkel 'sudo ufw enable' meldt dat het resultaat 'Closed' is betekent dat dat je eigenlijk nog niet veiliger bent dan zonder firewall.

Neen. Closed is wel degelijk veiliger dan open, want dicht = dicht.

Stealth is mogelijk nog een stapje veiliger, want zowel dicht als verborgen (hoewel de meningen over nut en noodzaak van stealth uiteenlopen).

[Progger]

Voor zover ik weet was het in de vorige LTS (10.04) anders.

Dit is op mijn 10.04.1

Code: [Selecteer]

djf@djf-laptop:~$ sudo ufw status verbose
Status: actief
Loggen: on (low)
Standaard: deny (inkomend), allow (uitgaand)
Nieuwe profielen: skip
djf@djf-laptop:~$

[SeySayux]

Als GRC na enkel 'sudo ufw enable' meldt dat het resultaat 'Closed' is betekent dat dat je eigenlijk nog niet veiliger bent dan zonder firewall.

Neen. Closed is wel degelijk veiliger dan open, want dicht = dicht.

Stealth is mogelijk nog een stapje veiliger, want zowel dicht als verborgen (hoewel de meningen over nut en noodzaak van stealth uiteenlopen).

Hoeveel keer moet ik nog zeggen dat closed gewoon betekent dat er geen dienst op die poort draait, en dat de default behaviour is zonder firewall? Niet op alle poorten draait standaard een dienst (gelukkig maar).

[Pjotr]

Hoeveel keer moet ik nog zeggen dat closed gewoon betekent dat er geen dienst op die poort draait, en dat de default behaviour is zonder firewall? Niet op alle poorten draait standaard een dienst (gelukkig maar).

Zo vaak als je wil. 

Met "sudo ufw enable" gooi je de poort dicht, ook al is er wel een luisterende dienst op aanwezig. Het heeft dus wel degelijk effect. Om spraakverwarring te voorkomen kunnen we het trouwens wellicht beter hebben over de effectiviteit van "deny" (en het woord "closed" vermijden).

Ik voer deze discussie om slechts één reden: ik wil graag aantonen dat "sudo ufw enable" effect heeft, omdat de standaardinstelling van ufw reeds een goede bescherming biedt voor verreweg de meeste eindgebruikers. In tegenstelling tot wat de wiki roept, want die beweert dat ufw aanzetten zonder eigen regels, zinloos is.

Voor verreweg de meeste eindgebruikers is het dus helemaal niet nodig om moeilijk te gaan zitten doen met het toevoegen van eigen regels aan ufw. Gewoon aanzetten en klaar. Quod erat demonstrandum.

De overige punten van discussie zijn wat mij betreft van volledig ondergeschikt belang. Ik heb ook helemaal geen zin om daar verder nog tijd aan te verspillen, en zal dat dus ook niet meer doen.

De effectiviteit van "sudo ufw enable" in de praktijk, heb ik overigens zelf proefondervindelijk kunnen vaststellen: een jaar of wat geleden maakte ik gebruik van een gedeelde onbeveiligde draadloze verbinding, en toen drong een kennis van me, voor de grap mijn netboekje binnen via z'n slimfoon. Met "sudo ufw enable" was dat direct afgelopen. 

[Soul-Sing]

Als GRC na enkel 'sudo ufw enable' meldt dat het resultaat 'Closed' is betekent dat dat je eigenlijk nog niet veiliger bent dan zonder firewall.

Neen. Closed is wel degelijk veiliger dan open, want dicht = dicht.

Stealth is mogelijk nog een stapje veiliger, want zowel dicht als verborgen (hoewel de meningen over nut en noodzaak van stealth uiteenlopen).

Hoeveel keer moet ik nog zeggen dat closed gewoon betekent dat er geen dienst op die poort draait, en dat de default behaviour is zonder firewall? Niet op alle poorten draait standaard een dienst (gelukkig maar).

je hebt volstrekt gelijk S. Waarom dat niet doordringt bij een enkeling? geen idee.

[Pjotr]

Technisch gesproken blokkeer je met "sudo ufw enable" niet *alle* incoming. Het ligt iets ingewikkelder dan dat: (bijvoorbeeld ESTABLISHED - requested - packets worden wel toegelaten). Als je de zaak wat grondiger wil beschouwen, doe dan

Code: [Selecteer]

sudo iptables -L
Je zou ook informatie moeten kunnen terugvinden in /var/log/syslog en /var/log/ufw.log.

Uncomplicated Firewall is ervoor gemaakt om Uncomplicated te zijn. Dus met goede en verstandige standaardinstellingen. Zodat het voor verreweg de meeste eindgebruikers niet gecompliceerder hoeft te zijn dan: eenvoudigweg aanpleuren dat ding. Kortom: goed gedaan, Ubuntu-ontwikkelaars.

[Johan van Dijk]

Je hebt gelijk dat de informatie op de wiki niet helemaal meer klopt. Zodra je UFW aanzet blokkeert hij wel degelijk het één en ander. Waar ik het niet mee eens ben is dat je met het aanzetten van UFW klaar bent. In veel gevallen hangt het af van wat voor programma's je draait. Denk aan bestanden delen via Samba of NFS, je torrentprogramma, SSH en andere manieren om van buitenaf in te loggen op je systeem. Al die dingen blokkeer je dan, dus heb je er niets meer aan.
Je zal dus wel degelijk wat gaten in de firewall moeten maken.

Overigens staat de firewall op mijn laptop uit. Lubuntu 12.10, met wat aanpassingen en extra programma's.
Ik heb hem gescand via NMAP en er staan maar 3 poorten open: SSH en 2 voor rpcbind (nodig voor NFS). Het hacken van die services lijkt me vrij sterk, gezien de reputatie en het veilige verleden van die services.
Blokkeer ik alles, dan kan ik niet meer op afstand inloggen op de laptop en kan ik ook geen bestanden meer delen.

Ik zal straks ook eens een scan de andere kant op doen

[Pjotr]

Je hebt gelijk dat de informatie op de wiki niet helemaal meer klopt. Zodra je UFW aanzet blokkeert hij wel degelijk het één en ander. Waar ik het niet mee eens ben is dat je met het aanzetten van UFW klaar bent. In veel gevallen hangt het af van wat voor programma's je draait. Denk aan bestanden delen via Samba of NFS, je torrentprogramma, SSH en andere manieren om van buitenaf in te loggen op je systeem. Al die dingen blokkeer je dan, dus heb je er niets meer aan.
Je zal dus wel degelijk wat gaten in de firewall moeten maken.

Klopt, er zijn uitzonderingssituaties waarin de standaardinstellingen van ufw niet voldoen. Vooral geavanceerde doorgewinterde Linuxgebruikers als jij, hebben aan de standaardinstellingen meestal niet genoeg. Maar dat had ik in jouw geval ook wel verwacht, eerlijk gezegd.

[Johan van Dijk]

De andere kant op: een scan van de desktop (Ubuntu 12.04, erg veel programma's en services) vanaf het interne netwerk.
Met de firewall uit:
SSH, Apache, Apcupsd, squid-deb-proxy, pop3d, imapd, nfs+rpc, sabnzbdplus, Samba, CUPS en skype zijn bereikbaar voor het interne netwerk.

Met de firewall aan blijven alleen SSH, Apache, Apcupsd, squid-deb-proxy. nfs (+gerelateerde services), Samba, CUPS en sabnzbdplus over.

Vanaf het internet is alleen poort 22 (SSH) bereikbaar.

[Ron]

Ik heb hem gescand via NMAP

Installeer eens Umit, dan heb je daar ook een grafische schil voor

[Joris Donders]

Helaas heeft men op askubuntu de vraag dichtgegooid.
Er was een antwoord dat ufw enable goed genoeg zou zijn, maar daarachter was er weer iemand die direct een script voorstelde zoals dat van S.

Persoonlijk vind ik het wat complex aan het worden; leg dit maar eens uit aan een beginner

Jammer, maar het schijnt nu eenmaal zo te zijn.

[Ron]

Persoonlijk vind ik het wat complex aan het worden; leg dit maar eens uit aan een beginner

Misschien moeten we als Nederlandstalige gemeenschap een bash file schrijven die e.e.a. regelt ?

[Pjotr]

Helaas heeft men op askubuntu de vraag dichtgegooid.

Heb je een webkoppeling?

[Soul-Sing]

Helaas heeft men op askubuntu de vraag dichtgegooid.
Er was een antwoord dat ufw enable goed genoeg zou zijn, maar daarachter was er weer iemand die direct een script voorstelde zoals dat van S.

Persoonlijk vind ik het wat complex aan het worden; leg dit maar eens uit aan een beginner

Jammer, maar het schijnt nu eenmaal zo te zijn.

wat vreemd Ik wil ook graag een linkage. Geen overijverig moderater gedoe daar. anders ddos ik die vraag/vragen over belangrijke zaken zoals security. 
Aardige link over het gebruik van een softwarematige firewall binnen Ubuntu: https://help.ubuntu.com/community/DoINeedAFirewall

[Tom]

http://askubuntu.com/search?q=uwf

[testcees]

To enable the firewall, simply check the Enabled box and the default for traffic will be set to Deny.

Schuif status naar AAN om de firewall in te schakelen. Standaard wordt het inkomende netwerkverkeer geweigerd.

Uncomplicated? 

[Vistaus]

Persoonlijk vind ik het wat complex aan het worden; leg dit maar eens uit aan een beginner

Misschien moeten we als Nederlandstalige gemeenschap een bash file schrijven die e.e.a. regelt ?

Dat zou ik absoluut niet doen want men heeft op dit forum nogal een aversie tegen scripts.

[RikRik]

De meldingen na een online test:
 All attempts to get any information from your computer have FAILED. 

YOUR computer has DELIBERATELY CHOSEN NOT TO RESPOND (that's very cool!) which represents advanced computer and port stealthing capabilities. A machine configured in this fashion is well hardened to Internet NetBIOS attack and intrusion.

https://www.grc.com

[Pjotr]

http://askubuntu.com/search?q=uwf

Oftewel: http://askubuntu.com/questions/206137/ubuntu-all-versions-from-10-04-till-12-10

Dank, Wanda. 

Te brede vraag, blijkbaar.... Enfin. De moderator had blijkbaar z'n dag niet helemaal. Voordat 't gesloten werd is er nog wel een antwoord gegeven. De beantwoorder david6 geeft een verwijzing naar een eerder antwoord op een vergelijkbare vraag: http://askubuntu.com/questions/83830/what-rules-to-use-for-ufw

En dan dus wat mij betreft vooral het antwoord van arrange, dat voor mij ook al eerder een leidraad was (ik had het al eerder gelezen, en heb het gebruikt als basis voor mijn bijdragen aan deze discussie). arrange slaat de spijker op de kop.

[Johan van Dijk]

Ik heb hem gescand via NMAP

Installeer eens Umit, dan heb je daar ook een grafische schil voor

Zenmap 

[Joris Donders]

Sorry, zie nu pas dat je die link wou naar de askubuntu-vraag.  Tja te brede vraag .... , ik vond het toch redelijk bepalend en sturend, maar idd die moderator had echt zijn dag niet.

In ieder geval heb ik die ufw-regels van de link van Asphyxia (ubuntuforum) nog eens uitgetest, en eigenlijk werkt dat goed tot zeer goed met internet/ mails / en basisbehoeften.
Natuurlijk als je dan Ktorrent wenst te laten seeden voor de ISO van Redmar, heb je wel een probleem.

Mijn kennis is nog te beperkt om zelf regels te creëren voor ufw (zonder dat het mis gaat bedoel ik) , maar ik merkte dat er nog een aantal waren met dat probleem (PB's daarover) .

[Soul-Sing]

Sorry, zie nu pas dat je die link wou naar de askubuntu-vraag.  Tja te brede vraag .... , ik vond het toch redelijk bepalend en sturend, maar idd die moderator had echt zijn dag niet.

In ieder geval heb ik die ufw-regels van de link van Asphyxia (ubuntuforum) nog eens uitgetest, en eigenlijk werkt dat goed tot zeer goed met internet/ mails / en basisbehoeften.
Natuurlijk als je dan Ktorrent wenst te laten seeden voor de ISO van Redmar, heb je wel een probleem.

Mijn kennis is nog te beperkt om zelf regels te creëren voor ufw (zonder dat het mis gaat bedoel ik) , maar ik merkte dat er nog een aantal waren met dat probleem (PB's daarover) .

bittorent tracker: 6969/tcp en 51413/udp toevoegen. en klaar.

[Soul-Sing]

Ik voer deze discussie om slechts één reden: ik wil graag aantonen dat "sudo ufw enable" effect heeft, omdat de standaardinstelling van ufw reeds een goede bescherming biedt voor verreweg de meeste eindgebruikers. In tegenstelling tot wat de wiki roept, want die beweert dat ufw aanzetten zonder eigen regels, zinloos is.

Voor verreweg de meeste eindgebruikers is het dus helemaal niet nodig om moeilijk te gaan zitten doen met het toevoegen van eigen regels aan ufw. Gewoon aanzetten en klaar. Quod erat demonstrandum.

De overige punten van discussie zijn wat mij betreft van volledig ondergeschikt belang. Ik heb ook helemaal geen zin om daar verder nog tijd aan te verspillen, en zal dat dus ook niet meer doen.

De effectiviteit van "sudo ufw enable" in de praktijk, heb ik overigens zelf proefondervindelijk kunnen vaststellen: een jaar of wat geleden maakte ik gebruik van een gedeelde onbeveiligde draadloze verbinding, en toen drong een kennis van me, voor de grap mijn netboekje binnen via z'n slimfoon. Met "sudo ufw enable" was dat direct afgelopen.

Wat krijgen we nu? Heb je dit "flinkstuk" tijdens/gedurende het verloop van dit draadje ergens aan toegevoegd? Waarom doe je dat. Doe het aan het eind van het draadje, dat is wel zo logisch.

De overige punten van discussie zijn wat mij betreft van volledig ondergeschikt belang. Ik heb ook helemaal geen zin om daar verder nog tijd aan te verspillen, en zal dat dus ook niet meer doen.

Waarom klinkt dit zo, uh....maargoe vingers in de oren bij jou achter de computer, ogen dicht. Maar hier houdt het puzzelen, en de discussie niet op. Het attenderen van leden op het belang van outbound rules, en het degelijk opzetten van ufw houdt hier in ieder geval niet op.