Två frågor om brandväggen GUFW

Trädvy Permalänk
Medlem
Registrerad
Dec 2003

Två frågor om brandväggen GUFW

1. Vad är det som visas under fliken "Rapporter" i huvudfönstret? Det visas lite olika saker där, bl.a. program som heter "avahi-daemon" och "dhclient". Är det program som för tillfället är anslutna till internet? Även om jag avaktiverar uppkopplingen helt ligger det kvar program i den listan, så jag förstår inte vad den visar egentligen.

2. Vad är en "Transmission Application"? Det står på sidan http://ubuntuforums.org/showthread.php?t=1876124 som det första steget, men det förklaras inte vad det är: "The first thing we will do is allow traffic from our Transmission Application." Jag förstår inte vad det är man ska göra.

Trädvy Permalänk
Medlem
Registrerad
Maj 2003

1: Där visas en lista över vilka program som för närvarande har en öppen socket, och lyssnar på inkommande trafik på en viss port. Att du avaktiverar uppkopplingen gör inte att de slutar försöka lyssna på inkommande trafik. Och de behöver inte lyssna på trafik från internet, utan kan mycket väl vara trafik som kommer från lo, dvs trafik från ett annat program på din dator.

2: Du missförstår vad de säger. Transmission är namnet på en BitTorrent-klient. https://www.transmissionbt.com/
Lite märkligt att de använder stort A på application. De menar bara deras instans av programmet vid namn Transmission.

(3: Bara så du vet: GUFW är inte en brandvägg. Inte heller UFW eller iptables är brandväggar. Brandväggen i Linux heter netfilter. GUFW är bara ett grafiskt skal till UFW. När du gör något i GUFW så skickar GUIt bara det vidare rakt av till UFW.
UFW och iptables är program som kommunicerar regler till Netfilter om hur den ska tillåta trafik.)

Trädvy Permalänk
Medlem
Registrerad
Dec 2003
Skrivet av Genesis:

1: Där visas en lista över vilka program som för närvarande har en öppen socket, och lyssnar på inkommande trafik på en viss port. Att du avaktiverar uppkopplingen gör inte att de slutar försöka lyssna på inkommande trafik. Och de behöver inte lyssna på trafik från internet, utan kan mycket väl vara trafik som kommer från ln, dvs trafik från ett annat program på din dator.

OK, tre följdfrågor:
1) Innebär det att de bara "lyssnar" men att inget nödvändigtvis tas emot? Inkommande trafik är ju nämligen blockerad i GUFW så vad är det som tillåts igenom i så fall?
2) Finns det någon bra sida som listar vad vanliga bakgrundsprogram har för funktion, bl.a. de jag nämnde?
3) Finns det något sätt att på samma vis övervaka utgående trafik?

Skrivet av Genesis:

2: Du missförstår vad de säger. Transmission är namnet på en BitTorrent-klient. https://www.transmissionbt.com/
Lite märkligt att de använder stort A på application. De menar bara deras instans av programmet vid namn Transmission.

Jaha, bra.

Skrivet av Genesis:

(3: Bara så du vet: GUFW är inte en brandvägg. Inte heller UFW eller iptables är brandväggar. Brandväggen i Linux heter netfilter. GUFW är bara ett grafiskt skal till UFW. När du gör något i GUFW så skickar GUIt bara det vidare rakt av till UFW.
UFW och iptables är program som kommunicerar regler till Netfilter om hur den ska tillåta trafik.)

OK, jag använde det lite oegentligt. Tack för klargörandet!

Trädvy Permalänk
Medlem
Registrerad
Maj 2003
Skrivet av Mysterium:

OK, tre följdfrågor:
1) Innebär det att de bara "lyssnar" men att inget nödvändigtvis tas emot? Inkommande trafik är ju nämligen blockerad i GUFW så vad är det som tillåts igenom i så fall?

Det innebär enbart att de försöker lyssna. Sedan är det upp till brandväggen att filtrera vad de ska höra.
Linux använder sockets en hel del för kommunikation mellan program, exempelvis X11. Så en hel del av de programmen du ser är delar av operativsystemet, som inte är tänkt ska komma åt trafik från internet. De lyssnar på en port som brandväggen inte har öppen för eth0/wlan0 eller liknande, utan bara för lo. Så att program kan kommunicera med varandra över det virtuella nätverkskortet lo. GUFW döljer denna typ av lågnivå-detaljer för användaren, så det blir lite märkligt här, då du tror att du blockerat all nätverkskommunikation, men GUFW gör det enbart för ditt eller dina fysiska nätverkskort, och blockerar inte lo.

Skrivet av Mysterium:

2) Finns det någon bra sida som listar vad vanliga bakgrundsprogram har för funktion, bl.a. de jag nämnde?

Jag känner inte till någon bra, annat än Google. Men jag har inte direkt letat heller.

Skrivet av Mysterium:

3) Finns det något sätt att på samma vis övervaka utgående trafik?

Det finns ett gäng program som kan visa nätverkstrafik på ett gäng olika sätt. Vad exakt vill du se, och hur pass detaljerat?
Exempelvis Wireshark loggar alla paket som din dator hanterar, och så kan du se exakt vad som händer. Men det är lätt att drunkna i all information.
Terminalkommandot "sudo netstat -apn" visar alla processer som aktivt (försöker) använda nätverket. Du kan använda "-apnt" för att bara visa TCP-trafik, eller "-apntu" TCP och UDP, så slipper du en massa bakgrundsprocesser.
Det finns ett antal grafiska skal till netstat som gör de lite trevligare att använda, men där man också förlorar inställningsmöjligheter. Exempelvis NetActiView: http://netactview.sourceforge.net/

Trädvy Permalänk
Medlem
Registrerad
Dec 2003
Skrivet av Genesis:

Det innebär enbart att de försöker lyssna. Sedan är det upp till brandväggen att filtrera vad de ska höra.
Linux använder sockets en hel del för kommunikation mellan program, exempelvis X11. Så en hel del av de programmen du ser är delar av operativsystemet, som inte är tänkt ska komma åt trafik från internet. De lyssnar på en port som brandväggen inte har öppen för eth0/wlan0 eller liknande, utan bara för lo. Så att program kan kommunicera med varandra över det virtuella nätverkskortet lo. GUFW döljer denna typ av lågnivå-detaljer för användaren, så det blir lite märkligt här, då du tror att du blockerat all nätverkskommunikation, men GUFW gör det enbart för ditt eller dina fysiska nätverkskort, och blockerar inte lo.

Hur kan man då se vilka anslutningar som är virtuella? I listan finns det program som använder diverse olika portar, men i kolumnen "Adress" står det för samtliga bara en stjärna, *.

Skrivet av Genesis:

Det finns ett gäng program som kan visa nätverkstrafik på ett gäng olika sätt. Vad exakt vill du se, och hur pass detaljerat?

Som ny Linuxanvändare letar jag efter något som jag är van vid från Windows och säkerhetsprogrammet Kaspersky internet security som registrerar all inkommande och utgående trafik. Som jag har förstått får man ta det med en nypa salt då program av den typen väl är lite av en falsk trygghet. Trots det kan man ju faktiskt använda programmet för att svart på vitt se vilka program/processer som för tillfället skickar och tar emot information till och från internet. Det är det jag vill veta, inte nödvändigtvis speciellt detaljerat. När jag surfar vill jag att Firefox ska synas där och när jag inte surfar vill jag inte se något annat, och om det ändå finns andra program med nätverkstrafik vill jag kunna veta om de tillhör operativsystemet eller inte. Helt enkelt för att veta att jag inte fått in något skit som olovligen skickar information.

Trädvy Permalänk
Medlem
Registrerad
Maj 2003
Skrivet av Mysterium:

Som ny Linuxanvändare letar jag efter något som jag är van vid från Windows och säkerhetsprogrammet Kaspersky internet security som registrerar all inkommande och utgående trafik. Som jag har förstått får man ta det med en nypa salt då program av den typen väl är lite av en falsk trygghet. Trots det kan man ju faktiskt använda programmet för att svart på vitt se vilka program/processer som för tillfället skickar och tar emot information till och från internet. Det är det jag vill veta, inte nödvändigtvis speciellt detaljerat. När jag surfar vill jag att Firefox ska synas där och när jag inte surfar vill jag inte se något annat, och om det ändå finns andra program med nätverkstrafik vill jag kunna veta om de tillhör operativsystemet eller inte. Helt enkelt för att veta att jag inte fått in något skit som olovligen skickar information.

Det känns som att du blivit lurad av Kaspersky, att deras brandvägg skulle ge säkerhet (deras antivirus ger säkerhet, men en brandvägg ger inte säkerhet mot skadlig kod, eller kan användas på ett rimligt sätt för att undvika eller blockera skadlig kod). Och att du nu försöker hitta ett motsvarande program som kan lura dig på samma sätt även i Linux.

Virus och skadlig kod finns inte på samma sätt till Linux som till Windows. Och om du mot förmodan skulle åka dit på ett root-kit (vilket är löjligt extremt ovanligt för en vanlig dator) eller liknande så är det ett tämligen dåligt sätt att detektera det på. Du ser bara vilka program som nu använder nätverket, inte vilka som väntar och kommer att använda nätverket då och då. Och det är ju trivialt att bara tunnla trafiken genom ett annat program. Telnet, CURL eller något annat liknande bara.

Skydd mot skadlig kod ska inte komma genom att användaren manuellt letar efter det. Det ska blockeras automatiskt, helst som Linux genom att inte ha välkända öppna säkerhetsluckor, utan att snabbt rätta till säkerhetsluckor när de upptäcks.
Antivirus är som att se att man har hål i en vattenslang, och då anställa en person som står och håller tummen över hålet i stället för att bara laga hålet.

Det kan vara ganska främmande och annorlunda i Linux om man bara kört Windows innan. Säkerhet fungerar helt annorlunda i Linux mot Windows. Släpp hela idén med att du behöver göra något eller skaffa något för att få Linux säkert. Linux är säkert från grunden. Kör säkerhetsuppdateringar genom apt (eller något gui som tar det via apt). Och försök att begränsa att öppna upp säkerheten i Linux om du är orolig. Installera program genom officiella säkra källor (ej .deb-filer från internet, eller tredjepart PPA eller liknande). Använd inte root och su/sudo i onödan och liknande.
Men en vanlig desktop-dator med Linux har inte så mycket att vara rädd för vad det gäller säkerhet. Det är snarare servrar och företag som bör vara lite oroliga för riktade attacker. Den typen av passivt spridande virus och bot-nät finns inte i praktiken till Linux.