Обратный брандмауэр или брандмауэры приложений?

Брандмауэры, как правило, используются для предотвращения попадания плохих «пакетов» из внешнего мира. Но в наши дни мы в основном отстаем от маршрутизаторов, и большая часть этой опасности смягчается маршрутизатором. Опасность, с которой мы сталкиваемся, в основном изнутри. Пресловутый Троянский конь.

В мире Windows существует множество брандмауэров приложений, и в OSX есть аккуратная утилита под названием «Little Snitch», которая обеспечивает работу приложений, не запрашивая данные вне их области действия. Даже у моего iPhone, сломанного джейла, есть приложение, которое не позволяет приложениям получать доступ к веб-сайту вне их сферы действия. Удивительно, сколько данных они «проталкивают» на веб-сайты, такие как Scorecard.com и различные серверы Apple. Я отключаю их, и приложения все еще работают, поэтому я знаю, что это не обязательно.

В мире Linux, кажется, мало в этом ключе. Вы можете использовать его iptablesи некоторые другие скрипты на Perl, чтобы получить результат очень неуклюже.

Возьмите этот пост, на который часто ссылаются, когда задают такой вопрос.

Как контролировать доступ в интернет для каждой программы?

Это не отвечает на вопрос.

Они говорят о брандмауэрах, которые полностью отключают порт, а это не то, чего хочет большинство людей. Все, чего хочет большинство людей, это то, что приложение X, которое должно быть локальным, не выходит и не общается в Интернете, когда ему не нужно общаться в Интернете. Или программа, которая имеет доступ к Yahoo Weather, отправляется на пять других сайтов, не связанных с ее работой по доступу к погоде. Или в одном из моих банковских приложений на iPhone выходит за пределы банка на сайт веб-трендов. Конечно, это не связано с Ubuntu, но это пример плохого поведения приложений.

Другое приложение, упоминаемое в этом посте, это Leopard Flower, которое не обновлялось в течение года, и я не хотел бы, чтобы оно работало с выходом Ubuntu.

Все остальные публикации, относящиеся к этой области, продолжают давать рекомендации для приложений, которые полностью ограничивают доступ к приложению, но не дают той простой идеи «Маленькой сучки» о том, что App X хочет получить доступ к Web Y, Allow или Deny. Никаких сложных правил iptable, никаких полных отключений портов.

Я посмотрел достаточно усердно или просто нет «Брандмауэра приложений» для Ubuntu?

AppArmor

AppArmor - это модуль безопасности Linux, в котором реализованы средства управления доступом на основе имен. AppArmor ограничивает отдельные программы набором перечисленных файлов и возможностями проекта posix 1003.1e.

ниже ссылка.

https://help.ubuntu.com/community/AppArmor

SE Linux является одним из примеров брандмауэра уровня приложений для Linux, но его довольно сложно реализовать, так как он очень тщательный.

Я не знаю, что тебе так плохо в apparmor. Конечно, это требует немного чтения man-страниц. Но кроме этого я нахожу это простым в использовании.

Я использовал персональные (т.е. приложения) брандмауэры в прошлом, когда я все еще использовал Windows (на работе). Я не считаю apparmor ни в каком случае отсутствующим, кроме отсутствия графического интерфейса. Однако, в свою очередь, он предоставляет дополнительные функции безопасности - вы не можете предотвратить DoS-атаку с помощью программы, которая просто поглощает ресурсы с помощью персонального брандмауэра для Windows, в то время как вы можете сделать это с помощью apparmor.

Кроме того, у него есть отличные инструменты для диагностики и управления - ищите aa-undefined и все другие команды aa- * (сначала вам нужно установить apparmor-utils).

Вы увидите, что даже при минимальной конфигурации, которую вы получаете при установке системы Ubuntu по умолчанию, вы все еще довольно хорошо защищены. Это во многом связано с механизмом setuid и несколькими низкоуровневыми операциями, требующими привилегий в Linux - большинство приложений никогда не обращаются к сети напрямую.

Помимо этого, посмотрите вверх Tomoyo. Он еще не такой зрелый, как apparmor или SELinux, но я думаю, что стоит попробовать.

Могу ли я предложить вам взглянуть на мое приложение http://douaneapp.com/ .

Это брандмауэр приложения, ограничивающий доступ к сети для каждого приложения. Не стесняйтесь присылать мне комментарии и отзывы.