リバースファイアウォールまたはアプリケーションファイアウォール?


10

ファイアウォールは通常、外部から入ってくる不正な「パケット」を防ぐために使用されます。しかし、最近ではほとんどがルーターの背後にあり、その危険の多くはルーターによって緩和されています。私たちが直面する危険は、ほとんどが内部からのものです。ことわざのトロイの木馬。

Windowsの世界には多くのアプリケーションファイアウォールがあり、OSXには「Little Snitch」と呼ばれるきちんとしたユーティリティがあり、スコープ外のデータを要求しないことでアプリケーションの動作を保証します。刑務所が壊れた私のiPhoneにも、アプリケーションが範囲外のWebサイトにアクセスできないようにするアプリがあります。彼らがscorecard.comやさまざまなアップルサーバーなどのWebサイトに「プッシュ」する驚くべきデータ量。これらを無効にしてもアプリケーションは動作するので、必要ないことはわかっています。

Linuxの世界では、このようなことはほとんどないようです。iptables非常に不器用な方法で結果を取得するために、perlの他のいくつかのスクリプトでそれをくるくると見ることができます。

このような質問がされたときに頻繁に参照されるこの投稿を見てください。

各プログラムのインターネットアクセスを制御する方法

質問の答えにはなりません。

彼らは、ほとんどの人が望んでいないポートを完全に切断するファイアウォールについて話します。ほとんどの人が望んでいるのは、ローカルアプリであるはずのアプリケーションXが、ウェブにチャットする必要がないときに出て行ってウェブにチャットしないことです。あるいは、ヤフーの天気にアクセスするプログラムは、天気にアクセスするという仕事に関係のない他の5つのサイトに行きます。または、iPhoneの私の銀行アプリの1つで、銀行の外にあるwebtrends Webサイトにアクセスします。もちろん、Ubuntuとは関係ありませんが、アプリの動作が悪い例です。

この投稿で言及されているもう1つのアプリはLeopard Flowerで、これは1年も更新されていないため、Ubuntuの次期リリースで実行し続けるのは嫌です。

この領域に関連する他のすべての投稿は、アプリケーションへのアクセスを完全に遮断するが、アプリケーションXの単純な「リトルスニッチ」という考えではWeb Y、アクセスを許可または拒否することを望んでいないアプリを推奨し続けます。複雑なiptableルールはなく、合計ポートカットオフもありません。

Ubuntuの「アプリケーションファイアウォール」が十分にありませんか、それとも単にありませんか?

回答:


3

AppArmor

AppArmorは、名前ベースのアクセス制御のLinuxセキュリティモジュール実装です。AppArmorは、個々のプログラムをリストされた一連のファイルとposix 1003.1eドラフト機能に限定します。

リンクの下。

https://help.ubuntu.com/community/AppArmor


SELinuxと同じ、単純な問題への大ハンマーアプローチ。インストールした場合、失敗する他のすべてのアプリケーションについて心配する必要があります。Ubuntuをインストールしたときに削除した最初のプログラムでした。
Meer Borg

1

SE Linuxは、Linuxのアプリケーションレベルのファイアウォールの1つの例ですが、非常に徹底的に実装することは非常に困難です。


過去に使用したことがあり、解決するよりも多くの問題を引き起こします。
Meer Borg

1

apparmorのどこが悪いのかわかりません。もちろん、マニュアルページを少し読む必要があります。それ以外は使いやすいと思います。

以前はWindows(仕事場)を使用していたときに、パーソナル(つまり、アプリ)ファイアウォールを使用したことがあります。GUIの欠如を除いて、私はapparmorを欠けているとは思いません。ただし、次に、追加のセキュリティ機能を提供します。apparmorを使用すると、Windowsのパーソナルファイアウォールでリソースを使い果たすプログラムによるDoS攻撃を防ぐことはできません。

その上、それは素晴らしい診断と管理ツールを持っています-aa-unconfinedと他のすべてのaa- *コマンドを調べます(最初にapparmor-utilsをインストールする必要があります)。

デフォルトのUbuntuシステムをインストールするときに得られる最小限の構成でさえ、十分に保護されていることがわかります。これは、setuidメカニズムと、Linuxでの特権を必要とするいくつかの低レベルの操作に大きく関係しています。ほとんどのアプリは、ネットワークに直接アクセスすることはありません。

さて、それから、友代を見上げてください。まだapparmorやSELinuxほど成熟していませんが、試してみる価値はあると思います。


1

私のアプリhttp://douaneapp.com/をご覧になることをお勧めします。

これはアプリケーションファイアウォールであり、アプリケーションごとのネットワークアクセスを制限します。コメントやフィードバックを送ってください。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.