PDA

Visualizza versione completa : Firewall e regole per una determinata applicazione



Kirk78
13-12-14, 15: 30
Ciao pinguiniani di CT!

Mi avete già detto che non è strettamente necessario utilizzare un firewall su Linux, ma ho visto che esiste

Ufw (Uncomplicated firewall) è l'applicazione predefinita in Ubuntu per la configurazione del firewall. Sviluppato per semplificare la configurazione di iptables, Ufw offre un modo semplice per creare un firewall basato su protocolli IPv4 e IPv6.
che inizialmente è disabilitato. Esiste tra l'altro una la GUI gufw che mi sto studiando.

Nessuna distro prevede un firewall a livello applicazione (perché si suppone che tu non installi roba di dubbia fattura e quindi nessuno si è mai posto il problema), ma solo a livello di porte e protocollo.

Mi sono letto il man e mi sembra di capire che è possibile fare delle regole anche per una determinata applicazione

Users can specify an application name when adding a rule
in

Only registered members can view code.
trovo già delle regole per Apache2, cups e Samba.

Per negare l'ingresso e l'uscita internet da una determinata applicazione devo forse fare

Only registered members can view code.
come si fa per i servizi?
Se fosse non so se basta quel comando (e che nome inserire).

Mi sembra di vederla anche nella GUI una cosa simile tramite la tab Preconfigured (la sto ancora studiando senza installarla)
https://help.ubuntu.com/community/Gufw?action=AttachFile&do=get&target=preconfigured.png
oppure la tab Simple se non fosse nella lista.
https://help.ubuntu.com/community/Gufw?action=AttachFile&do=get&target=simple.png

E' possibile anche inibire ingresso ed uscita su internet di un'applicazione in wine?
In realtà sarebbe interessante sapere se è possibile inibire a tutte le applicazioni wine di andare su internet, visto che non mi interessa che le applicazioni che provo vadano o prendano informazioni da internet.

Vedo sempre riferimenti alle porte, ma io vorrei provare ad inibire (reject) tutte le porte ad una determinata applicazione.

Poi nel caso posso sempre vedere il log per vedere cosa voleva fare una determinata applicazione (per adesso su wine) che devo controllare fatta da un collega programmatore, senza dovermi necessariamente leggere tutti i sorgenti.


Se un software è dannoso, non segue i più comuni dettami sulla privacy, funziona in maniera scorretta o altro, non deve essere installato.
Se poi vuoi farlo lo stesso, allora è un problema tuo occuparti di eseguirlo in maniera che non danneggi il resto del sistema (con un altro utente non privilegiato, in un namespace privo di routes, in chroot, in macchina virtuale...).
Gli strumenti per il controllo ci sono. Semplicemente bisogna rimarcare il fatto che se il sistema nel suo complesso funziona bene, è inutile appesantirlo con controlli ridondanti.
Io alle volte ho la necessità, come detto sopra, di verificare delle applicazioni in Linux
Questo è sicuramente interessante (magari non con altro utente e macchina virtuale per via del catorcio che ho per la guida) se puoi aggiungere info aggiuntive su

in un namespace privo di routes
in chroot


Stavo anche leggendo http://www.collectiontricks.it/forum/gnu-linux/Ct5938-cups-non-visibile-dagli-pc.html ma mi sono un può perso, visto che è da poco che ho ripreso lo studio di Linux :ehmm.

Grazie comunque dell'attenzione. :bai

pierino_89
13-12-14, 16: 14
Mi spiace deluderti, ma la cosiddetta "applicazione" in realtà è solo una scorciatoia per indicare le porte conosciute. Un'estensione di /etc/protocols, insomma.
Il prodotto si basa sempre su iptables, che non prevede regole per applicazione (anche perché alla fine, che significa una regola per applicazione? Per PID? Per file da cui è stato generato il processo?), ma al massimo per utente.

Kirk78
13-12-14, 17: 09
Per applicazione intendo un programma o servizio che è nella lista della tab Preconfigured

The Preconfigured tab gives us some options for controlling firewall options for common programs and services.
o indicandola nella Simple

Not all program configurations are available in Gufw, but we can still add rules for them using the Simple tab.
metto policy reject.

Mi sembra strano che non si possa fare su linux...

:bai

EDIT - http://gufw.org/img/slide/slide2.jpg

EDIT 2 ho capito che serve solo a "semplificare la configurazione di iptables" ma pensavo, visto che c'è scritto anche Applicazioni / Servizio potesse anche funzionare su una applicazione / servizio: altrimenti che ce lo scrivono a fare?
Vorrei evitare di dover installare TuxGuardian, sempre se funziona su Ubuntu 14.
http://tuxguardian.sourceforge.net/screenshot.png

A quanto ho capito è questione di Layer del firewall.... :boh

pierino_89
13-12-14, 20: 02
EDIT 2 ho capito che serve solo a "semplificare la configurazione di iptables" ma pensavo, visto che c'è scritto anche Applicazioni / Servizio potesse anche funzionare su una applicazione / servizio: altrimenti che ce lo scrivono a fare?

Perché i servizi usano sempre le stesse porte. E solitamente anche i giochi hanno i server in ascolto sempre sulle stesse porte. È solo una comodità per te, così non devi ricordarti i numeri.



Vorrei evitare di dover installare TuxGuardian, sempre se funziona su Ubuntu 14.
http://tuxguardian.sourceforge.net/screenshot.png

A quanto ho capito è questione di Layer del firewall.... :boh

Un firewall nel senso stretto del termine lavora sempre su layer 3. Tu vorresti invece qualcosa che lavori sul layer 7, perché vuoi il controllo sull'applicazione.

Quello è che forse non sono riuscito a spiegarti bene è che a nessuno interessa sviluppare un firewall a livello applicativo su Linux (tutti progetti che vedo sono fermi o morti) perché non è una protezione sufficiente per far girare senza pensieri programmi di dubbio gusto.
Per esempio, un programma potrebbe facilmente cancellare l'intero contenuto della tua /home, e per questo un firewall è evidente che non serva assolutamente a niente :ghgh.
Per queste cose si usano speciali ambienti dedicati (macchine virtuali di vario livello) per separare completamente il programma ed evitare il danneggiamento del sistema. Una macchina virtuale non significa necessariamente qualcosa di pesante con risorse dedicate tipo Virtualbox o VMware, può anche essere un ambiente che si aggancia a servizi già attivi e non fa altro che delimitare lo "spazio di lavoro" dell'applicazione.
Dai un'occhiata a "schroot" (un tool per gestione facile di gabbie chroot) e a "usermode Linux" (UML). In generale sono tutti tool che si basano su implementazioni differenti del concetto di "chroot", quindi ti potrebbe aiutare leggere il manuale o l'articolo su wikipedia :eye

Kirk78
18-12-14, 23: 55
Grazie delle spiegazioni. Studierò a fondo chroot, tempo permettendo.... certamente non su quella non fonte di wk, sopratutto quella it, visto come si sono comportati sulla pagina di P2P Forum Italia - Linux@P2P Forum Italia (http://linux.collectiontricks.it/wiki/P2P_Forum_Italia). :oo2

:bai