Pare-feu inversé ou pare-feu d'applications?
Les pare-feu sont généralement utilisés pour empêcher les mauvais "paquets" provenant du monde extérieur. Mais ces jours-ci, nous sommes principalement derrière les routeurs et une grande partie de ce danger est atténuée par le routeur. Le danger auquel nous sommes confrontés vient principalement de l'intérieur. Le cheval de Troie proverbial.
Dans le monde Windows, il existe de nombreux pare-feu applicatifs et OSX dispose d'un utilitaire soigné appelé "Little Snitch" permettant de s'assurer que les applications se comportent de manière à ne pas demander de données en dehors de leur champ d'application. Même mon iPhone, la prison cassée, a une application qui empêche les applications d'accéder au site Web en dehors de leur portée. Il est surprenant de constater la quantité de données qu’ils "poussent" vers des sites Web tels que scorecard.com et divers serveurs Apple. Je les désactive et les applications fonctionnent toujours, donc je sais que ce n'est pas nécessaire.
Dans le monde Linux, il semble y avoir peu de choses dans cette veine. Vous pouvez le modifier avec iptables et quelques autres scripts en Perl pour obtenir le résultat de façon très maladroite.
Prenez ce post qui est fréquemment référencé quand une question comme celle-ci est posée.
Comment contrôler l'accès internet pour chaque programme?
Cela ne répond pas à la question.
Ils parlent de pare-feu qui coupe totalement le port, ce qui n’est pas ce que la plupart des gens veulent. Tout ce que la plupart des gens veulent, c’est que l’application X, qui devrait être une application locale, ne discute pas avec le Web sans avoir besoin de le faire. Ou un programme permettant d’accéder à Yahoo! Weather va vers cinq autres sites qui ne sont pas liés à son travail d’accès à la météo. Ou, dans l'une de mes applications bancaires sur iPhone, passe de la banque à un site Web Webtrends. Bien sûr, il n’est pas lié à Ubuntu, mais c’est un exemple d’application mal conduite.
L’autre application mentionnée dans ce billet est Léopard Flower, qui n’a pas été mise à jour depuis un an. Je n’aimerais pas que cela continue avec la prochaine version d’Ubuntu.
Tous les autres messages liés à cette zone continuent de faire des recommandations pour des applications qui coupent totalement l'accès à une application, mais ne fournissent pas cette simple idée du "petit vif" d'App X qui veut accéder à Web Y, autoriser ou refuser l'accès. Pas de règles iptables compliquées, pas de coupure totale du port.
Ai-je cherché assez ou n'y a-t-il tout simplement pas de "pare-feu d'application" pour Ubuntu?
AppArmor
AppArmor est une implémentation du module de sécurité Linux de contrôles d'accès basés sur des noms. AppArmor limite les programmes individuels à un ensemble de fichiers répertoriés et à des fonctionnalités de brouillon posix 1003.1e.
lien ci-dessous.
SE Linux est un exemple de pare-feu au niveau de l’application pour Linux, mais il est assez difficile à mettre en œuvre car il est très complet.
Je ne sais pas ce que tu trouves si mal à propos d'apparmor. Bien sûr, cela nécessite un peu de lecture des pages de manuel. Mais à part ça, je le trouve facile à utiliser.
J'ai utilisé des pare-feu personnels (c'est-à-dire des applications) par le passé, lorsque j'utilisais encore Windows (au travail). Je ne trouve pas qu'apparmor manque de quelque manière que ce soit, à l'exception de l'absence d'une interface graphique. À son tour, toutefois, il fournit des fonctionnalités de sécurité supplémentaires - vous ne pouvez pas empêcher une attaque par déni de service par un programme qui ne consomme que des ressources avec un pare-feu personnel pour Windows, alors que vous pouvez le faire avec apparmor.
En outre, il dispose de Nice diag et d'outils de gestion - recherchez les commandes a-* non confinées et toutes les autres commandes aa- * (vous devez d'abord installer apparmor-utils).
Vous verrez que même avec la configuration minimale que vous obtenez lors de l'installation d'un système Ubuntu par défaut, vous êtes toujours assez bien protégé. Cela a beaucoup à voir avec le mécanisme setuid et plusieurs opérations de bas niveau nécessitant des privilèges sous Linux - la plupart des applications n’ont jamais directement accès au réseau.
À part ça, regarde Tomoyo. Ce n'est pas encore aussi mature qu'apparmor ou SELinux, mais je pense que ça vaut le coup.
Puis-je vous suggérer de regarder mon application http://douaneapp.com/ .
C'est un pare-feu applicatif, limitant l'accès au réseau par application. N'hésitez pas à m'envoyer des commentaires et des réactions.