역방향 방화벽 또는 애플리케이션 방화벽?

역방향 방화벽 또는 애플리케이션 방화벽?

방화벽은 일반적으로 외부 세계에서 들어오는 나쁜 "패킷"을 방지하기 위해 사용됩니다. 그러나 요즘 우리는 대부분 라우터 뒤에 있으며 라우터에 의해 이러한 위험이 많이 완화됩니다. 우리가 직면하는 위험은 대부분 내부에서 발생합니다. 속담의 트로이 목마.

Windows 세계에는 많은 응용 프로그램 방화벽이 있으며 OSX에는 "Little Snitch"라는 깔끔한 유틸리티가 있습니다. 이 유틸리티는 응용 프로그램이 범위 외부의 데이터를 요청하지 않도록 보장하는 작업을 수행합니다. 감옥에 갇힌 내 iPhone에도 응용 프로그램이 해당 범위 외부의 웹 사이트에 액세스하는 것을 방지하는 앱이 있습니다. 그들이 Scorecard.com 및 다양한 Apple 서버와 같은 웹사이트에 "푸시"하는 데이터의 양은 놀랍습니다. 이 기능을 비활성화해도 응용 프로그램은 계속 작동하므로 필요하지 않다는 것을 알 수 있습니다.

Linux 세계에서는 이런 맥락이 거의 없는 것 같습니다. iptablesPerl의 다른 스크립트를 사용하여 매우 서투른 방식으로 결과를 얻을 수 있습니다.

이와 같은 질문을 받을 때 자주 참조되는 이 게시물을 살펴보세요.

각 프로그램의 인터넷 액세스를 제어하는 ​​방법은 무엇입니까?

질문에 대답하지 않습니다.

그들은 대부분의 사람들이 원하는 것이 아닌 포트를 완전히 차단하는 방화벽에 대해 이야기합니다. 대부분의 사람들이 원하는 것은 로컬 앱이어야 하는 애플리케이션 X가 웹과 채팅할 필요가 없을 때 나가서 웹과 채팅하지 않는 것입니다. 또는 Yahoo 날씨에 액세스하는 프로그램은 날씨 액세스 작업과 관련되지 않은 5개의 다른 사이트로 이동합니다. 또는 iPhone의 내 뱅킹 앱 중 하나에서 은행 외부의 webtrends 웹 사이트로 이동합니다. 물론 Ubuntu와 관련이 없지만 앱이 잘못 작동하는 예입니다.

이 게시물에서 언급된 다른 앱은 Leopard Flower입니다. 이 앱은 1년 동안 업데이트되지 않았으며 곧 출시될 Ubuntu 릴리스에서 해당 앱을 계속 실행하고 싶지 않습니다.

이 영역과 관련된 다른 모든 게시물에서는 애플리케이션에 대한 액세스를 완전히 차단하는 앱에 대한 권장 사항을 계속 제시하지만 App X가 Web Y에 액세스하고 액세스를 허용하거나 거부하려는 간단한 "Little Snitch" 아이디어를 제공하지 않습니다. 복잡한 iptable 규칙이나 전체 포트 차단이 없습니다.

충분히 자세히 살펴보았습니까? 아니면 단순히 Ubuntu용 "응용 프로그램 방화벽"이 없는 것입니까?

답변1

앱아머

AppArmor는 이름 기반 액세스 제어를 Linux 보안 모듈로 구현한 것입니다. AppArmor는 개별 프로그램을 나열된 파일 세트와 posix 1003.1e 초안 기능으로 제한합니다.

아래 링크.

https://help.ubuntu.com/community/AppArmor

답변2

SE Linux는 Linux용 애플리케이션 수준 방화벽의 한 예이지만 매우 철저하기 때문에 구현하기가 매우 어렵습니다.

답변3

의류에 대해 무엇이 그렇게 나쁘다고 생각하는지 모르겠습니다. 물론, 맨 페이지를 약간 읽어야 합니다. 하지만 그 외에는 사용하기 쉽다고 생각합니다.

나는 과거에 (직장에서) Windows를 사용하고 있었을 때 개인(예: 앱) 방화벽을 사용한 적이 있습니다. GUI가 없다는 점을 제외하면 어떤 면에서도 의류가 부족하다고 생각하지 않습니다. 그러나 이는 추가 보안 기능을 제공합니다. Windows용 개인 방화벽으로는 리소스만 소모하는 프로그램에 의한 DoS 공격을 방지할 수 없지만 의류로는 방지할 수 있습니다.

게다가, 훌륭한 진단 및 관리 도구도 있습니다. aa-unconfined 및 기타 모든 aa-* 명령을 찾아보세요(apparmor-utils를 먼저 설치해야 합니다).

기본 Ubuntu 시스템을 설치할 때 최소한의 구성을 사용하더라도 여전히 꽤 잘 보호된다는 것을 알 수 있습니다. 이는 setuid 메커니즘 및 Linux에서 권한이 필요한 여러 하위 수준 작업과 많은 관련이 있습니다. 대부분의 앱은 네트워크에 직접 액세스하지 않습니다.

그 외에도 토모요를 찾아보세요. 아직 의류나 SELinux만큼 성숙하지는 않지만 시도해 볼 가치가 있다고 생각합니다.

답변4

내 앱을 살펴보시라고 제안해도 될까요?http://douaneapp.com/.

애플리케이션당 네트워크 액세스를 제한하는 애플리케이션 방화벽입니다. 나에게 의견과 피드백을 보내 주시기 바랍니다.

관련 정보