web-dev-qa-db-ja.com

ファイアウォールで他のアプリケーションを実行すべきではないのはなぜですか?

SOHO環境でUbuntu11.04をファイアウォールとして使用したい場合、GUIをインストールすることの悪い点(例:XFCE)を理解できませんか?

only開かれた世界へのポート(wanポート)は、デフォルト以外のポート+ pubkeyauthのみ+制限されたipサブネット上のSSHになります。オンなど。

GUIを使用している場合、ファイアウォールの「セキュリティ」に影響を与える可能性がある本当の理由がわかりません。

p.s。:このマシンを「ムービープレーヤー/プロジェクターに接続」として使用したいので、「GUI」が必要です。それだけです。 -PCをファイアウォールとしてのみ使用するのは費用がかかる(電力消費)ので、ビデオの再生にも使用しています(Webブラウザーは使用していません)。

p.s.2:NAT USB Wi-Fiドングル(wpa2/aes/64文字のランダムパス)を介した「インターネット」)。

更新:
明確にするために:
インストールされたXFCEがセキュリティに関するSSHDなどに影響を与える理由(または方法正確に) (私はそれが唯一のサーバーである/世界へのオープンポートを持っている/ wan)

7
LanceBaynes

ファイアウォールを実行するために必要なコードベースはごくわずかです。例えば。 Linuxカーネル、busybox、sshなどを削除しました。数字はありませんが、GUIムービーを再生するオプションの10分の1以下のサイズだと思います。ファイアウォール自体にGUIを配置しなくても、ファイアウォールのGUI管理を簡単に実行できます。GUIを他の場所で実行してルールセットを設計し、ファイアウォールにアップロードするだけです。または、最小限のWebサーバーと管理ソフトウェアを実行し、ブラウザーをGUIとして使用します。

コードベースが大きいほど、攻撃対象領域が大きくなります。例えば。 GUIで使用されるパッケージのいずれかに対する厄介な攻撃は、ボックス全体を取得するために使用される可能性があります。これらの攻撃の多くは、開いているポートを必要としません。それらは、メディアファイル内のウイルス、任意のパッケージ内のトロイの木馬などを介して発生する可能性があります。

あなたの場合、あなたはそのような攻撃について心配しないかもしれません、それは確かに通常のオープンポート攻撃より難しいでしょう。しかし、攻撃対象領域を制限するという原則は、多くの理由で適用されます。

も参照してください

8
nealmcb

さて、私は最初にこの質問をする必要があります:ファイアウォール上のGUIは悪いことだと誰が言ったのですか?

率直に言って、ファイアウォールルールセットの複雑さにもよりますが、ファイアウォール用のGUIがないと考えるのはばかげています(ほとんどの場合、シッククライアントで構成されます)。

一方、この特定の状況では、GUIの存在に関する問題ではなく、マシンの望ましい使用に関する問題が多くありました。このマシンをディスクリートファイアウォール(または、その用語を使用する場合はハードウェアファイアウォール)にする場合は、まさにディスクリートである必要があります。そのマシンに他の機能を追加すると、セキュリティ上のリスクが生じる可能性があります。実際にマシン上でメディアストリーミングソフトウェアを実行している場合、ファイアウォールと接続されているプラ​​イベートネットワークスペースに対して他の潜在的な攻撃ベクトルがあることを意味します。

私の経験から、HTPCはごくわずかな消費電力で動作し、通常はかなり安価に構築できます。 HTPCも通常はかなり安全ではありません(少なくとも、私がこれまでに出会ったことのあるすべての人がテストを楽しんでいました)。

結論: GUIはファイアウォールでは問題ありませんが、マシン上で他のサービスを実行していると、個別のファイアウォールの目的が無効になります。そうは言っても、このボックスを作成するときにUbuntuを強化するためのすべての適切な手順を実行し、メディアサービスをそのマシンに対してローカルに保つ場合は、計画を進めることができます。

別の考え:独自のルーター(アプライアンスではなく自分で作成したもの)がある場合は、HTPCではなくそのマシンにIPTablesまたはUCFファイアウォールをスローします。

5
Ormis

他の答えは良いですが、もっと哲学的な(しかし実用的な)答えを探しているようです。その答えはこれです:

使用済みタイヤにtelnetで接続することはできません。また、使用済みタイヤに悪意のあるソフトウェアをインストールすることもできません。スケールの一端から使用済みタイヤから完全に機能するデスクトップ環境に移行すると、システムの安全性が低下します。つまり、インストールするライブラリやパッケージなどが増えると、マルウェアがインストールされて機能する可能性が高くなります。

それは純粋に単純さと攻撃対象領域の減少の問題です。中古タイヤがベストですが、何も走れないので、なるべく近づけようとしています。

4
Daniel Miessler

システムに追加のソフトウェアをインストールするたびに、攻撃対象領域も増加します。ただし、サーバーの操作とファイアウォールの管理にGUIを使用することで、管理者としてより多くの制御が可能になる場合は、GUIによってセキュリティが強化されていると言えます。コマンドラインUIを適切に使用および構成するのが難しい場合は、セキュリティに反します。

3
Chris Dale

XFCEはおそらくファイアウォールの安全性を低下させません。ただし、メディアプレーヤーとして使用すると、攻撃対象領域が増加し、そのマシンのセキュリティが侵害される可能性が高くなるため、ファイアウォールの安全性が低下する可能性があります。

例:インターネットから映画をダウンロードし、メディアプレーヤーで再生するとします。メディアプレーヤーに悪用可能な脆弱性がある場合、マシンが危険にさらされ、セキュリティが強化され、ファイアウォールが信頼できなくなります。

これが、ファイアウォールが他の目的に使用されていない単一目的のデバイスによって実装されている場合、セキュリティの人々が一般的にセキュリティに優れていることを推奨する理由です。

3
D.W.

Xfceがlibx11-6( http://www.x.org/wiki/Development/Security を参照)、libgtk、libglib、libdbus(http: //www.securityfocus.com/archive/1/515796)、libcairo(http://www.nessus.org/plugins/index.php?view=single&id=21151)、libpango(http://www.cvedetails。 com/cve/CVE-2011-0020 /)、および他の多くのライブラリ。

これらのライブラリがsshdを直接侵害する可能性は低いですが、他の攻撃ベクトル、特にX11を開く可能性があります。結局のところX11は、アプリケーションへのリモートアクセスを提供するように設計されたネットワークプロトコルです

Nealmcbが指摘しているように ServerGUI-Community Ubuntu Documentation GUIのインストールをお勧めしません。 NSA X11のインストールを推奨しません 、LinuxのGUIの基礎。 Linuxを使用したセキュアサーバーの構築 X11のインストールを推奨しません。-- BinbertはX11のインストールを推奨していません 。ほとんどの人がX11のインストールを推奨していません。

一般に、システムが複雑になるほど、脆弱性のテストとチェックが難しくなります。それが、「攻撃対象領域の増加」と言われるときの人々の意味です。基本的なファイアウォールとして構成されたシステムは十分にテストされており、脆弱性が見つかった場合はすぐに報告され、対処されます。

X11ベースのソフトウェアをインストールする場合は、リモートユーザーから十分に分離されていることを確認してください。 X11アクセスをコンソールのみに制限します。

コストの面では、PCをファイアウォールとして実行するのにそれほど時間はかかりません。 Devil Linuxは、32MBのRAMを搭載した486で正常に動作する無料のライブCD-ROMLinuxディストリビューションです。

そしてもちろん、あなたは知っています WPA2はインサイダー攻撃に対して脆弱です

3
this.josh