Outgoing filtrering og internet brug

Udgående firewall regler, modsat indgående, er bestemt komplicerede. Du klarer dig ikke med HTTP og DNS.

Så kort som muligt:

Din pakkemanager vil kræve en stribe af forbindelser til internettet. Find samtlige værter dit system vil kontakte (fx med Ettercap eller anden sniffer).

Opret en komplet liste over tjenester, der beder om data fra internettet. For hver tjeneste skal du afgøre, hvilke port(e) der er tale om. Derefter kan du konstruere dine regler.

Bestem IP-adressen på hver vært, og skriv ACL (Access Control List) tilladelse for hver enkelt.

Sagt på en anden måde. Det er ikke helt så enkelt som du måske tror, hvilket formentlig er grunden til at de fleste ikke gider, men det er også klart, at det forbedrer forståelsen for hvordan det fungerer.

Tak for svar. Der savner man jo lidt en løsning hvor firewall'en selv fortæller at noget bestemt forsøger at etablere kontakt ud i verden og hvor man så enten kan tillade- eller nægte ved klikke på "Allow" eller "Deny" knappen hvorefter reglen tilføres automatisk.

Ja helt enig. Den eneste intelligente Per-application firewall til Linux jeg har hørt om er Leopard Flower. Desværre har jeg ikke kunnet få den til at virke, og forfatteren har ikke opdateret koden siden 2012. Han skriver følgende:

This project's code hasn't been updated since Feb 2012. I have no intention to continue developing it.

http://sourceforge.net/projects/leopardflower/

Firestarter, kan sikkert lidt af det i efterlyser:

http://www.fs-security.com/
Andre er nævnt her:
http://forums.linuxmint.com/viewtopic.php?f=195&t=100736&view=viewpoll

men det kniber, med opdateringer.

os

Noget nyt er på vej:
http://douaneapp.com/

os.

#0: mit net bliver utroligt langsomt alligevel.

Alternativt til at lukke forbindelsen kunne du jo undersøge, hvad der forekommer af forbindelser uden dit vidende. Måske flg. kommando kan give dig et hint:
netstat -pant

Ellers leg lidt med wireshark.

Personligt ville jeg ikke lægge begrænsninger på min PC på udgående trafik - medmindre der var en meget god årsag. Hvad med opdateringsmanager? NTP-server? (tid) og sikkert andre, som jeg ikke kan komme i tanke om i farten...

#5: Noget nyt er på vej

Tak for info om Douane. Uhyre interessant i forbindelse med forebyggende foranstaltninger.

Ideen med at lukke udgående porte, er velkendt på Windows. Dette systems risici for infektioner er almindelige, og derfor er der udviklet intelligente Firewall's. Derfor er stateful per-applications Firewall's relevante. Det er først og fremmest efter en infektion, at blokering af udgående er nødvendigt.

Endnu er de ikke helt på Linux arbejdsstationer, hvis nogensinde, hvor routerens sikkerhed er nok. Det er ikke tilfældet, hvis man benytter en mobil internet forbindelse (adapter uden router), hvor der er en potentielt højere risiko ved indgående forbindelser.

Det er klart en fordel man sætter sig ind i traffik til og fra maskinen, især på en server hvor man naturligvis ikke ønsker uautoriseret adgang, men også helt generelt hvis man finder netværk interessant.

På en arbejdsstation vil Douane formentlig forebygge virkningerne af et potentielt skadeligt installeret program, og ikke mindst informere relevant.

Takker for svarene indtil videre, Douane virker interessant.

Helt overordnet set, er det fordi at jeg efter Snowden mener, at vi nu befinder os i en tidsalder hvor vi alle må slås temmelig hårdt med næb og kløer for at bevare bare skyggen af et privatliv og jeg vil godt kunne styre hvad der sladrer ud af især min private arbejds-PC hvorfra der planlægges fremtidig webforretning.

Måske vi kunne udarbejde en allow-out "grundliste" omkring hvad man minimum skal tillade ud for at have en normalt funktionel PC? Er der så særlige behov derfra, så må man researche sig til det.

#8:
Måske vi kunne udarbejde en allow-out "grundliste" omkring hvad man minimum skal tillade ud for at have en normalt funktionel PC? Er der så særlige behov derfra, så må man researche sig til det.

Hvis du ikke har i sinde også at begrænse listen af hosts din pc kan kommunikere med er der altså ikke nogen pointe i at lukke for forskellige porte. Malware vil sandsynligvis alligevel understøtte port 80, da der næsten altid er hul igennem til omverdenen via port 80.


Altså, der er sikkerhed, og så er der sikkerhed. At arbitræt lukke for udadgående trafik er vist mest til gene for dig selv.

PS: Det er forøvrigt fantastisk hvordan en citation ikke kan indeholde blanke tegn..