Δείτε εδώ τα πιο πρόσφατα μηνύματα από όλες τις περιοχές συζητήσεων, καθώς και όλες τις υπηρεσίες της AcroBase. H εγγραφή σας είναι γρήγορη και εύκολη. |
|
Κεντρική σελίδα |
Λίστα Μελών | Games | Σημειώστε όλα τα forums ως διαβασμένα | Σημειώστε όλα τα forums ως διαβασμένα |
|
|
Εργαλεία Θεμάτων | Τρόποι εμφάνισης |
#1
|
|
||||
Firewall και IPv6
Όπως έχουμε αναφέρει, σύντομα θα πρέπει να περάσω στο ipv6. Αυτό συνεπάγεται ότι χρειάζομαι firewall *στο* μηχάνημα.
Επειδή δεν υπάρχει περίπτωση να ασχοληθώ με τα ip(6)tables, θα ήθελα ένα, ας πούμε, απλό front. Ένα παράδειγμα του τι θεωρώ εγώ απλό είναι ένα παλιό firewall που είχα στα παράθυρα. Δε χρειαζόταν να ρυθμίσω ποτέ τίποτα, επειδή με ρωτούσε πχ "microsoft word wants to access the internet, ip X, port Y, allow?", εγώ απαντούσα όχι και δεν ασχολιόμουν ποτέ ξανά με το microsoft word. Ομοίως δούλευε για εισερχόμενα. Φυσικά μπορούσα να δω/αλλάξω αναλυτικά τους κανόνες, αν και σχεδόν ποτέ δεν είχα λόγο να το κάνω. Προτάσεις;
__________________
may you live in interesting times |
#2
|
|
|||
|
#3
|
#4
|
|
||||
ΟΚ, όσο μελετώ τις απαντήσεις ας το θέσω λίγο διαφορετικά:
Πώς μπορώ να είμαι βέβαιος ότι κάποιο application δε θα επιχειρήσει να μιλήσει με το internet; Φυσικά μπορώ να κόψω ένα συγκεκριμένο application αλλά δε θέλω να κόψω εκ των προτέρων τα πάντα, δηλαδή όλα τα δυνατά processes που εκτελούνται τώρα και πιθανόν θα εκτελεστούν στο μέλλον. Πάντα με την πρότερη εμπειρία των παραθυριών, αν κόψω τα πάντα φοβάμαι ότι θα κόψω και πράγματα που δεν πρέπει, επειδή απλά αυτή τη στιγμή δεν ξέρω ότι δεν πρέπει! Ως αποτέλεσμα θα χτυπάνε διάφορα και τελικά θα ψάχνω τι φταίει - και πραγματικά δε θέλω να γίνω γκουρού και στο iptables, ας αφήσω και κάτι για πιο ειδικούς Γενικά λοιπόν μου φαίνεται πιο απλός τρόπος αυτό το, ας πούμε, learning mode, που με ρωτάει κάθε φορά που κάποιο process θέλει να στείλει ή να λάβει. Πιθανόν έχω καεί στα παράθυρα και το ρωτάω αυτό, όμως μου φαίνεται λογικό ερώτημα. Το "personal firewall" ή όπως αλλιώς το λένε κόβει το connection (είτε in είτε out) μέχρι να πατήσω yes/no, οπότε τουλάχιστον το παίρνω χαμπάρι. Υπάρχει κάποιος τρόπος να έχω τέτοιες ειδοποιήσεις / πληροφορίες; Ή ανησυχώ για λάθος πράγματα; Υπόψη ότι όλα αυτά τα θέλω για το ipv6, επειδή (από ότι έχω καταλάβει) ο υπολογιστής θα είναι ξυπόλητος στα αγκάθια...
__________________
may you live in interesting times |
#5
|
|
||||
Αλλά: 1. Όσο καιρό χρησιμοποιώ *nix κανένα application δεν έκανε ποτέ «call home». Δεν είναι μέρος της νοοτροπίας του *nix προγραμματιστή να κάνει κάτι τέτοιο. Και από τότε που το ξεκίνησε η Microsoft, είναι και ab ovo καταδικαστέο. Ειδικά με open source εφαρμογές, κάτι τέτοιο θα βρισκόταν σύντομα, και ο συγγραφέας θα είχε πολλά ζητήματα. Συμπέρασμα: οι open source εφαρμογές είναι πιο σίγουρες από binary-only. 2. Έστω ότι μια εφαρμογή προσπαθεί να κάνει call home και να στείλει, πχ, τα συνθήματά σου. Το /etc/shadow δεν είναι αναγνώσιμο από το χρήστη, και τα desktop password stores (στα οποία ο χρήστης έχει πρόσβαση) είναι κρυπτογραφημένα με ισχυρή κρυπτογραφία. Μπορεί να στείλει κάτι ακρυπτογράφητο, όπως πχ το browsing history σου αν ξέρει τι browser έχεις, αλλά ξανά: δες το 1 πιο πάνω. 3. Οι εφαρμογές που είναι πιο πιθανό να προσπελάσουν το δίκτυο για home calling είναι εκείνες που έχουν και έγκυρες χρήσεις (πχ web browsers). Έτσι είναι ψιλοδύσκολο να ξεχωρίσεις τι γίνεται. 4. Αν χρησιμοποιείς Debian, Ubuntu ή άλλες παρόμοιες διανομές με package management, η πιθανότητα κακοπροαίρετης εφαρμογής είναι πρακτικά μηδέν. Η κοινότητα προσέχει πολύ, και ειδικά το Debian δε βάζει ό,τι κι ό,τι στα repositories. Το ξέρω, έχω προσπαθήσει να βάλω δική μου δουλειά και δε γίνεται δεκτή αν δεν γίνω full-blown debian developer (παίρνει μήνες διαδικασιών) ή αν δεν είμαι διάσημος. 5. Στα Windows το networking stack είναι πρόσφατη προσθήκη, κι έτσι ο τρόπος συγγραφής εφαρμογών συνήθως δεν περιλαμβάνει networking ως λύση προβλημάτων, παρά μόνο όταν χρειάζεσαι να μιλήσεις με το Internet. Στα *nix, το networking stack ήταν παρόν από την αρχή, και πολλές ανάγκες καλύπτονται με αυτό (πχ Interprocess Communication [IPC] με Unix domain sockets). Τα KDE και GNOME, πχ, χρησιμοποιούν sockets κατά κόρον και το DBUS, πολύ μοδάτο σύστημα για IPC, είναι κι αυτό networking-based). Τα ίδια τα X11 είναι networking protocol, ακόμα και τοπικά. Άρα κατά συνθήκη, οι *nix εφαρμογές έχουν ανάγκη να μιλάνε στο δίκτυο. Αν έχεις ένα συγκεκριμένο application που δεν εμπιστεύεσαι, βλέπω τρεις λύσεις: (α) δεν το τρέχεις (τι λόγο έχεις να τρέξεις κακοπροαίρετο software; ). (β) το τρέχεις σε «chroot jail» (sandboxing — έχει πρόσβαση στο δίκτυο αλλά όχι στο filesystem σου πέρα απ'ότι έχει άμεση ανάγκη). (γ) το τρέχεις σε virtual machine με ένα από τα σχετικά προγράμματα. Προτείνω τη λύση (α) εκτός κι αν προσπαθείς να μάθεις τι ακριβώς κάνει η εφαρμογή.
Λόγω του σημείου 5. παραπάνω, αν είχες learning mode, θα έτρωγες όλη σου τη μέρα δίνοντας «ΝΑΙ» σε εκατομμύρια κλήσεις του networking stack. Θα ήταν χειρότερα από τα Vista. Εν ολίγοις, σε ένα μηχάνημα *nix που δε χρησιμοποιείς ως root και που δεν κατεβάζεις βλακείες, ο κίνδυνος είναι απ'έξω· όχι από μέσα.
Το Windows «firewalling» είναι τελείως μα τελείως διαφορετικό από το packet filtering από τις περισσότερες απόψεις. Είναι ένα σύστημα προστασίας από τις χιλιάδες κακοπροαίρετες εφαρμογές που σου κάνουν ζημιά εκ των έσω. 1. Νέες συνδέσεις από έξω προς τα μέσα: REJECT. 2. Νέες συνδέσεις από μέσα προς τα έξω: ALLOW. 3. Πακέτα συνδέσεων που έχουν ήδη γίνει: ALLOW. Αυτό είναι όλο. Μπορείς να κάνεις διάφορες εξυπνάδες, και θα χρειαστεί να ανοίξεις κάποια ports αν τρέχεις local servers, αλλά βασικά δε θες κάτι περισσότερο. Το ίδιο ruleset σε προστατεύει και σε IPv4 και σε IPv6, και το κάνει εξίσου καλά. |
Οι παρακάτω χρήστες έχουν πει 'Ευχαριστώ' στον/στην Morgul για αυτό το μήνυμα: | ||
Archmage (24-05-11) |
#6
|
|
|||
[offtopic]
[/offtopic] |
#7
|
|
||||
Απλά έχεις χρήσιμο software.
|
Συνδεδεμένοι χρήστες που διαβάζουν αυτό το θέμα: 1 (0 μέλη και 1 επισκέπτες) | |
Εργαλεία Θεμάτων | |
Τρόποι εμφάνισης | |
|
|