¿Por qué no debería ejecutar otras aplicaciones en un Firewall?

7

Si quiero usar Ubuntu 11.04 como Firewall en el entorno SOHO, entonces no puedo averiguar qué es lo malo de instalar GUI en él (por ejemplo, XFCE).

El only puerto abierto al mundo (wan port) sería SSH en un puerto no predeterminado + pubkey autent solamente + subredes IP restringidas donde la gente podría iniciar sesión, etc.

Simplemente no entiendo las verdaderas razones por las que podría afectar a la "seguridad" de un Firewall si tengo una GUI.

p.s .: "GUI" solo es necesario porque quiero usar esta máquina como un "Reproductor de películas / conectado a un proyector", eso es todo. - Sería caro (consumo de energía) usar la PC solo como un firewall, por lo que también lo uso para reproducir videos (no usar el navegador web).

p.s.2: NAT sería la "Internet" a través de un dongle wifi USB (wpa2 / aes / 64 char random pass.).

ACTUALIZACIÓN:
para aclarar:
¿Por qué (o CÓMO Exactamente ) un XFCE instalado afectaría, por ejemplo, al SSHD con respecto a la seguridad? (Lo digo porque es el único servidor / que tiene un puerto abierto para el mundo / wan)

    
pregunta LanceBaynes 02.06.2011 - 22:34
fuente

6 respuestas

8

El código base requerido para ejecutar un firewall es pequeño. P.ej. desnudo Linux kernel, busybox, ssh y no mucho más. No tengo números, pero supongo que es una décima parte del tamaño o menos que cualquier opción de reproducción de películas GUI con la que probablemente te sentirías feliz. Puede realizar fácilmente la administración de la GUI de un firewall sin colocar una GUI en el mismo firewall; simplemente ejecute la GUI en otro lugar para diseñar el conjunto de reglas y cargarlo en el firewall. O ejecute un servidor web y un software de administración mínimos y use un navegador como GUI.

El código base más grande presenta una superficie de ataque más grande. P.ej. un ataque desagradable en cualquiera de los paquetes utilizados en la GUI podría usarse para llegar a toda la caja. Muchos de esos ataques no requieren un puerto abierto. Pueden venir a través de virus en archivos multimedia, troyanos en cualquiera de los paquetes, etc.

En su caso, es posible que simplemente no se preocupe por tales ataques, lo que ciertamente sería más difícil que un ataque de puerto abierto normal. Pero el principio de limitar la superficie de ataque se aplica por muchas razones.

Ver también

respondido por el nealmcb 03.06.2011 - 06:09
fuente
5

Bueno, primero tendré que hacer esta pregunta: ¿Quién dijo que una GUI en un firewall es algo malo?

Francamente, es absurdo, dependiendo de la complejidad del conjunto de reglas del firewall, pensar que no hay una GUI para el firewall (aunque en la mayoría de los casos consistiría en un cliente grueso).

Por otro lado, para esta situación en particular, es menos un problema relacionado con la presencia de una GUI, pero más un problema relacionado con el uso deseado de la máquina. Si tiene la intención de que esta máquina sea un cortafuegos discreto (o un cortafuegos de hardware si desea usar esa terminología), eso es exactamente lo que debería ser, discreto. Agregar cualquier otra función a esa máquina podría presentar un riesgo de seguridad. Si de hecho ejecuta el software de transmisión de medios en la máquina, eso significa que existen otros posibles vectores de ataque contra su firewall y el espacio de la red privada conectada.

Según mi experiencia, un HTPC se ejecutará con un consumo de energía insignificante y, por lo general, también es bastante barato de construir. Los HTPC también suelen ser bastante inseguros (bueno, al menos todos los que me he encontrado y he tenido el placer de probar).

Conclusión: Una GUI está bien en un servidor de seguridad, lo que no está bien es ejecutar otros servicios en la máquina que anulan el propósito de un servidor de seguridad discreto. Dicho esto, si toma todas las medidas adecuadas para fortalecer a Ubuntu al crear este cuadro y mantiene sus servicios de medios locales en esa máquina, debería estar bien para seguir adelante con su plan.

Otra idea: si tiene su propio enrutador (creado usted mismo, no un dispositivo), coloque sus firewalls de IPTables o UCF en esa máquina en lugar de su HTPC.

    
respondido por el Ormis 02.06.2011 - 23:56
fuente
4

Si bien las otras respuestas son buenas, parece que está buscando una respuesta más filosófica (pero práctica). Esa respuesta es la siguiente:

No es posible hacer telnet a un neumático usado. Tampoco es posible instalar un software malicioso en un neumático usado. A medida que pasa de un extremo de la escala del neumático usado al entorno de escritorio completamente funcional, su sistema se vuelve menos seguro, es decir, cuantas más bibliotecas, paquetes, etc. haya instalado, más posibilidades tendrá de instalar y funcionar el malware.

Es simplemente una cuestión de simplicidad y superficie de ataque reducida. Lo mejor es un neumático usado, pero no puedes correr nada en él, así que estás tratando de acercarte lo más posible a ese punto.

    
respondido por el Daniel Miessler 05.06.2011 - 12:21
fuente
3

Cada software adicional que instales en un sistema también aumenta la superficie de ataque de un atacante. Sin embargo, si el uso de una GUI para operar el servidor y la administración del firewall le brinda a usted, como administrador, un mayor y mejor control, diría que la GUI está aumentando su seguridad. Si una interfaz de usuario de línea de comandos es más difícil de usar y configurar correctamente, funciona en contra de su seguridad.

    
respondido por el Chris Dale 02.06.2011 - 23:02
fuente
3

XFCE probablemente no hace que su firewall sea menos seguro. Pero usarlo como un reproductor multimedia podría hacer que su firewall sea menos seguro, ya que al hacerlo aumenta la superficie de ataque y el potencial de un riesgo de seguridad de esa máquina.

Ejemplo: Supongamos que descarga una película de Internet y la reproduce con su reproductor multimedia. Si su reproductor de medios tiene una vulnerabilidad explotable, entonces su máquina se ve comprometida, su seguridad está controlada y no se puede confiar en su servidor de seguridad.

Esta es la razón por la que la gente de seguridad generalmente recomienda que sea mejor para la seguridad si su firewall está implementado por un dispositivo de un solo propósito que no se usa para ningún otro propósito.

    
respondido por el D.W. 03.06.2011 - 02:43
fuente
3

Me sorprende que nadie más haya mencionado que xfce requiere libx11-6 (consulte enlace ), libgtk, libglib, libdbus (http://www.securityfocus.com/archive/1/515796), libcairo (http://www.nessus.org/plugins/index.php?view=single&id=21151), libpango (http://www.cvedetails.com/cve/CVE-2011-0020/), y muchas otras bibliotecas.

Si bien es poco probable que estas bibliotecas comprometan directamente a sshd, tienen el potencial de abrir otros vectores de ataque, especialmente X11. Después de todo, X11 es un protocolo de red diseñado para proporcionar acceso remoto a aplicaciones .

Como lo señala nealmcb ServerGUI - Documentación de la comunidad de Ubuntu recomienda no instalar una GUI. La NSA recomienda no instalar un X11 , la base de las GUI para Linux . Construyendo servidores seguros con Linux recomienda no instalar X11. Binbert recomienda no instalar X11 . Casi todo el mundo recomienda no instalar X11.

En general, cuanto más complejo es el sistema, más difícil es probar y detectar vulnerabilidades. Eso es lo que quiere decir la gente cuando dicen "superficie de ataque aumentada". Los sistemas configurados como simples cortafuegos con lo básico han sido bien probados y, cuando se detectan vulnerabilidades, se informan y solucionan rápidamente.

Si decide instalar cualquier software basado en X11, asegúrese de que esté bien aislado de cualquier usuario remoto. Restrinja el acceso X11 a la consola solamente.

En términos de costo, no se necesita mucho para ejecutar una PC como un servidor de seguridad. Devil Linux es una distribución gratuita en vivo de CD-ROM de Linux que funciona bien en un 486 con 32 MB de RAM.

Y, por supuesto, sabe que WPA2 es vulnerable a ataques internos .

    
respondido por el this.josh 04.06.2011 - 09:30
fuente

Lea otras preguntas en las etiquetas