Perché non dovrei eseguire altre applicazioni su un firewall?

Il codebase richiesto per eseguire un firewall è piccolo. Per esempio. spogliato il kernel di Linux, busybox, ssh e non molto altro. Non ho numeri, ma suppongo che sia un decimo delle dimensioni o inferiore a qualsiasi opzione di riproduzione di un film con interfaccia grafica con cui potresti essere felice. È possibile eseguire facilmente la gestione GUI di un firewall senza inserire una GUI sul firewall stesso: basta eseguire la GUI altrove per progettare il set di regole e caricarlo sul firewall. Oppure esegui un server Web e un software di gestione minimi e utilizza un browser come interfaccia grafica.

Il codebase più grande presenta una superficie di attacco più grande. Per esempio. un cattivo attacco a uno dei pacchetti usati nella GUI potrebbe essere usato per ottenere l'intera scatola. Molti di questi attacchi non richiedono una porta aperta. Potrebbero arrivare tramite virus in file multimediali, trojan in uno qualsiasi dei pacchetti, ecc.

Nel tuo caso potresti non preoccuparti di simili attacchi, che sicuramente sarebbero più difficili di un normale attacco open port. Ma il principio di limitare la superficie di attacco si applica per molte ragioni.

Vedi anche

• ServerGUI - Documentazione di Ubuntu della comunità per ulteriori informazioni e dettagli.
• Attacchi passivi e attivi tramite X11. Wayland è meglio?
• Secure Linux Desktop

Bene, prima dovrò fare questa domanda: chi ha detto che una GUI su un firewall è una brutta cosa?

Francamente è assurdo, a seconda della complessità del set di regole del firewall, pensare che non ci sia una GUI per il firewall (anche se nella maggior parte dei casi sarebbe costituito da un grosso client).

D'altra parte, per questa particolare situazione, è meno un problema per quanto riguarda la presenza di una GUI, ma più di un problema riguardante l'uso desiderato della macchina. Se si intende che questa macchina sia un firewall discreto (o un firewall hardware se si desidera utilizzare tale terminologia), è esattamente ciò che dovrebbe essere, discreto. L'aggiunta di qualsiasi altra funzione a quella macchina potrebbe presentare un rischio per la sicurezza. Se in effetti esegui il software di streaming multimediale sulla macchina, significa che esistono altri potenziali vettori di attacco contro il tuo firewall e lo spazio della rete privata connessa.

Dalla mia esperienza, un HTPC funzionerà con un consumo di energia trascurabile e di solito è anche piuttosto economico da costruire. Gli HTPC sono di solito piuttosto insicuri (beh, almeno tutti quelli che ho mai incontrato e ho avuto il piacere di provare).

Bottom Line: Una GUI va bene su un firewall, ciò che non va bene è l'esecuzione di altri servizi sulla macchina che annullano lo scopo di un firewall discreto. Detto questo, se prendi tutti i passaggi necessari per rendere più duro Ubuntu quando crei questa casella e mantieni i tuoi servizi multimediali locali su quella macchina, dovresti andare bene con il tuo piano.

Un altro pensiero: se hai il tuo router (creato da te stesso, non un'appliance), lancia il tuo IPTables o il firewall UCF su quella macchina invece che sul tuo HTPC.

Mentre le altre risposte sono buone, sembra che tu stia cercando una risposta più filosofica (ma pratica). Questa risposta è questa:

Non è possibile telnet su uno pneumatico usato. Inoltre, non è possibile installare un pezzo di software dannoso su uno pneumatico usato. Mentre ti sposti da un capo all'altro della scala dal pneumatico usato a un ambiente desktop completamente funzionale, il tuo sistema diventa meno sicuro, ovvero più librerie, pacchetti, ecc. Hai installato più possibilità hai di installare e utilizzare malware.

È puramente una questione di semplicità e di superficie di attacco ridotta. Una gomma usata è la migliore, ma non puoi farci niente, quindi stai cercando di avvicinarti il più possibile.

Ogni altro software installato su un sistema aumenta anche la superficie di attacco di un utente malintenzionato. Tuttavia, se l'utilizzo di una GUI per il funzionamento del server e la gestione del firewall fornisce, come amministratore, un controllo maggiore e migliore, direi che la GUI aumenta la sicurezza. Se l'interfaccia utente della riga di comando è più difficile da utilizzare e configurare correttamente, sta funzionando contro la tua sicurezza.

XFCE probabilmente non rende il tuo firewall meno sicuro. Ma utilizzarlo come lettore multimediale potrebbe facilmente rendere il firewall meno sicuro, perché così facendo aumenta la superficie di attacco e il potenziale per un compromesso di sicurezza di quella macchina.

Esempio: Supponiamo di scaricare un film da Internet e riprodurlo con il tuo lettore multimediale. Se il tuo lettore multimediale ha una vulnerabilità sfruttabile, la tua macchina è compromessa, la tua sicurezza è protetta e il tuo firewall non può essere considerato affidabile.

Questo è il motivo per cui le persone di sicurezza generalmente raccomandano che sia meglio per la sicurezza se il firewall è implementato da un dispositivo monouso che non viene utilizzato per altri scopi.

Sono sorpreso che nessun altro abbia menzionato che xfce richiede libx11-6 (vedi link ), libgtk, libglib, libdbus (http://www.securityfocus.com/archive/1/515796), libcairo (http://www.nessus.org/plugins/index.php?view=single&id=21151), libpango (http://www.cvedetails.com/cve/CVE-2011-0020/) e molte altre librerie.

Anche se è improbabile che queste librerie compromettano direttamente sshd, hanno la possibilità di aprire altri vettori di attacco, specialmente X11. Dopotutto X11 è un protocollo di rete progettato per fornire accesso remoto alle applicazioni .

Come notato da nealmcb ServerGUI - Documentazione di Ubuntu della comunità raccomanda l'installazione di una GUI. La NSA sconsiglia di installare un X11 , la base per le GUI per Linux . Costruire server sicuri con Linux consiglia di non installare X11. Binbert consiglia di non installare X11 . Quasi tutti consigliano di non installare X11.

In generale, più il sistema è complesso, più difficile è testare e verificare le vulnerabilità. Questo è ciò che le persone intendono quando dicono "superficie d'attacco aumentata". I sistemi configurati come semplici firewall con le nozioni di base sono stati ben testati e, quando vengono rilevate vulnerabilità, vengono rapidamente segnalati e indirizzati.

Se decidi di installare un qualsiasi software basato su X11, assicurati che sia ben isolato da qualsiasi utente remoto. Limita l'accesso X11 solo alla console.

In termini di costi, non ci vuole molto per eseguire un PC come firewall. Devil Linux è una distribuzione Linux CD-ROM gratuita che funziona bene su un 486 con 32 MB di RAM!

E naturalmente sai che WPA2 è vulnerabile all'attacco di informazioni privilegiate .