Puis-je être informé des tentatives de connexion bloquées?

9

Mon ordinateur exécute Ubuntu 10.10 et je voudrais savoir s'il existe un pare-feu qui m'informe activement lorsqu'un certain programme essaie d'accéder à Internet ou lorsqu'une tentative de connexion est bloquée sur Internet. Je me souviens que ZoneAlarm pour Windows vous alertera des tentatives bloquées mais maintenant que je suis passé à Ubuntu, je n'en suis pas si sûr. Toute ma recherche m'amène à gufw.

firewall notification-area OpenCoderX
la source
Bien que ce ne soit pas exactement la même chose que l'interception, mais si vous pouvez voir avec quelles connexions sont établies en temps réel sudo netstat -tup -W- l' -ptindicateur affichera l'application d'origine pour chaque connexion. Pour voir un rapport de toutes les connexions utilisées historiquement ntop: (1) faites sudo apt-get install ntop, démarrez le service avec sudo /etc/init.d/ntop start, puis ouvrez localhost: 3000 dans votre navigateur Web. Sous Tous les protocoles > Trafic, vous verrez une liste de toutes les connexions en cours. Malheureusement, ntop n'affichera pas quelle application a initié les connexions ..
ccpizza

Réponses:

2

Pour autant que je sache, la réponse aux deux questions est malheureusement «non».

Détails (mais je vais quand même simplifier ici):

pare-feu qui m'informe activement lorsqu'un certain programme essaie d'accéder à Internet

  • Le filtre réseau du noyau utilisé par les pare-feu ne fonctionne pas bien au niveau de l'application, il n'est donc pas utilisé à cette fin. Bien qu'il soit généralement possible de filtrer les connexions sortantes (pour tous les programmes), c'est difficile à faire, car vous ne pouvez pas bloquer les connexions au port 80 (utilisé pour http - utilisé uniquement comme exemple ici), ce qui signifie qu'une application escroc peut facilement utiliser ce port pour établir des connexions.
  • Même si cela était possible, il serait assez difficile à mettre en œuvre, car les connexions sont autorisées ou bloquées (et non "interceptées" ou "suspendues" comme par exemple ZoneAlarm), vous n'avez donc pas la possibilité d'autoriser ou d'interdire activement la demande à la volée.
  • Une option au niveau de l'application serait AppArmor(vous pouvez restreindre la connexion à Internet entre autres), mais ce n'est pas très convivial et granulaire.

informe activement lorsqu'une tentative de connexion est bloquée sur Internet

  • Il le fait si vous le configurez - par exemple, ufwpar défaut, se connecte à /var/log/kern.log. La notification via les notifications système est certainement possible, bien que je ne connaisse aucun programme de ce type (car AppArmorc'est le cas apparmor-notify).
organiser
la source
Cela semble être une explication raisonnable. Pour ceux qui veulent utiliser apparmor-notify: installez-le via apt, dans /etc/apparmor/notify.conf changez le groupe d'utilisateurs en 'adm' et ajoutez 'aa-notify -p' à vos applications de démarrage. Vous pouvez ensuite le tester en déclenchant un événement AppArmor Denied avec 'sudo tcpdump -i eth0 -n -s 0 -w / foo'
peterrus
2

Depuis votre centre logiciel, il existe une application appelée fwanalog. Il prétend qu'il analysera les événements consignés à partir d'un pare-feu basé sur iptables configuré tel qu'un gufw.

Il écrira des journaux html que vous pouvez parcourir (/ var / log / fwanalog) - les résultats sont affichés à la fois sous forme de statistiques de texte et de graphiques circulaires, etc.

Cela ne répond pas à vos rapports "actifs", mais cela vous permettra de consulter les statistiques quotidiennes / hebdomadaires / mensuelles de divers événements de connexion et de blocage actifs.

Remarque - si vous êtes derrière un routeur, vous obtiendrez probablement très peu de rapports car la plupart des routeurs bloquent activement les tentatives de connexion.

liberté de fossé
la source