App x 2
- May 19, 2017
- 0
Ken je nog die firewalls onder Windows, die je waarschuwden wanneer een applicatie verbinding probeerde te maken met het internet? In Linux Mint heb je zo’n firewall meestal niet nodig, maar ze bestaan wel. We hebben er twee getest: Douane en LPFW
Met al die spyware, adware en andere malware onder Windows is een firewall voor uitgaande netwerkverbindingen geen overbodige luxe. In Linux speelt dat probleem veel minder, dus er wordt zelden een firewall voor uitgaande verbindingen opgezet. Sterker nog, op de meeste desktop-installaties is helemaal geen firewall actief. Inkomende verbindingen vanaf het internet houdt je router normaal gesproken tegen en verbindingen vanaf je lokaal netwerk zijn hopelijk ook wel te vertrouwen. Wil je om één of andere reden tóch in het oog houden welke applicaties netwerkverbindingen proberen op te zetten naar het internet? Dan zul je in Linux Mint tevergeefs zoeken naar die optie. Zelfs iptables (de onderliggende commandline tool voor alle firewall-applicaties) bevat geen eenvoudige manier om dat te doen. We zijn daarom maar op zoek gegaan naar applicatie-firewalls voor Linux en hebben er twee gevonden. Beide firewalls zijn trouwens niet enkel actief voor uitgaande, maar ook voor inkomende verbindingen. Helaas zijn beide applicaties nog behoorlijk nieuw. Je kunt ze dus (nog) niet via je package manager installeren.
Douane
De installatie van Douane (http://bit.ly/1KZ6x8u) is redelijk omslachtig, maar wel goed gedocumenteerd. Installeer om te beginnen de benodigde dependancies, zoals uitgelegd op http://bit.ly/1F96moB. Installeer ook het pakket ‘git’, indien dit nog niet aanwezig is op jouw systeem. Vervolgens start je het compilatieproces volgens de instructies op http://bit.ly/1iGdfnD. Douane bestaat uit maar liefst vier componenten:
-
een kernel-module om het netwerkverkeer te onderscheppen;
-
een daemon, die onthoudt welk netwerkverkeer je al dan niet hebt toegelaten;
-
een dialoogvenster om je te vragen hoe nieuwe netwerkverbindingen behandeld moeten worden;
-
een configuratievenster om bestaande firewall-regels te bekijken en eventueel te verwijderen.
Na de compilatie moet je nog enkele commando’s uitvoeren om de installatie te voltooien. In de documentatie gebruikt men bijvoorbeeld het systemctl-commando, maar dat is niet beschikbaar in Linux Mint. (Linux Mint gebruikt immers nog geen systemd, waarvan systemctl deel uitmaakt.) Om de daemon meteen (en ook bij elke volgende boot) te starten, gebruik je de commando’s uit afbeelding 1.
**********************
En het dialoogvenster start je met volgend commando:
*** LISTING ***
/opt/douane/bin/douane-dialog &
*** EINDE LISTING ***
Voeg tenslotte een nieuw item toe onder ‘Menu’ > ‘Systeeminstellingen’ > ‘Voorkeuren’ > ‘Opstarttoepassingen’ om douane-dialog automatisch te starten bij het inloggen in Linux Mint. Start nu een applicatie op, die een internetverbinding wil openen, zoals Firefox of Pidgin. Je krijgt dan een venster te zien, zoals in afbeelding 2. Klik je hier op “Allow” of “Deny“, dan onthoudt Douane jouw keuze en kan die applicatie vanaf nu al dan niet verbinding maken het internet. Wil je de lijst van applicaties achteraf opvragen, waarvoor je al een firewall-regel had ingesteld? Dat kan met het commando “douane-configurator“. In het tabblad “Rules” zie je de verschillende applicaties en hun status (allowed of disallowed). Regels aanpassen kan helaas niet. Wil je een toegelaten applicatie blokkeren of omgekeerd? Verwijder dan de regel via een rechtermuisklik > Delete en start de applicatie in kwestie opnieuw op om een nieuwe regel toe te voegen.
afb2.png: Douane vraagt voor elke applicatie toestemming alvorens een netwerkverbinding te openen
********************
LPFW
De tweede firewall is LPFW (http://bit.ly/1gCTc7y). Wil je LPFW testen op dezelfde machine als Douane? Schakel dan eerst Douane volledig uit, want beide firewalls kunnen nooit tegelijkertijd actief zijn! Dat doe je met het volgende commando:
*** LISTING ***
sudo service douane stop; sudo update-rc.d douane disable; pkill -f douane-dialog
*** EINDE LISTING ***
Vergeet ook niet om douane-dialog bij de opstarttoepassingen uit te schakelen. Ook LPFW moet je zelf nog compileren. De instructies zijn gelukkig iets eenvoudiger dan bij Douane. Gebruik de commando’s uit afbeelding 3 om LPFW na compilatie op je systeem te installeren en in te schakelen. Voeg tenslotte ook volgende regel toe aan /etc/rc.local, nét boven “exit 0“:
*** LISTING ***
/usr/local/bin/lpfw &
*** EINDE LISTING ***
Ook LPFW moet je manueel installeren en starten
***************
Start tenslotte LPFW’s grafische interface op met het commando:
*** LISTING ***
python /opt/lpfw/gui.py &
*** EINDE LISTING ***
Ook hiervoor is het het beste om een nieuw item aan te maken in je opstarttoepassingen. Zonder de grafische interface krijg je immers geen pop-ups te zien voor nieuwe verbindingspogingen en kun je dus niet meer op het internet. Wat meteen opvalt aan LPFW is dat het meer informatie verschaft dan Douane. Vergelijk even de waarschuwing van Douane uit afbeelding 2 met die van LPFW uit afbeelding 4. Douane vertelt je eigenlijk alleen maar dat een bepaalde applicatie een netwerkverbinding wilt openen, maar LPFW toont je meteen ook naar welk IP-adres/domein. Dat is uiteraard erg nuttige informatie om te beslissen of je de verbinding al dan niet wilt toestaan. Bovendien kun je in LPFW een verbinding ook gewoon éénmalig toestaan of weigeren, met de optie om je keuze te onthouden voor de toekomst. Douane biedt deze optie niet, want daar geldt je keuze meteen voor alle toekomstige verbindingspogingen, totdat je de firewall-regel verwijdert.
afb4.png: LPFW’s pop-up vensters geven meer informatie dan die van Douane
**********************
Firewall-regels
Ook LPFW’s overzicht van firewall-regels lijkt op het eerste zicht uitgebreider dan dat van Douane. Naast elke regel staan immers nog enkele kolommen met statistieken van het aantal toegelaten of geblokkeerde pakketten. Tijdens onze test bleven die kolommen echter leeg. Bovendien kun je de bestaande regels enkel verwijderen en dus niet aanpassen. Uiteindelijk is LPFW’s configuratietool dus nauwelijks functioneler dan die van Douane. Tijdens onze test kwamen we echter nog een tweede probleem tegen. LPFW’s grafische interface is normaal toegankelijk via een icoontje in de system tray rechtsonder, naast de klok. Maar wanneer we LPFW bij het inloggen lieten opstarten, ontbrak dat icoontje. Zodra we LPFW’s venster sloten, kwamen we dus niet meer bij een overzicht van firewall-regels. Intussen kregen we wel nog pop-up vensters te zien voor nieuwe verbindingen. De firewall bleef dus gelukkig werken. De manier om de grafische interface te openen in dat geval? Het proces gui.py killen via de commandline en het daarna opnieuw opstarten!
Niet perfect
Anderzijds is ook Douane niet verlost van bugs. Soms leek het pop-up venster om een nieuwe verbinding toe te staan gewoon vast te hangen, wat erg vervelend was. Een laatste euvel waar beide applicaties aan lijden is dat de pop-up meestal getoond wordt nog voor de applicatie volledig gestart is. Let je even niet op, dan staat het applicatievenster intussen boven de pop-up en duurt het even, voordat je doorhebt dat je firewall op jouw input wacht. Maar na enige tijd krijg je wellicht niet zo vaak meer die pop-ups te zien, aangezien de meeste applicaties dan al hun eigen firewall-regels hebben.
Ook de installatieprocedure van beide apps is voor verbetering vatbaar. Er zijn nog iets te veel manuele stappen nodig om de installatie te voltooien. Bij gebrek aan init-script kun je LPFW zelfs niet eenvoudig stoppen als je de firewall even wilt uitschakelen. We hopen alleszins dat beide firewalls nog verder ontwikkeld worden en ook in de repositories van Linux Mint terechtkomen. Ze bieden immers een functionaliteit aan waarvoor momenteel weinig alternatieven bestaan. Moeten we één van de twee apps aanraden, dan kiezen we toch voor LPFW. Vooral de mogelijkheid om een verbinding slechts eenmaal te blokkeren of toe te staan én het feit dat je het IP-adres te zien krijgt zijn twee pluspunten in vergelijking met Douane.