ความปลอดภัยที่แตกต่างระหว่างไฟร์วอลล์แบบรูท (AFWall +) และแบบที่ไม่ใช่รูท (NetGuard)?

อะไรคือความแตกต่างทางเทคนิคระหว่างไฟร์วอลล์ที่ใช้รูท (เช่น AFWall +) และไฟร์วอลล์ที่ไม่ใช่ราก (เช่น NetGuard)

ซอฟต์แวร์ดังกล่าวมีผลกระทบต่อความปลอดภัยหรือไม่

ฉันได้ตรวจสอบบางส่วนในซอร์สโค้ดของ NetGuard แล้วเพื่อทำให้ฉันมีความคิด แต่ฉันคิดว่านี่อาจเป็นคำถามที่ดีและฉันสนใจที่จะรับการวิเคราะห์ของคนอื่นในเรื่องนี้

ฉันต้องการ จำกัด คำถามดังกล่าวกับคุณลักษณะทางเทคนิคหลักที่จัดทำโดยซอฟต์แวร์ดังกล่าว (เช่นชนิดของไฟร์วอลล์: ไร้รัฐหรือไร้สัญชาติมีข้อยกเว้นฮาร์ดโค้ดใด ๆ ความทนทานของรหัสที่จัดการแพ็คเก็ตที่ไม่น่าเชื่อถือ ฯลฯ ) และไม่ใช่คุณสมบัติรอง หรือคุณสมบัติต่อต้านพวกเขาอาจมี (โฆษณา, การติดตาม, เครื่องสำอาง, ... ) เว้นแต่พวกเขาจะส่งผลกระทบต่อวัตถุประสงค์หลักของซอฟต์แวร์อย่างเป็นรูปธรรม

ในคำอื่น ๆ : ไม่ได้โวยวายโปรด;)!

ในกรณีที่มีข้อ จำกัด มันอาจคุ้มค่าที่จะกล่าวถึงหากพวกเขามีการใช้งานที่เฉพาะเจาะจง (ผลของการเลือกโดยทีมพัฒนา) หรือผลของเทคโนโลยีที่ใช้ (พึ่งพาระบบที่แตกต่างกันมากเป็นไปได้ว่า ด้วยข้อ จำกัด ที่คนอื่นไม่มี)

ในฐานะผู้เขียน NetGuard ฉันมีประสบการณ์โดยตรงในสาขานี้

ข้อเสียของไฟร์วอลล์ที่ใช้ VPN ท้องถิ่นคือไม่สามารถจัดการทราฟฟิกได้ทุกชนิดเนื่องจากเคอร์เนล (Android) Linux ไม่อนุญาตให้ส่งต่อทราฟฟิกทุกประเภทผ่านการเชื่อมต่อซ็อกเก็ต ตัวอย่างคือ IPsec ซึ่งใช้สำหรับการโทร IP โดยผู้ผลิตบางราย วิธีแก้ปัญหาบางส่วน (ไม่ใช่สำหรับ IPsec) คือการใช้เซิร์ฟเวอร์ VPN ระยะไกลเพื่อส่งต่อการรับส่งข้อมูล แต่นี่คือความเป็นส่วนตัวที่ไม่เป็นที่ยอมรับสำหรับผู้คนจำนวนมากและจะมาพร้อมกับความซับซ้อนเพิ่มเติมและอาจมีการใช้แบตเตอรี่เพิ่มเติม ในทางปฏิบัติการจัดการปริมาณข้อมูล TCP และ UDP ดูเหมือนจะเพียงพอสำหรับ 99,9% ของผู้ใช้ NetGuard ตั้งแต่ Android 5 เป็นไปได้ที่จะแยกแอปพลิเคชันไม่ให้ส่งไปยัง VPN (แอปพลิเคชั่นที่ใช้งาน VPN จะตัดสินใจว่าจำเป็นหรือไม่บังคับ) ซึ่งสามารถใช้เพื่อแก้ไขปัญหาที่เกิดจากการไม่สามารถส่งต่อการรับส่งข้อมูลทั้งหมด อีกตัวเลือกหนึ่งคือยกเว้นที่อยู่ (ช่วง) ซึ่ง NetGuard ใช้เพื่อ 'แก้ไข' การโทร IP สำหรับผู้ผลิตบางราย

ข้อเสียอีกประการหนึ่งคือการส่งต่อการรับส่งข้อมูลจะเพิ่มการใช้แบตเตอรี่ในอุปกรณ์มือถือเนื่องจากเกี่ยวข้องกับการประมวลผลบางอย่างเนื่องจากแพ็กเก็ตจะต้องตรวจสอบและส่งต่อ การใช้ iptables ซึ่งรวมอยู่ในเคอร์เนล Linux นั้นมีประสิทธิภาพมากขึ้นทำให้ใช้งานแบตเตอรี่ได้ง่ายขึ้น

โดยทั่วไปดูเหมือนว่า Android จะกำหนดเส้นทางการรับส่งข้อมูลทั้งหมดไปยัง VPN แม้แต่การรับส่งข้อมูลของแอปพลิเคชันระบบและส่วนประกอบ แต่ผู้ผลิตสามารถตัดสินใจที่จะยกเว้นการรับส่งข้อมูลบางประเภทลดความปลอดภัยที่สามารถทำได้โดยไฟร์วอลล์ที่ใช้ VPN

NetGuard ไม่ได้วิเคราะห์ข้อมูลนั้นเองยกเว้นการร้องขอ DNS เพื่อให้มีการบล็อกโฆษณา แต่ถ้าเป็นเช่นนั้นจะทำให้เกิดข้อกังวลเกี่ยวกับข้อมูลส่วนบุคคล อย่างไรก็ตามในทางเทคนิคการเห็นนี้เป็นข้อได้เปรียบของไฟร์วอลล์ที่ใช้ VPN (ถ้าคุณยังต้องการเรียกมันอย่างนั้น) เพราะมันจะช่วยให้การตรวจสอบกระแสข้อมูลของรัฐเต็มรูปแบบเกินกว่าสิ่งที่เป็นไปได้ด้วย iptables ซึ่งน่าจะเป็นค่าใช้จ่ายในการใช้งานแบตเตอรี่เนื่องจากการดำเนินการที่เกี่ยวข้อง โปรดทราบว่าจะต้องมีการโจมตี MiT ในพื้นที่เพื่อตรวจสอบสตรีม SSL

ข้อเสียเปรียบอีกประการหนึ่งคือ Android ไม่อนุญาตให้ผูกมัด VPN ดังนั้นการใช้ VPN ภายในเพื่อใช้ไฟร์วอลล์จะป้องกันการใช้บริการ VPN จริงเว้นแต่ว่าไฟร์วอลล์จะให้บริการดังกล่าวเองหรือส่งต่อหรือมอบอำนาจให้กับ VPN อื่น ใบสมัคร

ท้ายสุดไฟร์วอลล์ที่ใช้ VPN ขึ้นอยู่กับแอปพลิเคชั่นที่ให้บริการไฟร์วอลล์ VPN เพื่อให้ทำงานได้ สิ่งนี้ดูเหมือนว่าจะเล็กน้อย แต่ไม่ใช่เพราะผู้ผลิต / รุ่น Android บางรุ่นกำลังฆ่ากระบวนการในสภาวะที่หน่วยความจำเหลือน้อยเกินไป (IMHO มันเป็นข้อผิดพลาดถ้า Android ฆ่าแอปพลิเคชันที่ให้บริการ VPN)

ในที่สุดการรูทอุปกรณ์ Android ก็เริ่มยากขึ้นเรื่อย ๆ ทำให้ไฟร์วอลล์ที่ใช้ VPN เป็นทางเลือกเดียวสำหรับหลาย ๆ คน ฉันไม่ได้คาดหวังว่า Google จะเพิ่มไฟร์วอลล์ที่ใช้ระบบได้ในเร็ว ๆ นี้เนื่องจากอาจส่งผลกระทบต่อรายได้โฆษณาของพวกเขาอย่างมีนัยสำคัญ iOS มีระบบไฟร์วอลล์

แจ้งให้เราทราบหากมีคำถามใด ๆ และฉันจะพยายามตอบพวกเขา

สำหรับความรู้ของฉันมันเป็นวิธีการ:

ไฟร์วอลล์ที่รูทใช้IPFilter / iptablesเพื่อควบคุมการไหล สิ่งนี้จะใช้กับแอพทั้งหมดโดยอัตโนมัติไม่ว่าจะมีการเชื่อมต่อเครือข่ายให้ใช้งานได้หรือไม่ไม่ว่าการกำหนดเส้นทางจะทำงานได้อย่างสมบูรณ์หรือไม่เลยหรือว่าคุณอยู่ใน "สภาพแวดล้อมที่ปิด" (อินทราเน็ต) โดยไม่ต้องเข้าถึง "(อินเทอร์เน็ต) แอพที่คุณถูกบล็อกถูกบล็อก ในระดับที่ค่อนข้างต่ำ

ไฟร์วอลล์ที่ไม่ใช่รูทไม่สามารถเข้าถึงระดับต่ำได้ดังนั้นจึงต้องใช้วิธีแก้ไข ในกรณีส่วนใหญ่นี้จะทำใช้ Android ของVPNสิ่งอำนวยความสะดวก ทั้งนี้ขึ้นอยู่กับการใช้งานสิ่งนี้สามารถใช้งานได้บนอุปกรณ์อย่างสมบูรณ์ (เช่นอีกครั้งโดยไม่คำนึงว่าการเชื่อมต่อเครือข่ายใดบ้างที่มี) หรือผ่าน "บริการภายนอก" (เชื่อมต่อคุณกับ VPN ของผู้ให้บริการแอป) ในกรณีหลังสิ่งต่าง ๆ แตกสลายทันทีที่บริการหยุดให้บริการ - ข้อเท็จจริงที่คุณอาจสังเกตเห็นหรือไม่ ไม่ว่าในกรณีใดฉันไม่แน่ใจว่าแอปทั้งหมดให้เกียรติ VPN หรือไม่ ¹ความจริงที่น่ารังเกียจอีกอย่างหนึ่งของ VPN ที่ฉันได้อ่านคือการแจ้งเตือนถาวรที่น่ารำคาญมาพร้อมกับพูดว่า"เครือข่ายของคุณอาจถูกตรวจสอบ"- แต่ AFAIK ที่ควรเปิดใช้งานหากแอปที่เป็นปัญหาต้องมีใบรับรองของตัวเองติดตั้ง ²

คำตัดสิน:ฉันจะไว้วางใจโซลูชันรูตแบบอิงเป็นการส่วนตัวมากขึ้น แต่ที่รากไม่ได้เป็นตัวเลือกในการแก้ปัญหาที่ไม่ใช่รากควรจะเกือบจะดี ในกรณีนี้คำแนะนำของฉันจะนำไปสู่โซลูชันโอเพนซอร์ซเช่นNetGuard (นักพัฒนาซอฟต์แวร์ได้สร้างXprivacyและเชื่อถือได้ดี) การพูดที่: สำหรับรายละเอียดเพิ่มเติมดูที่การแนะนำของ XDA NetGuard ,ซึ่งจะอธิบายพื้นหลังที่มีรายละเอียดบางอย่างมากขึ้น

¹ _{ฉันไม่คุ้นเคยกับรายละเอียดทางเทคนิคที่อยู่เบื้องหลังการใช้ VPN ของ Android แต่การอ้างถึง WhiteWinterWolf (ดูความคิดเห็นด้านล่าง)มันขึ้นอยู่กับระบบฐาน Android ที่จะบังคับใช้สิ่งนี้ไม่มีเหตุผลที่จะคิดว่ามันไม่ถูกต้อง}

² _{อีกครั้ง quoting WhiteWinterWolf: API VPNใช้โดย NetGuard ช่วยให้ข้อมูลทั้งหมดถูกขัดขวางโดยการประยุกต์ใช้ unprivileged นี้เป็นสิ่งที่ Android ได้อย่างมีประสิทธิภาพพิจารณาว่าเป็น "การตรวจสอบ" มันมีความสัมพันธ์กับใบรับรองใด ๆ และคำเตือนนี้เป็นผลมาหลีกเลี่ยงไม่ได้และที่คาดหวังของ ใช้ API นี้}

1. นอกเหนือจากฉันทามติทั่วไปว่าการรักษาความปลอดภัยที่แท้จริงอยู่นอกหน้าต่างสำหรับอุปกรณ์ที่รูทและแน่นอนขึ้นอยู่กับผู้ใช้ AFWall + เสนอวิธีการระดับเคอร์เนลในการกรองทราฟฟิกขณะที่ NetGuard ใช้การเข้ารหัส ฉันคิดว่าความสามารถในการทำงานในฐานะผู้ดูแลระบบ Android ด้วยโดยไม่จำเป็นต้องอยู่ในเบื้องหน้าเป็นสิ่งสำคัญ ...
2. AFWall + เลือกใช้สคริปต์เริ่มต้นระดับระบบเพื่อป้องกันการรั่วไหลของข้อมูลในช่วงเวลาบูต (และปิดด้วยฉันเชื่อว่า)
3. ถ้าใช้มันก็มีปลั๊กอิน tasker ในตัวที่ให้ความสามารถในการสลับโปรไฟล์อัตโนมัติเมื่อตรวจพบการเปลี่ยนแปลงการเชื่อมต่อ (ฉันชอบอันนี้)
4. iptables บน Linux ซึ่งตรงข้ามกับวิธี VPN ที่ใช้โดย Netguard
5. ฉันไม่เห็นตัวเลือกใด ๆ ในการใช้รหัสผ่านเพื่อป้องกันการตั้งค่าของแอพใน Netguard แต่ฉันไม่เคยใช้คุณสมบัตินี้ใน AFWall + ดังนั้น ...

ฉันคิดว่าคุณสมบัติที่สำคัญที่ควรทราบเกี่ยวกับ Netguard นั้นคือความสามารถในการกรองที่อยู่เฉพาะตามแต่ละแอป นี่เป็นตัวเลือกการชำระเงิน

ฉันไม่สามารถพูดได้ว่าอิงตามใบรับรองกับ iptables ซึ่งน่าจะขึ้นอยู่กับเคอร์เนลและเวอร์ชั่น Android ของคุณสำหรับ iptables และสำหรับ NetGuard อัลกอริทึมที่ใช้ในการเข้ารหัสข้อมูลไม่ว่าจะถูกบันทึกไว้หรือไม่และเก็บไว้ที่ไหน คำตอบของฉันอาจไม่เป็นเชิงเทคนิคเท่ากับสิ่งที่คุณกำลังมองหาและผู้ใช้ AFWall + (รุ่นบริจาค) เป็นเวลานานฉันก็มีอคติอย่างแน่นอน แต่ผมไม่ทราบว่านักพัฒนาของ NetGuard ยังแข็งขันรักษา XPrivacy เป็นอย่างมากที่รู้จักกันดี / ที่เชื่อถือได้และมีประสิทธิภาพผู้จัดการความเป็นส่วนตัวของ Android AFWall + ยังไม่ถูกทอดทิ้ง แต่แน่นอนว่ายังไม่ได้รับการอัปเดตเมื่อเร็ว ๆ นี้อย่างที่ NetGuard มี พวกเขาใช้วิธีการต่าง ๆ ในการรักษาการควบคุมปริมาณการใช้งาน แต่ท้ายที่สุดฉันคิดว่าส่วนใหญ่ขึ้นอยู่กับผู้ใช้ว่าอุปกรณ์ส่วนใดของพวกเขาปลอดภัย