Little Snitch para Linux: Cortafuegos eBPF con monitoreo de procesos y bloqueo de tráfico
Little Snitch ahora está disponible para Linux, aprovechando eBPF para interceptar todas las conexiones salientes. El daemon recopila datos de tráfico vinculados directamente a procesos específicos, sin necesidad de modificar el kernel. Una interfaz web en localhost:3031 muestra la actividad en tiempo real: conexiones activas, registros históricos y volumen de tráfico. Filtra por nombre de proceso, nivel de actividad o ancho de banda para detectar rápidamente comportamientos sospechosos. Bloquea el tráfico con un solo clic, y las reglas se guardan para sesiones futuras.
Los gráficos de tráfico visualizan picos de carga y permiten aislar intervalos de tiempo para un análisis profundo. Esto es esencial para desarrolladores intermedios y senior que gestionan servidores o escritorios donde el telemetría de aplicaciones sale sin supervisión.
Reglas personalizadas y configuración de listas de bloqueo
Reglas personalizadas
Las reglas se definen mediante archivos TOML en /var/lib/littlesnitch/config/. Los archivos de sobrescritura en /var/lib/littlesnitch/overrides/ tienen prioridad, lo que permite probar cambios sin arriesgar la configuración base. Ejemplo: permitir todo el tráfico de Firefox pero bloquear conexiones salientes de una herramienta CLI específica.
Listas de bloqueo
Listas preconstruidas integradas: Hagezi, Peter Lowe, Steven Black, oisd.nl. Formatos incluyen dominio por línea, /etc/hosts y CIDR. Nota: los archivos .lsrules de macOS no son compatibles—se requiere conversión para migrar.
- Bloqueo basado en proceso: Vinculado al PID/ejecutable, no a direcciones IP.
- Control de puerto/protocolo: Filtros granulares para TCP/UDP.
- Historial y estadísticas: Rastrea bytes transferidos y frecuencia de solicitudes por dominio.
- Soporte para PWA: Instala la interfaz como aplicación independiente en Chromium o Firefox.
Concesión: eBPF limita el tamaño de caché bajo carga pesada, reduciendo la precisión en la atribución de paquetes—pero la cobertura para privacidad permanece cercana al 100%.
Arquitectura y compromisos
Los programas eBPF en el kernel envían metadatos al daemon, que agrega estadísticas y aplica filtros. A diferencia de macOS, no hay inspección profunda de paquetes—la versión de Linux se centra en metadatos de conexión (ID de proceso, puerto/dominio de destino). Bajo alta carga (miles de conexiones por segundo), los mapas eBPF pueden llenarse, causando pérdida de atribución en algunos paquetes.
Ventajas de eBPF: Transferencia de datos sin copia, bajo impacto de rendimiento, escala bien en sistemas multi-núcleo.
Limitaciones: Límites estrictos de tamaño de programa (hasta 1 MB tras JIT), sin inspección de carga útil. Los autores enfatizan: esta es una herramienta de privacidad, no una solución de defensa en profundidad contra ataques dirigidos. Para uso en producción, combínala con nftables.
Despliegue en servidor sin interfaz: Acceso vía túnel SSH (ssh -L 3031:localhost:3031) o proxy inverso nginx. Sin dependencias de GUI—el daemon funciona silenciosamente en segundo plano.
Licencias y personalización
- Módulo eBPF: GPLv2, código fuente en GitHub.
- Interfaz web: GPLv2, código abierto.
- Daemon: Propietario, gratuito para uso personal y comercial.
La configuración TOML permite automatización: gestiona reglas mediante Ansible o Chef. Valioso para desarrolladores senior que necesitan control de telemetría en pipelines CI/CD o pods Kubernetes donde los contenedores generan tráfico no regulado.
Conclusiones clave
- eBPF permite monitoreo consciente de procesos sin módulos del kernel, con bajo costo de rendimiento.
- Interfaz web + PWA para comodidad; modo sin interfaz para servidores.
- Listas de bloqueo y reglas cubren el 90% de casos de uso centrados en privacidad—pero no reemplazan la DPI.
- Totalmente gratuito, a diferencia de la versión de €59 para macOS.
- Compromiso: menor precisión bajo cargas extremas debido a las limitaciones de eBPF.
— Editorial Team
Aún no hay comentarios.