it-swarm-es.com

¿Qué configuraciones de firewall en una Macintosh son las más restrictivas y, al mismo tiempo, permiten el uso ocasional de Internet?

No quiero que esto sea subjetivo, así que intentaré que los requisitos sean lo más claros posible.

En una Mac con Snow Leopard, ¿cómo puedo configurar los conjuntos de reglas de firewall que permiten SOLO:

Uso de Internet a través de navegadores estándar (Safari, Chrome, Firefox), actualizaciones de software, Skype, iTunes y acceso a ftp para cargar datos en un sitio web.

No es necesario Mobile Me, iCal, libreta de direcciones, iChat, etc.

Si el acceso ftp presenta un gran agujero en el firewall, entonces prefiero usar una PC separada para hacer la carga, pero creo que puedo simplemente abrir el puerto para eso, ¿correcto?

Básicamente, todo lo demás está bloqueado.

Un ejemplo de conjuntos de reglas que estoy buscando es: ipv4, deny ip from 127.0.0.0/8 to any in, tanto para ivp4 como para ivp6.

He leído gran parte de la documentación del firewall y he buscado información en varios sitios, pero todo es muy críptico para un novato en seguridad.

11
TigerCoding

De acuerdo con esto tabla , la actualización del software pasa por el mismo puerto que el protocolo HTTP, por lo que realmente solo necesita abrir el puerto 80. Además del puerto 80, sugeriría lo siguiente:

  • 443 -> HTTPS
  • 22 -> SSH
  • 115 -> SFTP (no uses FTP normal si puedes evitarlo. Si eres tan paranoico, apégate a SFTP. De lo contrario, usa 20 *)
  • 587 -> SMTP autenticado (habilite 25 si no corresponde *)
  • 993 -> SSL IMAP (Habilite 143 si no corresponde *)
  • 995 -> SSL POP (Habilite 110 si no corresponde *)

* Estos son los puertos para las versiones no seguras de ese mismo protocolo

Si tampoco usa Mail, puede eliminar 25, 143, 110, 587, 993 y 995 de la lista. Si no usa SSH, también puede eliminar 22.

Respecto a iTunes:

iTunes mismo usa el puerto 80, por lo que ya está configurado. la tienda de iTunes usa SSL (es decir, 443) que ya está abierto Airplay también pasa por 80. Los siguientes puertos también deben estar abiertos si usa cualquiera de esas funciones

  • 3689 -> Compartir música de iTunes
  • 8000-8999; 42000-42999 -> Transmisiones de radio de iTunes

Respecto a Skype:

Según n foro en Skype, Skype usa los puertos 80 o 443, dependiendo de su configuración.

Lo que probablemente no le gustará es que muchos servicios (incluidos los servicios mobileme e ical también usan el puerto 80, por lo que no podrá bloquear todo con solo el bloqueo del puerto).

7
Mike

Ve a comprar Little Snitch http://www.obdev.at/products/littlesnitch/index.html por $ 30.

Little Snitch le informa cada vez que un programa intenta establecer una conexión a Internet saliente. A continuación, puede optar por permitir o denegar esta conexión, o definir una regla sobre cómo manejar futuros intentos de conexión similares. Esto evita de forma fiable que se envíen datos privados sin su conocimiento. Little Snitch se ejecuta discretamente en segundo plano y también puede detectar la actividad relacionada con la red de virus, troyanos y otro malware.

Y en las Preferencias de tu Sistema | Seguridad | Cortafuegos, asegúrese de que su Cortafuegos esté activado, seleccione Avanzado y marque "Bloquear todas las conexiones entrantes".

Para navegar ultraparanoico, compre VMware Fusion ( http://www.vmware.com/products/fusion/ ) , instale el sistema operativo que elija en una máquina virtual y utilícelo para navegar. Después de una ronda de navegación en la oscuridad, puede presionar ¡revertir para restaurar su máquina virtual a su estado virgen. También puede construir varias máquinas virtuales y usar la adecuada para las tareas en cuestión (por ejemplo, el sistema virtual A para cuando realiza actividades bancarias, el sistema virtual X para cuando realiza actividades viles).

7
Tate Hansen

Considere las siguientes adiciones a su conjunto de reglas ipfw:

  1. ipfw agregar deny ip de any a any not verrevpath in: verifique que la interfaz en la que el paquete ingresó al sistema coincida con la interfaz de salida para la ruta (mejor ubicada en la parte superior del conjunto de reglas)
  2. Registro: tan importante como las propias reglas para comprender qué se bloquea y por qué está sucediendo. Hay aplicaciones que pueden ayudar con el análisis, hay otros temas en este tablero con recomendaciones.
  3. ipfw add check-state: además de restringir puertos/protocolo, ipfw solo permite conexiones que coincidan con una conexión iniciada internamente.

Fuente: Página de manual de IPFW

4
lew

Suponiendo que realmente está tratando de protegerse contra alguien con los recursos para ingresar a su hogar e instalar malware en los enrutadores de su hogar, un firewall no le servirá de nada.

Si "ellos" pueden comprometer los enrutadores de su hogar, pueden encontrar errores en Chrome, Safari, Skype y cualquier herramienta de red que use y ejecutar código en su sistema a través de esos medios.

Si realmente desea ayuda, suponiendo que sea una especie de activista de derechos humanos bajo presión del gobierno, comience una nueva pregunta en la que describa la situación real en lugar de pedir ayuda para instalar un cortafuegos.

2
Alex Holst