¿Qué configuración de firewall en una Macintosh es la más restrictiva, al tiempo que permite el uso casual de Internet?

11

No quiero que esto sea subjetivo, así que intentaré hacer los requisitos lo más claros posible.

En una Mac con Snow Leopard, ¿cómo puedo configurar los conjuntos de reglas de firewall que SÓLO permiten:

Uso de Internet a través de navegadores estándar (Safari, Chrome, Firefox), actualizaciones de software, Skype, iTunes y ftp para cargar datos en un sitio web.

No es necesario Mobile Me, iCal, libreta de direcciones, iChat, etc.

Si el acceso ftp presenta un gran agujero en el firewall, prefiero usar una PC separada para realizar la carga, pero creo que simplemente puedo abrir el puerto para eso, ¿correcto?

Básicamente, todo lo demás está bloqueado.

Un ejemplo de los conjuntos de reglas que estoy buscando es: ipv4, deny ip desde 127.0.0.0/8 a cualquier entrada, tanto para ivp4 como para ivp6.

He leído gran parte de la documentación del firewall y he buscado información en varios sitios, pero todo es muy críptico para un noob de seguridad.

    
pregunta TigerCoding 28.01.2011 - 10:10
fuente

4 respuestas

7

De acuerdo con esta tabla , la actualización del software pasa por el mismo puerto que el protocolo HTTP, por lo que solo necesitas para abrir el puerto 80. Además del puerto 80, sugeriría lo siguiente:

  • 443 - > HTTPS
  • 22 - > SSH
  • 115 - > SFTP (no utilice FTP normal si puede evitarlo. Si es así de paranoico, siga el SFTP. De lo contrario, use 20 *)
  • 587 - > SMTP autenticado (habilitar 25 si no es aplicable *)
  • 993 - > SSL IMAP (habilite 143 si no es aplicable *)
  • 995 - > SSL POP (habilitar 110 si no es aplicable *)

* Estos son los puertos para las versiones no seguras de ese mismo protocolo

Si tampoco usa Mail, puede eliminar 25, 143, 110, 587, 993 y 995 de la lista. Si no usa SSH, también puede eliminar 22.

Con respecto a iTunes:

El propio iTunes usa el puerto 80, por lo que ya está configurado. la tienda de iTunes usa SSL (es decir, 443) que ya está abierto. Airplay también pasa por 80. Los siguientes puertos también deben estar abiertos si usa alguna de esas funciones

  • 3689 - > iTunes Music Sharing
  • 8000-8999; 42000-42999 - > iTunes Radio Streams

Con respecto a Skype:

De acuerdo con un foro en Skype, Skype usa los puertos 80 o 443, dependiendo de su configuración.

Lo que probablemente no te gustará es que muchos servicios (incluidos los servicios móviles y ícicos también usan el puerto 80, por lo que no podrás bloquear todo solo con el bloqueo de puertos).

    
respondido por el Mike 28.01.2011 - 11:52
fuente
7

Vaya a comprar Little Snitch enlace por $ 30.

  

Little Snitch le informa cada vez que un programa intenta establecer una conexión de Internet saliente. Luego puede elegir permitir o denegar esta conexión, o definir una regla sobre cómo manejar intentos de conexión futuros similares. Esto evita de manera confiable que los datos privados se envíen sin su conocimiento. Little Snitch se ejecuta discretamente en segundo plano y también puede detectar actividad relacionada con la red de virus, troyanos y otros programas maliciosos

Y en tus Preferencias del Sistema | Seguridad | Firewall, asegúrese de que su Firewall esté activado, seleccione Avanzado y marque "Bloquear todas las conexiones entrantes".

Para la navegación ultra-paranoica, compre VMware Fusion ( enlace ), instale su OS de elección en una máquina virtual y usar eso para navegar. Después de una ronda de navegación en la oscuridad, puede presionar revertir para restaurar su máquina virtual a su estado virgen. También puede crear varias máquinas virtuales y usar la adecuada para las tareas en cuestión (por ejemplo, el sistema virtual A para cuando realiza actividades bancarias, el sistema virtual X para cuando realiza actividades peligrosas).

    
respondido por el Tate Hansen 28.01.2011 - 10:17
fuente
4

Considere las siguientes adiciones a su conjunto de reglas ipfw:

  1. ipfw add deny ip from any to any verrevpath en - verificar la interfaz en el que el paquete entró en el sistema coincide con el saliente interfaz para la ruta (mejor situada en la parte superior del conjunto de reglas)
  2. Registro: tan importante como el se gobiernan ellos mismos para entender qué está siendo bloqueado y por qué es sucediendo. Hay aplicaciones que puede ayudar con el análisis, hay otros temas en este tablero con recomendaciones.
  3. ipfw add check-state - además para restringir puertos / protocolo, tener ipfw solo permite conexiones que emparejar un iniciado internamente conexión.

Fuente: Página de manual de IPFW

    
respondido por el lew 31.01.2011 - 02:19
fuente
2

Suponiendo que realmente está tratando de protegerse contra alguien con los recursos para ingresar a su hogar e instalar malware en sus enrutadores domésticos, un firewall no le hará ningún bien.

Si "ellos" pueden comprometer los enrutadores de su hogar, pueden encontrar errores en Chrome, Safari, Skype y las herramientas de red que utilice y ejecutar el código en su sistema a través de esos medios.

Si realmente desea ayuda, asumiendo que es un activista de derechos humanos bajo la presión del gobierno, comience una nueva pregunta donde describa la situación real en lugar de pedir ayuda para configurar un firewall.

    
respondido por el Alex Holst 28.01.2011 - 19:20
fuente

Lea otras preguntas en las etiquetas