Вашему Mac действительно нужен брандмауэр? Что тебе нужно знать

1 min


Вам нужен брандмауэр на вашем Mac? Ну да и нет.

Скорее всего, ваш компьютер находится за брандмауэром, который является частью вашего маршрутизатора, поэтому отключение брандмауэра macOS упрощает настройку соединений с другими устройствами Apple. Но если вы используете ноутбук и часто заходите в ненадежные сети, вам следует включить брандмауэр.

MacOS также включает в себя набор общих сетевых служб для удаленного доступа к вашему контенту. Если вы оставите эти службы включенными или будете использовать сторонние приложения, это может сделать ваш Mac уязвимым для сетевых атак. Мы покажем вам, как настроить брандмауэр и когда вам нужно его использовать.

Настройка брандмауэра вашего Mac

Важность брандмауэра как части стратегии безопасности нельзя недооценивать. Мы уже подробно обсуждали, почему вы должны использовать брандмауэр

,

В случае с macOS существует два компонента программного брандмауэра.

Брандмауэр прикладного уровня (ALF)

Этот компонент брандмауэра разрешит или запретит доступ приложению для установления связи по сети. Он не основан на используемых портах. Встроенный брандмауэр MacOS предлагает это, и по своей конструкции он прост и интуитивно понятен. Для каждого приложения вы можете указать, разрешать или запрещать входящие подключения.

Чтобы включить брандмауэр на вашем Mac, откройте Системные настройки> Безопасность и конфиденциальность> Брандмауэр, Нажмите значок замка в левом нижнем углу окна, введите пароль администратора и нажмите разблокировка,

Если окно еще не говорит Брандмауэр: включеннажмите на Включить брандмауэр кнопка. Загорается зеленый кружок, и ваш Mac будет разрешать входящий трафик только для установленных соединений, подписанного программного обеспечения и включенных служб. Позже вы можете отключить брандмауэр вашего Mac, используя соответствующую кнопку.

включить брандмауэр в настройках системы

Пакетный фильтр (PF) Firewall

Этот компонент брандмауэра встроен глубоко в ядро ​​операционной системы. PF это Пакетный фильтр OpenBSD, Его основная функция заключается в фильтрации сетевых пакетов путем сопоставления свойств отдельных пакетов (и построенных из них сетевых подключений) с критериями фильтрации, определенными в наборе правил.

С помощью брандмауэра PF вы можете контролировать сетевой трафик практически на основе любого пакета или типа соединения. Это включает в себя адрес источника и получателя, интерфейс, протоколы и порты. Основываясь на этих критериях, вы можете позволить пакету проходить, блокировать его и инициировать события, которые могут обрабатывать другие части операционной системы.

Брандмауэр PF вступил в силу на macOS, начиная с Mac OS X 10.7 Lion. Хотя ALF прост и интуитивно понятен в использовании, настройка брандмауэра PF требует глубоких знаний синтаксиса, логики и конфигурации сети. Вы должны отредактировать файлы конфигурации вручную, и мониторинг фильтра пакетов полностью выполняется из командной строки.

Настройте параметры Apple Firewall

MacOS включает в себя множество встроенных сервисов для совместного использования файлов, принтеров, удаленного доступа к ресурсам и многого другого. Чтобы включить службу, перейдите к Системные настройки> Общий доступ и поставьте галочку рядом с каждым сервисом, который вы хотите использовать.

Поскольку брандмауэр работает для каждого отдельного приложения, вы увидите эти службы в списке по имени, а не по номеру порта. Например, вы увидите Обмен файлами на панели вместо порта 548.

панель настроек системы обмена

Чтобы настроить брандмауэр, вернитесь к Межсетевой экран панель и нажмите Параметры брандмауэра кнопка. Это покажет больше настроек брандмауэра. Использовать плюс и Минус кнопки для добавления или удаления приложений по мере необходимости. Вы также можете проверить некоторые дополнительные параметры ниже.

Любые услуги, которые вы проверили в Sharing Панель, как указано выше, автоматически появится в списке разрешенных подключений. Но если вы отключите какие-либо службы, они больше не будут отображаться на панели параметров брандмауэра.

окно настроек брандмауэра

Когда любое стороннее приложение начинает прослушивать входящие соединения, вы увидите сообщение с вопросом «Хотите ли вы приложение»?[App]”Принимать входящие сетевые подключения?” щелчок Позволять или отказываться от изменить настройки брандмауэра. Приложения, которым вы разрешаете доступ, появятся в списке.

принять или отклонить диалоговое окно подключения

Должен ли исходящий брандмауэр быть включен или выключен?

Встроенный межсетевой экран дает вам возможность контролировать и блокировать входящие соединения. Однако вы также можете отслеживать исходящие соединения. Как обычный пользователь может использовать данные исходящего трафика? Давайте проиллюстрируем это некоторыми примерами.

  1. Большинство приложений, которые вы используете на своем Mac, имеют видимый интерфейс и постоянно обмениваются данными между вашей машиной и серверами, расположенными в других местах. Но многие процессы, работающие в фоновом режиме, также отправляют и получают данные.
    1. Взгляните на все процессы в Монитор активности> Сеть Вкладка. Как вы можете быть уверены, что все эти связи подлинные?
  2. Приложения постоянно участвуют в мероприятиях: приложение электронной почты загружает новые сообщения, приложения периодически проверяют наличие обновлений, а Dropbox синхронизирует вновь измененные файлы. Эти действия хороши, но если вы загружаете вредоносное приложение, которое тайно регистрирует ваше нажатие клавиши и отправляет конфиденциальные данные злоумышленнику, это проблема.
  3. Премиум-приложения обычно «звонят домой», чтобы проверить данные вашей лицензии, но некоторые разработчики могут собирать конфиденциальную личную информацию без вашего согласия. Эти приложения могут также прослушивать или транслировать по вашей сети, копировать сведения о конфигурации вашего Mac и отслеживать, как вы используете конкретное приложение.

Из этих примеров видно, что двусторонний межсетевой экран обеспечивает защиту как от входящего, так и от исходящего трафика. Они могут помочь определить активность вредоносного ПО (если оно установлено и запущено), но они меньше заботятся о безопасности, чем о конфиденциальности.

Сторонние брандмауэры для Mac

Многие сторонние приложения брандмауэра обеспечивают контроль как входящих, так и исходящих соединений. Мы обсудим несколько популярных ниже.

LuLu

диалоговое окно оповещения приложения lulu

LuLu – это бесплатный брандмауэр с открытым исходным кодом, который предназначен для блокировки исходящего трафика, если он явно не одобрен пользователем. После установки он будет уведомлять вас о новых или несанкционированных попытках создать исходящее сетевое соединение. Нажмите на Позволять или блок кнопка для обработки соединения.

В окне предупреждения отображается значок процесса и статус подписи кода приложения. Встроенная интеграция VirusTotal поможет вам проверить, является ли приложение вредоносным или нет. Наряду с этим, вы можете увидеть иерархию процесса (это поможет вам понять основной процесс виновника), детали процесса и многое другое.

Скачать: LuLu (Свободно)

Радио Тишина

радио молчание Mac приложение

Radio Silence – это самое простое приложение брандмауэра для вашего Mac. После установки приложение автоматически запускается в фоновом режиме без значка строки меню или других визуальных индикаторов. Перейдите к Межсетевой экран вкладку и нажмите Блокировать приложение кнопка. Как только вы добавите приложение в черный список, оно больше не будет подключаться через Интернет.

Поскольку вы добавляете эти приложения вручную, вы не увидите раздражающих всплывающих окон. Сетевой монитор Вкладка предоставляет вам в режиме реального времени данные для конкретного процесса или приложения. Вы можете найти скрытых помощников, процессы в памяти, демоны, службы XPC, номера портов и IP-адреса хоста. Хотя приложение поставляется за небольшую плату, вы можете попробовать его перед покупкой.

Скачать: Радио Тишина ($ 9, бесплатная пробная версия доступна)

Маленькая снитч

маленький стукач сетевой монитор

Little Snitch – это основанный на хосте брандмауэр для Mac. Приложение предоставляет подробные отчеты о процессах, исходящих и входящих подключений, портов и протоколов. Он также показывает полную историю трафика вплоть до интервала времени в одну минуту.

По умолчанию Бесшумный режим Эта функция разрешает любой доступ к сети, не запрещенный правилом. Поскольку вы ничего не отрицаете, у вас будет время изучить все тонкости приложения. За кулисами приложение записывает каждое соединение. С этого момента вы можете начать создавать правила.

Сетевой монитор показывает в реальном времени глобальную карту активных соединений вашей системы с IP-адресами или вероятными точками по всему миру. Левая панель отображает список приложений, отправляющих и получающих данные, в то время как правая панель дает вам подробную сводку.

Автоматическое переключение профилей Функция позволяет создавать профили фильтрации на основе сети. Вы можете создавать отдельные профили для дома, работы, кафе и многое другое. Есть много других функций, хотя программное обеспечение не дешево. Однако для энтузиастов Little Snitch – это жесткий брандмауэр.

Скачать: Маленькая снитч ($ 45, бесплатная пробная версия доступна)

Murus

приложение брандмауэра murus pf

Murus – это графический интерфейс для брандмауэра PF. Он обладает интуитивно понятным интерфейсом и позволяет настраивать приложение с помощью встроенных пресетов. Он также дает вам редактор наборов правил для создания и управления правилами. Вы можете создавать сложные правила с расширенными опциями, такими как стук портов, учет и многое другое.

Murus Lite – это базовый брандмауэр с возможностями только входящей фильтрации и ведения журнала. За 10 долларов вы получите возможности исходящей фильтрации, пользовательские правила, стук портов, функции, связанные с настройкой, и многое другое.

Скачать: Murus (Бесплатные, премиум версии доступны)

Слоистая защита предлагает лучшую защиту

Брандмауэр не является волшебным решением таких проблем, как вредоносные программы и спам. Но его важность может варьироваться в разных случаях использования. Для обычного пользователя встроенного межсетевого экрана вместе с Little Snitch более чем достаточно. Если вы работаете в бизнесе, использующем все компьютеры Mac, тогда имеет смысл использовать другой уровень защиты брандмауэром.

Комбинация брандмауэра ALF и PF может хорошо работать без каких-либо серьезных проблем. Однако их подход к сетевой фильтрации отличается и охватывает разные уровни сетевого стека. То же самое относится и к сторонним приложениям брандмауэра. Каждый сторонний ALF может работать с брандмауэром PF.

Помните, что защита брандмауэром является лишь частью стратегии безопасности. Знайте, как избежать заражения вашего Mac вредоносным ПО

и ознакомьтесь с другими советами по безопасности macOS, чтобы повысить уровень защиты.


0 Comments

Добавить комментарий