È sicuro mettere un Mac direttamente su Internet?

6

In passato ho sempre eseguito un router NAT tra il mio PC Windows e Internet. Mi chiedo se ho ancora bisogno di questo o se il firewall OSX è abbastanza buono da farmi mettere un Mac direttamente su Internet.

macos  mac  security  internet  firewall 
Tony Edgecombe
fonte

Risposte:

7

Anche se non mi dispiace collegare il mio Mac a nessuna rete, non ho la risposta definitiva. Tuttavia, alcune note troppo lunghe per un commento:

Il firewall integrato di OS X è un firewall per applicazioni: l'accettazione delle connessioni in entrata è garantita per applicazione, non per porta. Una volta concessa l'autorizzazione, un'applicazione potrebbe aprire qualsiasi porta piaccia, ma suppongo che non sia un problema per il software di cui ti fidi. Inoltre, si applica solo alle connessioni in entrata: tutte le connessioni in uscita sono sempre consentite (ma questo vale anche per un firewall NAT). E secondo " Mac OS X 10.5 Leopard: Informazioni sul firewall dell'applicazione " di Apple :

Tutte le applicazioni [..] che sono state firmate digitalmente da un'autorità di certificazione attendibile dal sistema [..] possono ricevere connessioni in entrata. Ogni applicazione Apple in Leopard è stata firmata da Apple e può ricevere connessioni in entrata.

In 10.6 quest'ultimo è reso più esplicito (e può essere disabilitato) come " Consenti automaticamente al software firmato di ricevere connessioni in entrata. Consente al software firmato da un'autorità di certificazione valida di fornire servizi accessibili dalla rete. ":

10.6 firewall

Pertanto, anche quando il firewall è attivo, per impostazione predefinita, ogni applicazione Apple simile a un server in esecuzione è in grado di accettare connessioni in entrata. (O forse nel 10.6 si applica anche a qualsiasi applicazione firmata?) Un bug in tale software potrebbe compromettere il tuo computer. Non so come ciò influisca su cose come Bonjour e la condivisione di file.

Se il firewall è attivo, qualsiasi software non Apple (o almeno un software non firmato) deve prima disporre dell'autorizzazione dell'utente per accettare le connessioni in entrata. Quando tale software viene aggiornato, potrebbe essere o meno necessario il tuo permesso:

Un'applicazione firmata [..] può dimostrare matematicamente che si tratta effettivamente di una nuova versione della stessa applicazione dello stesso fornitore per cui hai espresso fiducia in passato. Il risultato è la fine delle finestre di dialogo che ti chiedono di confermare una scelta di cui non hai modo ragionevole di verificare la sicurezza.

Arjan
fonte
+1 Risposta
istruttiva
5

Ovviamente si potrebbe continuare su come in teoria nulla è sicuro, mai e tutto il resto.

Ma per scopi pratici, , è generalmente abbastanza sicuro per mettere il tuo Mac direttamente su Internet. (Tutti lo fanno - beh, la maggior parte delle persone in ogni caso - ed è molto improbabile che ti succeda qualcosa di brutto.) Soprattutto se non apri servizi extra (come httpd, ecc.) Sul tuo computer.

Detto questo, fai (lascia che l'aggiornamento automatico) mantenga il tuo Mac OS X sempre aggiornato con le ultime correzioni di sicurezza e controlla che il suo firewall integrato sia abilitato .

Jonik
fonte
2
Probabilmente è una buona idea assicurarsi che il firewall sia attivato (è disabilitato per impostazione predefinita in alcune versioni di OS X).
Paul R,
Lo fanno tutti, non è assolutamente vero.
Arjan,
Bene, molte persone , qualunque cosa. Ai fini pratici "tutti". ;)
Jonik,
Probabilmente vorrai anche assicurarti che il tuo firewall, quello integrato in OSX, sia impostato in modalità invisibile.
Darren Newton,
Beh, certamente non lo farei. Ma poi, non sono nemmeno un utente Mac.
Quandary,
2

Non è mai sicuro connettere un computer a Internet ed è sempre meglio avere un router in mezzo.

Poiché la maggior parte dei router esegue embedded-Linux, è molto più sicuro averli nel mezzo.

Parlando come un utente Linux: Mac OSX ha la maggior parte delle applicazioni di FreeBSD, quindi assicurati di avere ssh e sshfs non installati o in esecuzione, se non ne hai bisogno.

E avere un firewall non è sufficiente. Assicurarsi che sia configurato correttamente.

imbarazzo
fonte
Posso chiederti: perché il downvote?
Quandary,
Mi chiedevo la stessa cosa .....?
JRobert,
Non ho effettuato il downgrade, ma direi che non è più sicuro perché esegue Linux (che è sicuro solo quanto è ben configurato comunque) ma perché è un router e questa è la sua funzione.
Ben Richards,
@ sidran32: non sono d'accordo. Un router ha bisogno di un sistema operativo e sarà sicuro come il sistema operativo, il collegamento più debole. E se quel sistema operativo fosse WindowsCE, preferirei non mettere in mezzo un router. In questo senso, il "sempre meglio" era probabilmente il motivo.
Quandary
1
Chi avrebbe mai realizzato un router da WinCE? Questo è un discorso folle. OH MIO DIO. marvell.com/company/news/pressDetail.do?releaseID=283 persone lo hanno fatto.
nycynik,
1

Considerando che non stai eseguendo qualcosa come IE6 fuori dalla scatola (a differenza di una nuova installazione di XP per esempio), dovresti andare bene.

Come sempre, è ciò che fai su Internet che alla fine influisce sulla sicurezza del tuo sistema. Se stai scaricando molti file da molte fonti e facendo clic su ogni collegamento che ti viene incontro, allora sei a rischio più elevato (ovviamente, se prendi le giuste precauzioni di sicurezza, avrai ragione)

Come hanno detto gli altri, nulla su Internet è tecnicamente sicuro al 100%. I Mac sono meno vulnerabili ... ma non invulnerabili.

Ganesh Shankar
fonte
Nota che Safari non è migliore di IE6 in termini di sicurezza. Bene, in realtà Safari è peggio ...
Quandary,
1

Ho una connessione NAT ADSL a casa e un servizio 3G per fuori casa. Mentre su 3G ho notato ssh logintentativi che normalmente non si vedrebbero dietro un firewall NAT.

Dai un'occhiata per vedere quali servizi stai eseguendo.

netstat

o

netstat -f inet


Active Internet connections
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
udp4       0      0  *.ipp                  *.*                    
udp4       0      0  172.16.250.1.kerberos  *.*                    
udp4       0      0  192.168.144.1.kerberos *.*                    
udp4       0      0  *.*                    *.*                    
udp4       0      0  localhost.ntp          *.*                    
udp4       0      0  *.ntp                  *.*                    
udp4       0      0  *.snmp                 *.*                    
udp4       0      0  *.*                    *.*                    
udp4       0      0  *.mdns                 *.*                    
udp4       0      0  *.*                    *.*                    
udp4       0      0  *.syslog               *.*                    
icm4       0      0  *.*                    *.*

Questa è una lista abbreviata di ciò che sto correndo. Puoi vedere snmpe un syslogserver che probabilmente non avresti.

La maggior parte dei servizi è in ascolto su tutte le interfacce (*.). Nel mio caso dovrei sistemare il mio snmpe elencarlo syslogsolo sulla mia rete locale.

Installa nmap http://nmap.org/dist/nmap-5.21.dmg . nmapha molti modi diversi per vedere se un servizio o una porta è in ascolto: provane alcuni sulla tua macchina, ma non su altre macchine a meno che tu non sappia cosa stai facendo (certamente non lo so).

nmap 127.0.0.1

Starting Nmap 4.85BETA6 ( http://nmap.org ) at 2010-06-17 00:09 EST
Interesting ports on localhost (127.0.0.1): 
Not shown: 960 closed ports, 32 filtered ports
PORT     STATE SERVICE
22/tcp   open  ssh
88/tcp   open  kerberos-sec
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
548/tcp  open  afp
625/tcp  open  apple-xsrvr-admin
631/tcp  open  ipp
5900/tcp open  vnc

Nmap done: 1 IP address (1 host up) scanned in 6.28 seconds

Prova anche nmapda un altro computer: dovrai installarlo anche lì. Sono disponibili versioni per Windows e Linux.

Ci sono servizi che non vuoi eseguire?

Nel mio caso, non sono sicuro del motivo per cui sto condividendo file tramite samba (139/445), quindi lo spengo. Non riesco a vedere come disattivare ipp(631). Questo è per la condivisione della stampante che è disattivata. Se vado online e il nmapmio pppdindirizzo IP, la ippporta viene chiusa. Questo è buono e corrisponde al cupsdfile di configurazione. Non ho bisogno di AFPcorrere tutto il tempo, quindi lo spengo. Non ho bisogno ssho la condivisione dello schermo è attiva, quindi lo spengo anch'io.

Ora ho solo questi in esecuzione.

88/tcp   open  kerberos-sec
625/tcp  open  apple-xsrvr-admin
631/tcp  open  ipp

Qualcuno ha affermato che la maggior parte delle persone si trova dietro un firewall NAT. Ciò è probabilmente vero se si dispone di un router, ma verificare che NAT sia attivato.

Ma su un servizio 3G sei direttamente connesso, quindi dovresti stare attento. Non sono stato, quindi questa è stata una buona domanda per farmi rivedere le mie impostazioni.

Altre cose da fare

  1. Rivedi il tuo appfirewall.logfile
  2. Se sei tecnico, prova ad aggiungere alcune ipfwregole.

Ricorda, se un servizio non è in esecuzione, nessuno può entrare. Quindi meno porte vengono aperte meglio è.

philcolbourn
fonte
0

Non è sicuro mettere nulla su Internet. Detto questo, al giorno d'oggi la maggior parte delle persone si connette a Internet dietro un router, che tende anche a implementare firewall e quant'altro, quindi potresti usare win95 senza intoppi.

Tutto dipende da cosa fai con quel computer e se stai solo navigando in Internet o stai offrendo contenuti. Non posso rispondere a qualcosa di più specifico senza ulteriori dettagli.

Grzegorz Adam Hankiewicz
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.