Нужен ли вашему Mac брандмауэр? Что нужно знать
Mac

Нужен ли вашему Mac брандмауэр? Что нужно знать

Нужен ли вам брандмауэр на вашем Mac? Вот все, что вам нужно знать, включая то, как включать и выключать брандмауэр на Mac

Нужен ли вам брандмауэр на вашем Mac? И да, и нет

Скорее всего, ваш компьютер находится за брандмауэром, который является частью вашего маршрутизатора, поэтому выключенный брандмауэр macOS упрощает настройку соединений с другими устройствами Apple. Но если вы пользуетесь ноутбуком и часто выходите в недоверенные сети, вам следует включить брандмауэр

macOS также включает ряд общих сетевых служб для удаленного доступа к содержимому. Если вы держите эти службы включенными или используете сторонние приложения, это может сделать ваш Mac уязвимым для сетевой атаки. Мы расскажем вам, как настроить брандмауэр и когда его нужно использовать

Настройка брандмауэра вашего Mac

Важность брандмауэра как части стратегии безопасности нельзя недооценивать. Мы уже подробно обсуждали, почему вам следует использовать брандмауэр

В случае macOS есть два компонента программного брандмауэра

Межсетевой экран прикладного уровня (ALF)

Этот компонент брандмауэра разрешает или запрещает доступ приложениям для установления связи по сети. Он не основан на используемых портах. Встроенный брандмауэр macOS предлагает это, и по своей конструкции он прост и интуитивно понятен. Для каждого приложения можно указать, разрешать или блокировать входящие соединения

Чтобы включить брандмауэр на вашем Mac, откройте System Preferences > Security & Privacy > Firewall. Нажмите на значок замка в левом нижнем углу окна, введите пароль администратора и нажмите Разблокировать

Если в окне еще не написано Брандмауэр: включен , нажмите кнопку Включить брандмауэр. Загорится зеленый круг, и ваш Mac будет пропускать входящий трафик только для установленных соединений, подписанных программ и включенных служб. Позже вы можете отключить брандмауэр вашего Mac с помощью соответствующей кнопки

Брандмауэр Packet Filter (PF)

Этот компонент брандмауэра встроен глубоко в ядро операционной системы. PF – это пакетный фильтр OpenBSD. Его основная функция – фильтрация сетевых пакетов путем сопоставления свойств отдельных пакетов (и построенных на их основе сетевых соединений) с критериями фильтрации, определенными в наборе правил

С помощью брандмауэра PF вы можете контролировать сетевой трафик на основе практически любого типа пакетов или соединений. Сюда входят адреса источника и назначения, интерфейс, протоколы и порты. Основываясь на этих критериях, вы можете пропустить пакет, заблокировать его и вызвать события, которые могут быть обработаны другими частями операционной системы

Брандмауэр PF начал действовать в macOS начиная с Mac OS X 10. 7 Lion. В то время как ALF прост и интуитивно понятен в использовании, настройка брандмауэра PF требует глубоких знаний синтаксиса, логики и конфигурации сети. Вы должны редактировать конфигурационные файлы вручную, а контроль пакетного фильтра полностью осуществляется из командной строки

Настройка параметров брандмауэра Apple

macOS включает множество встроенных служб для совместного использования файлов, принтеров, удаленного доступа к ресурсам и т. д. Чтобы включить службу, перейдите в раздел System Preferences > Sharing и установите флажок рядом с каждой службой, которую вы хотите использовать

Поскольку брандмауэр работает на основе каждого приложения, вы увидите эти службы в списке по имени, а не по номеру порта. Например, на панели вы увидите File Sharing вместо порта 548

Чтобы настроить брандмауэр, вернитесь к панели Брандмауэр и нажмите кнопку Параметры брандмауэра. Это откроет дополнительные настройки брандмауэра. Используйте кнопки Плюс и Минус , чтобы добавить или удалить приложения по мере необходимости. Вы также можете проверить некоторые дополнительные опции ниже

Все службы, которые вы отметили в панели Общий доступ , как указано выше, автоматически появятся в списке разрешенных подключений. Но если вы отключите какую-либо из служб, она больше не появится в панели параметров брандмауэра

Когда любое стороннее приложение начнет прослушивать входящие соединения, вы увидите сообщение с вопросом ‘Хотите ли вы, чтобы приложение ‘ App ‘ принимало входящие сетевые соединения?’. Нажмите Разрешить или Запретить , чтобы изменить настройки брандмауэра. Приложения, которым вы разрешили доступ, появятся в списке

Должен ли быть включен или выключен исходящий брандмауэр?

Встроенный брандмауэр дает вам возможность контролировать и блокировать входящие соединения. Однако вы можете контролировать и исходящие соединения. Как обычный пользователь может использовать данные об исходящем трафике? Давайте проиллюстрируем это на нескольких примерах

  1. Большинство приложений, которые вы используете на своем Mac, имеют видимый интерфейс и постоянно обмениваются данными между вашей машиной и серверами, расположенными в других местах. Но многие процессы, работающие в фоновом режиме, также отправляют и получают данные.
    1. Посмотрите на все процессы на вкладке Activity Monitor > Network. Как вы можете быть уверены, что все эти соединения являются настоящими?
  2. Приложения постоянно выполняют различные действия: ваше почтовое приложение загружает новые сообщения, приложения периодически проверяют наличие обновлений, а Dropbox синхронизирует только что измененные файлы. Эти действия в порядке вещей, но если вы загружаете вредоносное приложение, которое тайно регистрирует нажатие клавиш и отправляет конфиденциальные данные злоумышленнику, это уже проблема.
  3. Премиум-приложения регулярно ‘звонят домой’, чтобы проверить ваши лицензионные данные, но некоторые разработчики могут собирать конфиденциальную личную информацию без вашего согласия. Эти приложения также могут прослушивать или транслировать информацию по сети, копировать данные о конфигурации вашего Mac и следить за тем, как вы используете то или иное приложение.

Из этих примеров ясно, что двусторонний брандмауэр обеспечивает защиту как входящего, так и исходящего трафика. Они могут помочь определить активность вредоносного ПО (если оно установлено и работает), но они меньше заботятся о безопасности, чем о конфиденциальности

Сторонние приложения брандмауэра для Mac

Многие сторонние приложения брандмауэра обеспечивают контроль над входящими и исходящими соединениями. Ниже мы рассмотрим несколько популярных из них

LuLu

LuLu – это бесплатный брандмауэр с открытым исходным кодом, цель которого – блокировать исходящий трафик, если он явно не одобрен пользователем. После установки он будет предупреждать вас о новых или несанкционированных попытках создания исходящего сетевого соединения. Нажмите кнопку Разрешить или Блокировать , чтобы обработать соединение

В окне оповещения отображается значок процесса и статус кодовой подписи приложения. Встроенная интеграция VirusTotal поможет вам проверить, является ли приложение вредоносным или нет. Наряду с этим, вы можете увидеть иерархию процесса (это поможет вам понять главного виновника процесса), детали процесса и многое другое

Скачать: LuLu (Бесплатно)

Радио Тишина

Radio Silence – это простейшее приложение-брандмауэр для вашего Mac. После установки приложение автоматически запускается в фоновом режиме без каких-либо значков в строке меню или других визуальных индикаторов. Перейдите на вкладку Брандмауэр и нажмите кнопку Блокировать приложение. После добавления приложения в черный список оно больше не будет подключаться через Интернет

Поскольку вы добавляете эти приложения вручную, вы не увидите никаких раздражающих всплывающих окон. На вкладке Сетевой монитор вы можете получить данные в реальном времени для определенного процесса или приложения. Вы можете найти скрытые помощники, процессы в памяти, демоны, службы XPC, номера портов и IP-адреса хостов. Хотя приложение поставляется за небольшую плату, вы можете попробовать его перед покупкой

Скачать: Radio Silence (9 долларов, доступна бесплатная пробная версия)

Маленький стукач

Little Snitch – это брандмауэр приложений на базе хоста для Mac. Приложение предоставляет подробные отчеты о процессах, исходящих и входящих соединениях, портах и протоколах. Оно также показывает полную историю трафика вплоть до временного интервала в одну минуту

По умолчанию функция Silent Mode разрешает любой сетевой доступ, явно не запрещенный правилом. Поскольку вы ничего не запрещаете, у вас будет время изучить все тонкости работы приложения. За кулисами приложение записывает каждое соединение. С этого момента вы можете начать создавать правила

Сетевой монитор показывает глобальную карту активных соединений вашей системы с IP-адресами или вероятными местоположениями по всему миру в режиме реального времени. На левой панели отображается список приложений, отправляющих и получающих данные, а на правой – подробная сводка

Функция Автоматическое переключение профилей позволяет создавать профили фильтрации в зависимости от сети. Вы можете создать отдельные профили для дома, работы, кафе и т.д. Существует множество других функций, хотя программное обеспечение стоит недешево. Однако для энтузиастов Little Snitch – это брандмауэр, который трудно превзойти

Скачать: Little Snitch ($45, доступна бесплатная пробная версия)

Murus

Murus – это графический фронтенд для брандмауэра PF. Он имеет интуитивно понятный интерфейс и позволяет настраивать приложение с помощью встроенных пресетов. Он также предоставляет вам редактор наборов правил для создания и управления правилами. Вы можете создавать сложные правила с расширенными опциями, такими как блокировка портов, учет и многое другое

Murus Lite – это базовый брандмауэр с возможностями только фильтрации входящих сообщений и ведения журнала. За $10 вы получите возможности фильтрации исходящих сообщений, пользовательские правила, пробивание портов, функции, связанные с настройкой, и многое другое

Скачать: Murus (бесплатно, есть премиум-версии)

Многоуровневая защита обеспечивает наилучшую защиту

Брандмауэр не является волшебным решением таких проблем, как вредоносное ПО и спам. Но его важность может варьироваться в разных случаях использования. Для обычного пользователя встроенного брандмауэра вместе с Little Snitch более чем достаточно. Если вы работаете в компании, где все компьютеры Mac, то имеет смысл установить другой уровень защиты брандмауэра

Комбинация брандмауэра ALF и PF может работать хорошо без каких-либо серьезных проблем. Однако их подход к сетевой фильтрации различен и охватывает разные уровни сетевого стека. То же самое справедливо и для приложений брандмауэра сторонних производителей. Любой сторонний ALF может работать с брандмауэром PF

Помните, что защита брандмауэра – это только часть стратегии безопасности. Знайте, как избежать заражения вашего Mac вредоносным ПО, и ознакомьтесь с другими советами по безопасности macOS, чтобы повысить уровень защиты

Об авторе

Алексей Белоусов

Привет, меня зовут Филипп. Я фрилансер энтузиаст . В свободное время занимаюсь переводом статей и пишу о потребительских технологиях для широкого круга изданий , не переставая питать большую страсть ко всему мобильному =)

Комментировать

Оставить комментарий