6

В прошлом я всегда запускал NAT-маршрутизатор между ПК с Windows и интернетом. Мне интересно, нужно ли мне это по-прежнему или достаточно ли хорош брандмауэр OSX, чтобы я мог поставить Mac прямо в Интернет.

6 ответов6

7

Хотя я не против подключить мой Mac к любой сети, у меня нет однозначного ответа. Тем не менее, некоторые заметки слишком длинны для комментария:

Встроенный брандмауэр OS X является брандмауэром приложения: прием входящих соединений предоставляется для каждого приложения, а не для порта. После получения разрешения приложение может открывать любой порт, который ему нравится, но я полагаю, что это не проблема для программного обеспечения, которому вы доверяете. Кроме того, это относится только к входящим соединениям: всегда разрешены все исходящие соединения (но это также верно и для NAT-брандмауэра). И в соответствии с Apple Mac OS X 10.5 Leopard: о брандмауэре приложений :

Все приложения [..], которые были подписаны цифровой подписью центра сертификации, которому доверяет система [..], могут принимать входящие соединения. Каждое приложение Apple в Leopard подписано Apple и может принимать входящие соединения.

В 10.6 последнее сделано более явным (и может быть отключено) как « Автоматически разрешать подписанному программному обеспечению принимать входящие соединения.Позволяет программному обеспечению, подписанному действующим центром сертификации, предоставлять услуги, доступные из сети. «:

10.6 брандмауэр

Следовательно, даже когда брандмауэр активен, каждое запущенное вами серверное приложение Apple по умолчанию может принимать входящие соединения. (Или, может быть, в 10.6 это даже относится к любому подписанному приложению?) Ошибка в таком программном обеспечении может поставить под угрозу ваш компьютер. Я не знаю, как это влияет на такие вещи, как Bonjour и обмен файлами.

Если брандмауэр активен, то любое программное обеспечение сторонних производителей (или, по крайней мере, неподписанное программное обеспечение) сначала требует вашего разрешения для принятия входящих подключений. Когда такое программное обеспечение обновляется, оно может или не может нуждаться в вашем разрешении снова:

Подписанное приложение [..] может математически доказать, что это действительно новая версия того же приложения от того же поставщика, которому вы выражали доверие в прошлом. Результатом является завершение диалоговых окон с просьбой подтвердить выбор, безопасность которого у вас нет разумного способа проверить.

5

Конечно, можно говорить о том, что теоретически ничто не безопасно, и все такое.

Но для практических целей, да, как правило, достаточно безопасно разместить свой Mac прямо в Интернете. (Это делают все - ну, в большинстве случаев, большинство людей - и вряд ли что-то плохое случится с вами.) Особенно, если вы не открываете никаких дополнительных сервисов (таких как httpd и т.д.) На своем компьютере.

Тем не менее, сделайте (пусть автоматическое обновление) всегда обновляйте Mac OS X с последними исправлениями безопасности и проверяйте, включен ли встроенный брандмауэр.

2

Никогда не безопасно подключать компьютер к Интернету, и всегда лучше иметь промежуточный маршрутизатор.

Поскольку большинство маршрутизаторов работают со встроенным Linux, скорее всего, они безопаснее.

Говоря от имени пользователя Linux: Mac OSX имеет большинство приложений из FreeBSD, поэтому убедитесь, что у вас не установлены или не работают ssh и sshfs, если они вам не нужны.

И просто иметь брандмауэр недостаточно. Убедитесь, что он правильно настроен.

1

У меня дома есть NAT-ADSL-соединение и услуга 3G на выезде. В то время как в 3G я заметил попытки ssh login которые вы обычно не видите за брандмауэром NAT.

Посмотрите, какие сервисы вы используете.

netstat

или же

netstat -f inet


Active Internet connections
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
udp4       0      0  *.ipp                  *.*                    
udp4       0      0  172.16.250.1.kerberos  *.*                    
udp4       0      0  192.168.144.1.kerberos *.*                    
udp4       0      0  *.*                    *.*                    
udp4       0      0  localhost.ntp          *.*                    
udp4       0      0  *.ntp                  *.*                    
udp4       0      0  *.snmp                 *.*                    
udp4       0      0  *.*                    *.*                    
udp4       0      0  *.mdns                 *.*                    
udp4       0      0  *.*                    *.*                    
udp4       0      0  *.syslog               *.*                    
icm4       0      0  *.*                    *.*   

Это сокращенный список того, что я бегу. Вы можете увидеть snmp и сервер syslog которого у вас, вероятно, не будет.

Большинство сервисов прослушивают все интерфейсы (*.). В моем случае я должен исправить мои snmp и syslog только для перечисленных в моей локальной сети.

Установите nmap http://nmap.org/dist/nmap-5.21.dmg. nmap есть много разных способов узнать, слушает ли служба или порт - попробуйте некоторые на вашей машине, но не на других машинах, если вы не знаете, что делаете (я, конечно, не знаю).

nmap 127.0.0.1

Starting Nmap 4.85BETA6 ( http://nmap.org ) at 2010-06-17 00:09 EST
Interesting ports on localhost (127.0.0.1): 
Not shown: 960 closed ports, 32 filtered ports
PORT     STATE SERVICE
22/tcp   open  ssh
88/tcp   open  kerberos-sec
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
548/tcp  open  afp
625/tcp  open  apple-xsrvr-admin
631/tcp  open  ipp
5900/tcp open  vnc

Nmap done: 1 IP address (1 host up) scanned in 6.28 seconds

Попробуйте также nmap с другой машины - вам также нужно будет установить его там. Доступны версии для Windows и Linux.

Есть ли сервисы, которые вы не хотите запускать?

В моем случае я не уверен, почему я делюсь файлами через samba (139/445), поэтому я отключу это. Не вижу, как отключить ipp (631). Это для общего доступа к принтеру, который отключен. Если я выхожу в сеть и nmap мой IP-адрес pppd , порт ipp закрывается. Это хорошо и соответствует конфигурационному файлу cupsd . Мне не нужно, чтобы AFP работал все время, поэтому я отключу это. Мне не нужен запуск ssh или совместного использования экрана, так что я тоже отключу это.

У меня сейчас только эти бегут.

88/tcp   open  kerberos-sec
625/tcp  open  apple-xsrvr-admin
631/tcp  open  ipp

Кто-то упомянул, что большинство людей находятся за брандмауэром NAT. Это, вероятно, верно, если у вас есть маршрутизатор, но убедитесь, что NAT включен.

Но к услуге 3G вы подключены напрямую, поэтому вам следует быть осторожным. Я не был, так что это был хороший вопрос, чтобы заставить меня пересмотреть мои настройки.

Другие вещи, чтобы сделать.

  1. Просмотрите файл appfirewall.log
  2. Если вы технический специалист, попробуйте добавить некоторые правила ipfw .

Помните, что если служба не запущена, никто не может войти. Поэтому чем меньше открытых портов, тем лучше.

1

Учитывая, что вы не будете запускать что-то вроде IE6 из коробки (в отличие от новой установки XP, например), все будет в порядке.

Как всегда, именно то, что вы делаете в Интернете, в конечном итоге влияет на безопасность вашей системы. Если вы загружаете много файлов из большого количества источников и нажимаете на каждую ссылку, которая вам встречается, вы подвергаетесь более высокому риску (конечно, если вы примете правильные меры безопасности, вы будете правы)

Как говорили другие, технически ничто в интернете не является на 100% безопасным. Маки менее уязвимы ... но ни в коем случае неуязвимы.

0

Выкладывать что-либо в интернет небезопасно. Сказав это, в настоящее время большинство людей подключаются к Интернету через маршрутизатор, который также, как правило, использует Firwall и все остальное, так что вы можете использовать win95 без проблем.

Все зависит от того, что вы делаете с этим компьютером, и если вы только просматриваете Интернет или обслуживаете контент. Не могу ответить на что-то более конкретное без дополнительной информации.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .