Mac OS X 10.5 Leopard: Acerca del firewall de aplicaciones
Resumen
Mac OS X 10.5 Leopard incluye una nueva tecnología llamada firewall de aplicaciones.
Uno de los principales objetivos de un firewall es controlar las conexiones de otros ordenadores de la red con el tuyo. En la mayoría de los programas de firewall, debes conocer los protocolos y puertos de red que una aplicación usa para comunicarse si deseas controlar sus conexiones con la red.
Nota: este artículo se refiere a la versión del firewall de aplicaciones incluida con Mac OS X 10.5.1 y posteriores. Actualiza a Mac OS X 10.5.1 o posterior si aún no lo has hecho.
El firewall de Leopard es un firewall de aplicaciones. Este tipo de firewall te permite controlar las conexiones de cada aplicación por separado, en lugar de limitarte a controlar puertos. Esto permite que los usuarios de menor experiencia disfruten de las ventajas de la protección de firewall con más facilidad, y ayuda a impedir que las aplicaciones hostiles se hagan con el control de puertos de red que se han abierto para aplicaciones legítimas.
El firewall afecta a los protocolos de Internet más usados por las aplicaciones: TCP y UDP. No afecta a AppleTalk. El firewall puede configurarse para bloquear los "pings" ICMP entrantes activando el modo invisible en la sección de opciones avanzadas.
Aún es posible acceder a la tecnología ipfw, más antigua, desde la línea de comandos (en Terminal), y el firewall de aplicaciones no anula las reglas definidas con ipfw; si ipfw bloquea un paquete entrante, el firewall no lo procesará.
Este artículo se refiere a la versión del firewall de aplicaciones incluida con Mac OS X 10.5.1 y posteriores.
Productos afectados
Mac OS X 10.5
Configurar el firewall de aplicaciones
Sigue estos pasos:
- Elige Preferencias del sistema en el menú Apple.
- Haz clic en Seguridad.
- Haz clic en la ficha Firewall.
- Elige el modelo que debe usar el firewall.
Los tres modos de funcionamiento del firewall de aplicaciones
1. Permitir todas las conexiones entrantes
Es el modo más "abierto". Mac OS X no bloqueará ninguna conexión entrante al ordenador. Es el modo predeterminado de Leopard. Si has actualizado desde Mac OS X 10.4.x, el firewall de aplicaciones usará este modo de forma predeterminada.
2. Permitir sólo servicios esenciales
Es el modo más conservador. Mac OS X bloqueará todas las conexiones excepto una limitada lista de servicios imprescindibles para el funcionamiento del ordenador.
Los servicios del sistema que aún podrán recibir conexiones entrantes son:
- configd, que implementa DHCP y otros servicios de configuración de red
- mDNSResponder, que implementa Bonjour
- racoon, que implementa IPSec
3. Definir el acceso de aplicaciones y servicios específicos
Este modo te ofrece la máxima flexibilidad. Puedes elegir si se permitirán o denegarán las conexiones entrantes para cualquier aplicación del sistema.
Puedes hacer clic en el botón "+" para añadir una aplicación a esta lista. Puedes seleccionar una aplicación y hacer clic en el botón "-" para eliminarla. Si pulsas Control mientras haces clic en el nombre de la aplicación, tendrás la opción de revelar la ubicación de la aplicación en el Finder.
Una vez añadida una aplicación a la lista, puedes elegir entre permitir o denegar sus conexiones entrantes. Puedes incluso añadir aplicaciones de línea de comandos a esta lista.
Cuando añades una aplicación a esta lista, Mac OS X firma digitalmente dicha aplicación (si no había sido firmada aún). Si más tarde se modifica la aplicación, se te pedirá que permitas o deniegues sus conexiones entrantes. La mayoría de las aplicaciones no se modifican a sí mismas; esta característica de seguridad te notificará si se produce algún cambio.
Aplicaciones firmadas digitalmente
Todas las aplicaciones que no figuran en la lista pero han sido firmadas digitalmente por una entidad de certificación que cuenta con la confianza del sistema (para fines de firma de código) tienen derecho a recibir conexiones entrantes. Todas las aplicaciones Apple de Leopard han sido firmadas por Apple y tienen derecho a recibir conexiones entrantes. Si deseas denegar conexión a una aplicación firmada digitalmente primero debes añadirla a la lista y a continuación denegarla.
Si ejecutas una aplicación no firmada y que no figura en la lista del firewall de aplicaciones, aparecerá un cuadro de diálogo con opciones para permitir o denegar las conexiones a dicha aplicación. Si decides permitirlas, Mac OS X 10.5 firmará la aplicación y la añadirá automáticamente a la lista del firewall de aplicaciones. Si decides no permitirlas, Mac OS X 10.5 firmará la aplicación, la añadirá automáticamente a la lista del firewall de aplicaciones y denegará la conexión.
Algunas aplicaciones comprueban su propia integridad cuando se ejecutan sin usar la firma de código. Si el firewall de aplicaciones reconoce una aplicación así no la firmará, pero volverá a presentar el cuadro de diálogo cada vez que se ejecute dicha aplicación. Esto puede evitarse actualizando a una versión de la aplicación firmada por su desarrollador.