Mac OS X 10.5 Leopard: Over de toepassingsfirewall
Overzicht
Mac OS X 10.5 Leopard heeft een nieuwe technologie genaamd de toepassingsfirewall.
Een van de belangrijkste doelen van een firewall is het regelen van verbindingen met uw computer vanuit andere computers op het netwerk. Voor de meeste firewallsoftware moet u weten welke netwerkpoorten en -protocollen een toepassing gebruikt om te communiceren. Met die informatie kunt u de netwerkverbindingen van de toepassing beheren.
Opmerking: Dit artikel gaat over de toepassingsfirewall die wordt geleverd bij Mac OS X 10.5.1 en later. Werk bij tot Mac OS X 10.5.1 of later als u dit nog niet hebt gedaan.
De firewall in Leopard is een toepassingsfirewall. Met dit type firewall kunt u verbindingen regelen per toepassing in plaats van per poort. Zo kunnen minder ervaren gebruikers profiteren van firewallbescherming zonder dat ongewenste toepassingen de netwerkpoorten gebruiken die zijn geopend voor legitieme toepassingen.
De firewall wordt gebruikt voor de internetprotocollen die het meest worden gebruikt door toepassingen, TCP en UDP. De firewall heeft geen invloed op AppleTalk. De firewall kan zo worden ingesteld dat inkomende ICMP-pings worden geblokkeerd. Dit kan worden gedaan door Stealth Mode in te schakelen in de geavanceerde instellingen.
De eerdere ipfw-technologie is nog beschikbaar via de opdrachtregel (in Terminal) en de toepassingsfirewall houdt zich aan de regels die zijn ingesteld met ipfw. Als ipfw een inkomend pakket blokkeert, zal de toepassingsfirewall het niet verwerken.
Dit artikel gaat over de toepassingsfirewall die wordt geleverd bij Mac OS X 10.5.1 en later.
Producten waarbij dit probleem kan optreden
Mac OS X 10.5
De toepassingsfirewall configureren
Volg deze stappen:
- Kies Systeemvoorkeuren in het Apple-menu.
- Klik op Beveiliging.
- Klik op het tabblad Firewall.
- Kies in welke modus u de firewall wilt gebruiken.
De drie gebruiksmode van de toepassingsfirewall:
1. Alle inkomende verbindingen toestaan:
Dit is de meest 'open' modus. Mac OS X blokkeert geen inkomende verbindingen met uw computer. Dit is de standaardmodus voor Leopard. Als u hebt bijgewerkt van Mac OS X 10.4.x, dan is uw toepassingsfirewall standaard ingesteld op deze modus.
2. Alleen essentiële services toestaan:
Dit is de meest conservatieve modus. Mac OS X blokkeert alle verbindingen behalve een beperkte lijst van services die nodig zijn voor de werking van uw computer.
De systeemservices die nog inkomende verbindingen accepteren zijn:
- configd, voor DHCP en andere netwerkconfiguratieservices
- mDNSResponder, voor Bonjour
- racoon, voor IPSec
3. Toegang instellen voor bepaalde services en toepassingen:
Deze modus biedt de meeste flexibiliteit. U kunt kiezen of u inkomende verbindingen toestaat of weigert voor toepassingen op uw systeem.
U kunt klikken op de "+"-knop om een toepassing toe te voegen aan deze lijst. U kunt een toepassing selecteren en op de "-"-knop klikken om die te verwijderen. Control-klik op de naam van toepassing geeft u de optie de locatie van de toepassing te zien in Finder.
Wanneer u een toepassing hebt toegevoegd aan de lijst, kunt u kiezen of u de inkomende verbinding voor de toepassing wilt toestaan of weigeren. U kunt zelfs opdrachtregeltoepassingen toevoegen aan deze lijst.
Wanneer u een toepassing toevoegt aan de lijst, zal Mac OS X de toepassing digitaal tekenen (als dat nog niet is gebeurd). Als de toepassing later wordt aangepast, wordt u gevraagd of u inkomende netwerkverbindingen met de toepassing wilt toestaan of weigeren. De meeste toepassingen passen zichzelf niet aan, en dit is een veiligheidsfunctie die u op de hoogte stelt van een wijziging.
Digitaal getekende toepassingen
Alle toepassingen die niet in de lijst staan maar die digitaal zijn getekend door een certificatieautoriteit die door het systeem wordt vertrouwd (voor het tekenen van code) mogen inkomende verbindingen ontvangen. Elke Apple-toepassing in Leopard is getekend door Apple en mag inkomende verbindingen ontvangen. Als u een digitaal getekende toepassing wilt weigeren, moet u deze eerst toevoegen aan de lijst en het daarna expliciet weigeren.
Als u een niet-getekende toepassing gebruikt die niet in de toepassingsfirewall staat, krijgt u een dialoogvenster te zien waarmee u verbindingen met de toepassing kunt toestaan of weigeren. Als u toestaan kiest, zal Mac OS X 10.5 de toepassing tekenen en deze automatisch toevoegen aan de lijst van de toepassingsfirewall. Als u weigeren kiest, zal Mac OS X 10.5 de toepassing tekenen, deze automatisch toevoegen aan de lijst van de toepassingsfirewall en verbindingen met de toepassing blokkeren.
Sommige toepassingen controleren hun eigen integriteit wanneer ze worden uitgevoerd zonder getekende code. Als de toepassingsfirewall zo'n toepassing herkent, wordt deze niet getekend maar wordt er steeds bij het uitvoeren ervan een dialoogvenster getoond. Dit kan worden vermeden door een upgrade naar een versie van de toepassing die is getekend door de ontwikkelaar.