Mac OS X 10.5 Leopard: Om den programspesifikke brannmuren

  • Sist endret: 21 november, 2008
  • Artikkel: HT1810

Oppsummering

Mac OS X 10.5 Leopard innkluderer en ny teknologi kalt Programspesifikk brannmur.

Ett av hovedformålene med en brannmur er å styre tilkoblinger til datamaskinen fra andre datamaskiner i nettverket. I mesteparten av brannmur-programvare må du vite hvilke nettverksporter og protokoller et program benytter for å kommunisere for å kunne styre dette programmets nettverkstilkoblinger.

Merk: Denne artikkelen gjelder for den versjonen av den programspesifikke brannmuren som følger med Mac OS X 10.5.1 og nyere. Oppdater til Mac OS 10.5.1 eller nyere hvis du ikke har gjort det ennå.

Brannmuren i Leopard er en programspesifikk brannmur. Med denne typen brannmur kan du styre tilkoblingene for hvert enkelt program istedenfor at dette styres for hver enkelt port. Dette gjør det lettere for mindre erfarne brukere å benytte seg av fordelene med å være beskyttet av en brannmur, og bidrar til å unngå at uønskede programmer overtar styringen av nettverksporter som er åpnet for rettmessige programmer.

Brannmuren kan brukes på Internett-protokoller som vanligvis brukes av programmer, TCP og UDP. Det har ingen innvirkning på AppleTalk. Brannmuren kan innstilles til å blokkere innkommende ICMP-"pinger" ved å aktivere Stealth Mode i de avanserte innstillingene.

Tidligere ipfw-teknologi er fremdeles tilgjengelig fra kommandolinjen (i Terminal), og Programspesifikk brannmur overstyrer ikke regler som er innstilt med ipfw; hvis ipfw blokkerer en innkommende pakke, vil ikke Programspesifikk brannmur behandle den.

Denne artikkelen gjelder for den versjonen av Programspesifikk brannmur som følger med Mac OS X 10.5.1 og nyere.

Berørte produkter

Mac OS X 10.5

Konfigurere Programspesifikk brannmur

Gjør følgende:

  1. Velg SystemvalgApple-menyen.
  2. Klikk Sikkerhet.
  3. Klikk kategorien Brannmur.
  4. Velg den modusen brannmuren skal benytte.

Programspesifikk brannmurs tre bruksmodi

1. Tillat alle innkommende tilkoblinger:

Dette er den mest "åpne" modusen. Mac OS X vil ikke blokkere noen innkommende tilkoblinger til datamaskinen. Dette er standardmodusen for Leopard. Hvis du oppgraderer fra Mac OS X 10.4.x, vil Programspesifikk brannmur automatisk gå tilbake til denne modusen.

2. Tillat kun nødvendige tjenester:

Dette er den mest konservative modusen. Mac OS X vil blokkere alle tilkoblinger, bortsett fra en begrenset liste over nødvendige tjenester for drift av datamaskinen.

Systemtjenestene som fremdeles har tillatelse til å motta innkommende tilkoblinger, er følgende:

  • configd, som implementerer DHCP og andre tjenester for nettverkskonfigurasjon
  • mDNSResponder, som implementerer Bonjour
  • racoon, som implementerer IPSec

3. Begrens innkommende tilkoblinger til bestemte tjenester og programmer:

Denne modusen gir mest fleksibilitet. Du kan velge hvorvidt du vil tillate eller avslå innkommende tilkoblinger for hvilket som helst program på systemet.

Klikk "+"-knappen for å legge til et program på denne listen. Klikk "-"-knappen for å fjerne et program du velger. Kontrollklikk på programnavnet gir mulighet til å velge om du vil avdekke programmets plassering i Finder.

Etter at du har lagt til et program på listen, kan du velge om du vil tillate eller avslå innkommende tilkoblinger for det aktuelle programmet. Du kan til og med legge til kommandolinjeprogrammer på denne listen.

Når du legger til et program på denne listen, signerer Mac OS X programmet digitalt (hvis det ikke er signert allerede). Hvis programmet blir endret senere, får du spørsmålet om du vil tillate eller avslå innkommende nettverkstilkoblinger til det. De fleste programmer endres ikke automatisk, og dette er en sikkerhetsfunksjon som varsler om endringene.

Digitalt signerte programmer

Alle programmer som ikke er oppført på listen, og ikke er signert digitalt av en godkjent instans som systemet stoler på (med kodesignering som formål), vil ikke kunne motta innkommende tilkoblinger. Alle Apple-programmer i Leopard er signert av Apple, og har tillatelse til å motta innkommende tilkoblinger. Hvis du vil avslå et digitalt signert program, bør du først legge det til på listen og deretter uttrykkelig avslå det.

Hvis du kjører et usignert program som ikke er oppført på den programspesifikke brannmurlisten, vises en dialog med valg om å tillate eller avslå tilkoblinger for programmet. Velger du Tillat, vil Mac OS X 10.5 signere programmet og automatisk legge det til på den programspesifikke brannmurlisten. Velger du Avslå, vil Mac OS X 10.5 signere programmet og automatisk legge det til på den programspesifikke brannmurlisten og avslå tilkoblingen.

Noen programmer kontrollerer sin egen integritet når de kjøres uten bruk av kodesignering. Hvis Programspesifikk brannmur registrerer et slikt program, vil det ikke signere det, men vil vise dialogen hver gang programmet kjøres. Dette kan unngås ved å oppgradere til en programversjon som er signert av utvikleren.