Mac OS X 10.5 Leopard: sobre o Firewall do Aplicativo

  • Última Modificação: 21 Novembro, 2008
  • Artigo: HT1810

Resumo

O Mac OS X 10.5 Leopard inclui uma nova tecnologia denominada Firewall do Aplicativo.

Uma das finalidades básicas de um firewall é controlar conexões estabelecidas com seu computador a partir de outros computadores da rede. Na maioria dos softwares de firewall, você precisa saber quais são as portas e os protocolos de rede que um aplicativo usa para se comunicar; assim, poderá controlar as conexões de rede desse aplicativo.

Nota: este artigo se aplica à versão do Firewall do Aplicativo incluída com o Mac OS X 10.5.1 e com versões posteriores. Atualize para o Mac OS X 10.5.1 ou posterior caso ainda não o tenha feito.

O firewall no Leopard é um firewall de aplicativo. Este tipo de firewall permite que você controle conexões por aplicativo, e não por porta. Isso faz com que seja mais fácil para os usuários menos experientes usufruírem dos benefícios da proteção por firewall e ajuda a evitar que aplicativos indesejáveis assumam o controle de portas da rede que foram abertas por aplicativos legítimos.

O firewall se aplica aos protocolos de Internet que são mais comumente usados por aplicativos, TCP e UDP, mas não afeta o AppleTalk. O firewall pode ser configurado para bloquear "pings" ICMP de entrada por meio da ativação do Modo Discreto nas configurações Avançadas.

A tecnologia ipfw anterior ainda está acessível na linha de comando (no Terminal) e o Firewall do Aplicativo não invalida regras definidas com essa tecnologia. Se o ipfw bloquear um pacote recebido, o Firewall do Aplicativo não o processará.

Este artigo se aplica à versão do Firewall do Aplicativo incluída com o Mac OS X 10.5.1 e com versões posteriores.

Produtos Afetados

Mac OS X 10.5

Configurar o Firewall do Aplicativo

Siga estas etapas:

  1. No menu Apple, escolha Preferências do Sistema.
  2. Clique em Segurança.
  3. Clique na guia Firewall.
  4. Escolha o modo que o firewall deve usar.

Três modos de operação do Firewall do Aplicativo

1. Permitir todas as conexões de entrada:

Este é o modo mais "aberto". Nele, o Mac OS X não bloqueia nenhuma conexão de entrada para o computador. Este é o modo padrão para o Leopard. Se você tiver atualizado do Mac OS X 10.4.x, seu Firewall do Aplicativo assumirá esse modo como padrão.

2. Permitir somente serviços essenciais:

Este é o modo mais conservador. Nele, o Mac OS X bloqueia todas as conexões, exceto uma lista limitada de serviços essenciais à operação do computador.

Veja a seguir os serviços do sistema que continuam a ter permissões para receber conexões de entrada:

  • configd, que implementa DHCP e outros serviços de configuração de rede.
  • mDNSResponder, que implementa o Bonjour.
  • racoon, que implementa o IPSec.

3. Definir acesso para aplicativos e serviços específicos:

Este é o modo que oferece a maior flexibilidade. Nele, você pode escolher se deseja permitir ou rejeitar conexões de entrada para qualquer aplicativo do sistema.

Você pode clicar no botão "+" para adicionar um aplicativo a esta lista. Pode também selecionar um aplicativo e clicar no botão "-" para removê-lo. Manter a tecla Control pressionada e clicar no nome do aplicativo informa a localização do aplicativo no Finder.

Depois de adicionar um aplicativo à lista, você pode decidir se deseja permitir ou negar conexões de entrada para esse aplicativo. Pode, inclusive, adicionar aplicativos de linha de comando a essa lista.

Quando você adiciona um aplicativo a essa lista, o Mac OS X assina-o digitalmente caso ele ainda não tenha sido assinado. Se, posteriormente, o aplicativo for modificado, você será solicitado a permitir ou negar conexões de entrada para ele. A maioria dos aplicativos não se modifica por si só; esse é um recurso seguro que avisa você sobre a mudança.

Aplicativos assinados digitalmente

Todos os aplicativos que não estiverem na lista e forem assinados digitalmente por uma autoridade de certificação confiável pelo sistema (para fins de assinatura de código) terão permissão para receber conexões de entrada. Note que todo aplicativo da Apple no Leopard foi assinado pela Apple e tem permissão para receber conexões de entrada. Para recusar um aplicativo assinado digitalmente, primeiro adicione-o à lista e, em seguida, rejeite-o explicitamente.

Se você executar um aplicativo não assinado na lista Firewall do Aplicativo, aparecerá uma caixa de diálogo com opções para permitir ou rejeitar conexões para o aplicativo em questão. Se você escolher Permitir, o Mac OS X 10.5 assinará o aplicativo e o adicionará automaticamente à lista do Firewall do Aplicativo. Se escolher Negar, o Mac OS X 10.5 assinará o aplicativo, o adicionará automaticamente à lista do Firewall do Aplicativo e negará a conexão.

Alguns aplicativos verificam sua própria integridade quando são executados sem usar a assinatura de código. Se o Firewall do Aplicativo reconhecer um desses aplicativos, ele não o assinará, mas exibirá a caixa de diálogo toda vez que o aplicativo for executado. Para que isso não aconteça, atualize para uma versão do aplicativo assinada pelo desenvolvedor.