Mac OS X 10.5 Leopard: Acerca da Firewall da Aplicação (Application Firewall)

  • Última alteração: 21 Novembro, 2008
  • Artigo: HT1810

Resumo

O Mac OS X 10.5 Leopard inclui uma nova tecnologia denominada Firewall da Aplicação.

Um dos objectivos básicos de uma firewall é controlar as ligações efectuadas ao seu computador a partir de outros computadores na rede. Na maior parte do software de firewall, tem de conhecer as portas de rede e os protocolos que uma aplicação utiliza, para poder controlar as ligações à rede dessa aplicação.

Nota: Este artigo diz respeito à versão da Firewall de Aplicação incluída no Mac OS X 10.5.1 e posterior. Actualize para Mac OS X 10.5.1 ou posterior, se ainda não o fez.

A Firewall do Leopard é uma Firewall de Aplicação. Este tipo de firewall permite-lhe controlar as ligações por aplicação em vez de o fazer por porta. Esta característica torna mais fácil aos utilizadores menos experientes aproveitarem os benefícios da protecção por firewall e ajuda a impedir que aplicações indesejadas controlem portas da rede que foram abertas por aplicações legítimas.

A Firewall aplica-se aos protocolos de Internet mais frequentemente utilizados pelas aplicações, o TCP e o UDP. Não afecta o AppleTalk. A Firewall pode ser definida para bloquear a recepção de "pings" ICMP ao activar o Modo Furtivo nas definições Avançadas.

A tecnologia ipfw mais antiga ainda pode ser acedida a partir da linha de comando (no Terminal) e a Firewall de Aplicação não viola as normas definidas com ipfw; se o ipfw bloquear a recepção de um pacote, a Firewall de Aplicação não o processa.

Este artigo diz respeito à versão da Firewall de Aplicação incluída no Mac OS X 10.5.1 e posterior.

Produtos afectados

Mac OS X 10.5

Configurar a Firewall da Aplicação

Siga estes passos:

  1. Seleccione Preferências de Sistema no menu Apple.
  2. Clique em Segurança.
  3. Clique no separador Firewall.
  4. Escolha o modo que pretende que a firewall utilize.

Os três modos de operação da Firewall de Aplicação

1. Permitir a recepção de todas as ligações:

Este é o modo mais "aberto". O Mac Os X não bloqueia nenhuma recepção de ligação ao seu computador. Este é o modo predefinido para o Leopard. Se actualizou a sua versão do Mac OS X 10.4.x, a sua Firewall de Aplicação terá este modo como predefinido.

2. Permitir apenas serviços essenciais:

Este é o modo mais conservador. O Mac OS X bloqueia todas as ligações, excepto uma lista limitada de serviços essenciais ao funcionamento do computador.

Os serviços do sistema que ainda podem receber ligações a partir do exterior são:

  • configd, que implementa o DHCP e outros serviços de configuração de rede
  • mDNSResponder, que implementa o Bonjour
  • racoon, que implementa o IPSec

3. Definir o acesso para serviços e aplicações específicos:

Este modo é o que lhe proporciona maior flexibilidade. Pode escolher se permite ou recusa ligações a partir do exterior para qualquer aplicação no seu sistema.

Pode clicar no botão "+" para adicionar uma aplicação a esta lista. Pode seleccionar uma aplicação e clicar no botão "-" para a remover. Se clicar em Ctrl e sobre o nome da aplicação aparece-lhe a opção para revelar a localização da aplicação no Finder.

Quando tiver adicionado uma aplicação à lista, pode escolher se permite ou recusa ligações a partir do exterior para essa aplicação. Pode até adicionar aplicações de linha de comando a esta lista.

Quando adiciona uma aplicação a esta lista, o Mac OS X assina digitalmente a aplicação (se não estiver ainda assinada). Se mais tarde a aplicação for modificada, é-lhe pedido que permita ou recuse ligações à mesma a partir do exterior. A maioria das aplicações não se modificam sozinhas, e esta é uma funcionalidade de segurança que o avisa da alteração.

Aplicações assinadas digitalmente

Todas as aplicações que não constam da lista e que tiverem sido assinadas digitalmente por uma Autoridade de Certificação fidedigna perante o sistema (para fins de assinatura de código) podem receber ligações a partir do exterior. Todas as aplicações da Apple no Leopard foram assinadas pela Apple e podem receber ligações a partir do exterior. Se pretender recusar uma aplicação assinada digitalmente, deve primeiro adicioná-la à lista e a seguir recusá-la explicitamente.

Se executar uma aplicação não assinada que não conste da lista da Firewall de Aplicação, aparece uma caixa de diálogo com opções para Permitir ou Recusar ligações para essa aplicação. Se escolher Permitir, o Mac OS X 10.5 assina a aplicação e adiciona-a automaticamente à lista da Firewall de Aplicação. Se escolher Recusar, o Mac OS X 10.5 assina a aplicação e adiciona-a automaticamente à lista da Firewall de Aplicação, recusando a ligação.

Algumas aplicações verificam a sua própria integridade quando são executadas sem a utilização de assinatura de código. Se a Firewall de Aplicação reconhecer uma aplicação desse tipo, não a assina mas volta a apresentar a caixa de diálogo de cada vez que a aplicação for executada. Esta situação pode ser evitada fazendo a actualização para uma versão da aplicação que esteja assinada pelo seu criador.