OS X v10.5.1 以降のアプリケーションファイアウォールでは、ポートごとではなく、アプリケーションごとに接続を制御できます。このため、ファイアウォールによる保護対策が簡単になり、また、正規のアプリケーション用に開いているネットワークポートを悪意のあるアプリケーションが悪用する事態も阻止できます。
OS X v10.6 以降でアプリケーションファイアウォールを設定する
アプリケーションファイアウォールを有効にするには、以下の手順を実行してください。
- Apple メニューの「システム環境設定」を選択します。
- 「セキュリティ」または「セキュリティとプライバシー」をクリックします。
- 「ファイアウォール」タブをクリックします。
- 左下隅にある鍵のアイコンをクリックしてパネルのロックを解除し、管理者のユーザ名とパスワードを入力します。
- 「ファイアウォールをオンにする」または「開始」をクリックして、ファイアウォールを有効にします。
- 「詳細」をクリックして、ファイアウォールの設定をカスタマイズします。
Mac OS X v10.5 でアプリケーションファイアウォールを設定する
Mac OS X v10.5.1 以降にアップデートされていることを確かめてから、以下の手順でアプリケーションファイアウォールを有効にしてください。
- Apple メニューの「システム環境設定」を選択します。
- 「セキュリティ」をクリックします。
- 「ファイアウォール」タブをクリックします。
- ファイアウォールで利用するモードを選択します。
詳細設定
外部からの接続をすべてブロック
「外部からの接続をすべてブロック」オプションを選択すると、ファイル共有や画面共有などのすべての共有サービスで外部からの接続を受け付けなくなります。次のシステムサービスは引き続き、外部からの接続を受け入れ可能です。
- configd (DHCP およびほかのネットワーク構成サービスを実装するシステムサービス)
- mDNSResponder (Bonjour を実装するシステムサービス)
- racoon (IPSec を実装するシステムサービス)
共有サービスを使う場合は「外部からの接続をすべてブロック」オプションを必ずオフに (選択を解除) します。
特定のアプリケーションにアクセスを許可する
特定のアプリケーションに外部からの接続受け入れを許可するには、「ファイアウォールオプション」を使ってそのアプリケーションを追加しておきます。
- システム環境設定を開きます。
- 「セキュリティ」または「セキュリティとプライバシー」アイコンをクリックします。
- 「ファイアウォール」タブを選択します。
- 環境設定パネルの鍵のアイコンをクリックし、管理者名とパスワードを入力します。
- 「ファイアウォールオプション」ボタンをクリックします。
- 「アプリケーションを追加」(+) ボタンをクリックします。
- 外部からの接続受け入れを許可するアプリケーションを選択します。
- 「追加」をクリックします。
- 「OK」をクリックします。
外部からの接続を許可する必要がなくなったアプリケーションは、「アプリケーションを削除」(-) ボタンをクリックして削除できます。
署名済みのソフトウェアが外部からの接続を受け入れるのを自動的に許可する
正規の認証局が署名済みのアプリケーションについては、接続可否の確認をユーザに求める代わりに、接続許可済みのアプリケーションのリストに自動的に追加します。このオプションが選択されている場合、OS X に付属するアプリケーションは Apple で署名済みなので、外部からの接続を受け付けることができます。たとえば、iTunes はすでに Apple で署名済みのため、ファイアウォールを経由した外部からの接続の受け入れが自動的に許可されます。
ファイアウォールのリストにない未署名のアプリケーションを実行すると、そのアプリケーションの接続可否の確認を求めるダイアログが表示されます。「許可」を選択すると、OS X がそのアプリケーションに署名し、ファイアウォールリストに自動的に追加します。「拒否」を選択した場合、そのアプリケーションはリストに追加されますが、外部からの接続の受け入れは拒否されます。
デジタル署名済みのアプリケーションを拒否する場合は、まずそのアプリケーションをリストに追加してから、外部からの接続を受け入れないよう明示的に設定する必要があります。
一部のアプリケーションでは、コード署名を使わずに起動すると、整合性のセルフチェックが行われます。このようなアプリケーションは、ファイアウォールで認識されても署名されません。代わりに、アプリケーションを起動するたびに「許可」または「拒否」の確認を求めるダイアログが表示されます。これは、開発元によって署名済みのバージョンにアプリケーションをアップグレードすることで、回避できる場合があります。
ステルスモードを有効にする
ステルスモードを有効にすると、コンピュータがプローブ要求に応じなくなります。コンピュータは認証済みのアプリケーションへの着信リクエストには応答しますが、ICMP (ping) などの予想外のリクエストは無視します。
ファイアウォールに関する制約事項
アプリケーションファイアウォールは、さまざまなアプリケーションで広く使われているインターネットプロトコルである TCP や UDP と連携するよう設計されています。ファイアウォールの設定は、AppleTalk 接続には影響を与えません。ファイアウォールの詳細設定でステルスモードを有効にすると、外部からの ICMP「ping」がブロックされる場合があります。初期の ipfw テクノロジーはコマンドライン (ターミナル) からアクセス可能で、ipfw で設定したルールがアプリケーションファイアウォールで上書きされることはありません。ipfw で着信パケットをブロックしている場合、アプリケーションファイアウォールで着信パケットを処理できません。