it-swarm-korea.com

매킨토시에서 어떤 방화벽 설정이 가장 제한적이면서도 일상적인 인터넷 사용을 허용합니까?

나는 이것이 주관적이기를 원하지 않으므로 가능한 한 명확하게 요구 사항을 작성하려고 노력할 것입니다.

Snow Leopard가 설치된 Mac에서 다음 만 허용하는 방화벽 규칙 세트를 어떻게 설정할 수 있습니까?

표준 브라우저 (Safari, Chrome, Firefox), 소프트웨어 업데이트, Skype, iTunes 및 ftp 액세스를 통해 인터넷을 사용하여 웹 사이트에 데이터를 업로드합니다.

Mobile Me, iCal, 주소록, iChat 등이 필요 없습니다.

Ftp 액세스가 방화벽에 큰 구멍을 제시하면 업로드를 수행하기 위해 별도의 PC를 사용하고 싶지만 간단히 포트를 열 수 있다고 생각합니다. 맞습니까?

따라서 기본적으로 다른 모든 것은 차단됩니다.

내가 찾고있는 규칙 세트의 예는 ipv4, ivp4 및 ivp6 모두에 대해 127.0.0.0/8에서 임의의 IP로 IP 거부입니다.

방화벽에 대한 많은 문서를 읽고 여러 사이트의 정보를 검색했지만 보안 멍청한 사람에게는 모두 매우 비밀 스럽습니다.

11
TigerCoding

table 에 따르면, 소프트웨어 업데이트는 HTTP 프로토콜과 동일한 포트를 통과하므로 실제로 포트 80을 열면됩니다. 포트 80 외에도 다음을 제안합니다.

  • 443-> HTTPS
  • 22-> SSH
  • 115-> SFTP (당신이 도울 수 있다면 일반 FTP를 사용하지 마십시오. 만약 당신이 편집증이라면 SFTP를 고수하십시오. 그렇지 않으면 20 *을 사용하십시오)
  • 587-> Authenticated SMTP (해당되지 않는 경우 25 활성화 *)
  • 993-> SSL IMAP (해당되지 않는 경우 143 사용 *)
  • 995-> SSL POP (해당되지 않는 경우 110 사용 *)

* 동일한 프로토콜의 보안되지 않은 버전 용 포트입니다.

Mail을 사용하지 않는 경우 목록에서 25, 143, 110, 587, 993 및 995를 제거 할 수 있습니다. SSH를 사용하지 않는 경우 22를 제거 할 수도 있습니다.

ITunes 관련 :

iTunes 자체는 포트 80을 사용하므로 이미 설정되어 있습니다. iTunes 스토어는 이미 열려있는 SSL (즉, 443)을 사용합니다. Airplay도 80을 통과합니다. 이러한 기능 중 하나를 사용하는 경우 다음 포트도 열려 있어야합니다.

  • 3689-> iTunes 음악 공유
  • 8000-8999; 42000-42999-> iTunes 라디오 스트림

Skype 관련 :

a forum Skype에 따르면 Skype는 설정에 따라 포트 80 또는 443을 사용합니다.

당신이 아마 좋아하지 않는 것은 많은 서비스 (mobileme 및 ical 서비스를 포함하여 포트 80도 사용하므로 포트 차단만으로 모든 것을 차단할 수 없음)입니다.

7
Mike

Little Snitch http://www.obdev.at/products/littlesnitch/index.html 를 $ 30에 구입하십시오.

Little Snitch는 프로그램이 나가는 인터넷 연결을 설정하려고 할 때마다 알려줍니다. 그런 다음이 연결을 허용 또는 거부하도록 선택하거나 유사한 향후 연결 시도를 처리하는 방법을 규칙을 정의 할 수 있습니다. 이는 사용자가 모르는 사이에 개인 데이터가 전송되는 것을 확실하게 방지합니다. Little Snitch는 백그라운드에서 눈에 띄지 않게 실행되며 바이러스, 트로이 목마 및 기타 맬웨어의 네트워크 관련 활동도 감지 할 수 있습니다.

그리고 시스템 환경 설정 | 보안 | 방화벽, 방화벽이 켜져 있는지 확인하고 고급을 선택한 다음 "모든 수신 연결 차단"을 선택하십시오.

매우 편집증적인 서핑을하려면 VMware Fusion 을 구입하십시오 ( http://www.vmware.com/products/fusion/ ) , 가상 머신에 원하는 OS를 설치하고 서핑에 사용합니다. 어둠 속에서 검색 한 후 revert를 눌러 가상 머신을 원래 상태로 복원 할 수 있습니다. 또한 여러 가상 머신을 구축하고 당면한 작업에 적합한 가상 머신을 사용할 수 있습니다 (예 : 은행 활동을 할 때 가상 시스템 A, 비열한 활동을 할 때 가상 시스템 X).

7
Tate Hansen

Ipfw 규칙 세트에 다음 추가 사항을 고려하십시오.

  1. ipfw add deny ip from any to any not verrevpath in-시스템에 들어간 패킷이 경로의 나가는 인터페이스와 일치하는지 확인합니다 (규칙 집합의 맨 위에 가장 잘 배치됨).
  2. 로깅-차단되는 항목과 발생 이유를 이해하는 데 규칙 자체만큼이나 중요합니다. 분석에 도움이 될 수있는 응용 프로그램이 있으며이 보드에는 권장 사항과 함께 다른 주제 가 있습니다.
  3. ipfw add check-state-포트/프로토콜을 제한하는 것 외에도 ipfw가 내부적으로 시작된 연결과 일치하는 연결 만 허용하도록합니다.

출처 : IPFW Man Page

4
lew

집에 들어가서 집 라우터에 멀웨어를 설치할 수있는 리소스를 가진 누군가로부터 정말로 보호하려고한다고 가정하면 방화벽은 전혀 도움이되지 않습니다.

"그들"이 가정용 라우터를 손상시킬 수 있다면, 그들은 Chrome, Safari, Skype 및 사용하는 네트워크 도구에서 버그를 찾고 시스템에서 코드를 실행 이러한 수단을 통해 할 수 있습니다.

정말로 도움이 필요하다면-정부의 압력을 받고있는 인권 운동가라고 가정하고-방화벽 설정에 대한 도움을 요청하는 대신 실제 상황을 설명하는 새로운 질문을 시작하십시오.

2
Alex Holst