Configurare il firewall di Mac OS X

Il sistema operativo di Apple gode di una certa fama di sicurezza pressoché meritata: è quasi esente da virus, le sue fondamenta Unix sono ben assestate e stanno sotto i microscopi degli esperti di sicurezza da circa 40 anni, i suoi servizi di rete opensource (ad esempio il server web Apache e il server SMB Samba) sono tenuti continuamente sotto osservazione dalla più ampia comunità di sviluppatori che la storia ricordi. Ma, si sa, nessuno è perfetto e quindi si può sentire il bisogno di avere un firewall che regoli il traffico di rete anche sul Mac.

I due firewall di Mac OS X

Su Mac OS X ci sono due tecnologie differenti di firewall:

  • quello classico – ereditato dal mondo *BSD – che va sotto il nome di ipfw e che lavora su indirizzi e porte (per i puristi, ai livelli rete e trasporto dello stack TCP/IP)
  • quello nativo di Mac OS X, che filtra il traffico in base alle applicazioni (assomiglia in questo al firewall di sistema di Windows) e che si chiama ALF (Application Layer Firewall)

Mac OS X ha un comodo strumento di amministrazione grafico, ma solo per ALF: si trova in Preferenze di Sistema->Sicurezza, scheda Firewall.
L’altro firewall, ipfw, di solito rimane spento. Il motivo di questa scelta è che Apple ha ritenuto che la configurazione di ipfw sia un compito troppo avanzato per l’utente medio. E, tutto sommato, non ha tutti i torti: la scrittura di un set di regole fatto bene per un firewall IP richiede una conoscenza teorica approfondita dei protocolli di rete, nonché una buona esperienza sul campo e un po’ di malizia (è più un’arte che una scienza…). È molto facile, per un principiante, bloccare del traffico che dovrebbe fluire senza riuscire a scoprire dov’è il problema; oppure, sull’altro versante, credere di avere tappato tutti i buchi quando in realtà non è così (situazione, questa, molto pericolosa perché fa beare di una falsa sensazione di sicurezza).
L’unico strumento di Mac OS X  per amministrare ipfw è quello da linea di comando – l’omonimo ipfw ereditato “paro-paro” da FreeBSD – che non è il massimo della comodità neanche per l’utente esperto.

Perché usare ipfw

Come si sarà capito, scopo di tutto questo articolo è dichiarare la necessità di usare ipfw, e proporre un modo per farlo.
Perché mai volersi impelagare nella configurazione di ipfw, quando è così difficile e quando comunque c’è ALF, uno strumento semplice e proposto dalla stessa Apple? È vero, il firewall ALF è molto semplice e intuitivo da configurare (gli si deve dire: “questa applicazione può accettare connessioni, quest’altra no” etc.), ma ha dei limiti che, a volte, possono risultare stretti. Ad esempio, ALF sorveglia solo le connessioni in ingresso: non è affatto efficace contro i cosiddetti cavalli di troia (programmi che uno installa inconsapevolmente e che poi aprono una connessione in uscita verso il sito del loro padrone). Oppure, non è in grado di discriminare in base all’indirizzo sorgente delle connessioni, quindi non distingue le connessioni provenienti dalla stanza accanto da quelle che vengono dalla Corea. Tutte cose che, invece, ipfw può fare.

Ma amministrare ipfw da linea di comando è una pena

Vero. Fortunatamente ci sono degli strumenti grafici che aiutano l’amministratore esperto a creare, salvare, esportare ed importare e – importantissimo – a testare i suoi set di regole.

Attenzione: questi strumenti sono destinati ad utenti esperti. Se non sai come funziona un firewall IP, non sai cos’è una regola e non hai idea di come sono fatte le instestazioni di un pacchetto IP, un datagramma UDP o un pacchetto TCP, stanne alla larga e limitati ad usare quello che Apple ha predisposto per te. Se invece il TCP/IP è la tua religione, iptables non ha segreti e hai voglia di usare Mac OS X come sei abituato a fare con Linux, allora questa è la roba che ti mancava per renderti la vita facile.

Gli strumenti che voglio introdurre, scritti dalla stessa persona, sono entrambi opensource e gratuiti. Uno, WaterRoof, è più avanzato e capillare; l’altro NoobProof, è più semplice e basilare: quest’ultimo consente di impostare un set di regole rispondendo a domande facili da capire, in un’interfaccia stile wizard in 5 passi. Io consiglio di usarli entrambi seguendo un procedimento trial-and-error: inizia con il generare un insieme di regole basilari usando NoobProof, e poi studiale e raffinale in base alle tue esigenze con WaterRoof. Una volta che sei soddisfatto delle tue regole puoi anche esportarle su file ed utilizzarle sugli altri Mac che amministri. Ah, ricordati anche di predisporre un script che, ad ogni riavvio, renda attive le regole che hai creato (che altrimenti rimarrebbero lettera morta): i due programmi possono pensare anche a questo.

Morale

Usando Mac OS X spesso ci si scorda di avere a che fare con un sistema Unix della tradizione più pura; viceversa, questo è uno di quei casi in cui è possibile andare a lavorare con le budella del sistema operativo ma, grazie agli strumenti giusti, farlo in modo agevole. D’altra parte, chi l’ha detto che agli amministratori in camice bianco non piacciano le comodità?

Advertisements

Un pensiero su &Idquo;Configurare il firewall di Mac OS X

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...