Opções Avançadas de Firewall do Mac OS X

Aprendemos em Como Ativar o Firewall que o firewall pessoal do Mac serve para controlar a comunicação entre os aplicativos do nosso Mac e outros computadores da rede, incluindo a Internet. Ele controla quais aplicativos em nosso Mac poderão receber conexões de entrada, ou seja, quais informações ou solicitações nosso Mac vai aceitar ou bloquear.

É muito importante que só aplicativos confiáveis aceitem conexões de entrada, pois hackers e códigos maliciosos muitas vezes se aproveitam de falhas em aplicativos e partes do sistema operacional que aceitam conexões de entrada para começar a invasão ou a busca por informações importantes, como senhas.

É importante também manter a menor quantidade possível de aplicativos aceitando conexões de entrada, pois quanto menos opções os hackers e códigos maliciosos tiverem para explorar, melhor!

As opções avançadas permitem alguns ajustes finos, descobriremos o que cada um deles significa e como podem nos ajudar. Para acessar as opções avançadas, clique em “Preferências do Sistema” e clique em “Segurança”. Clique então na guia “Firewall” e no botão “Avançado…” no canto inferior direito. Se você leva a sério segurança e configurou seu Mac direitinho, você precisará abrir o cadeado que fica no canto inferior esquerdo para permitir alterações nas preferências e o acesso às opções avançadas.

Opções Avançadas de Firewall
Opções Avançadas de Firewall

Opção “Bloquear todas as conexões de entrada”

A opção “Bloquear todas as conexões de entrada” quando marcada faz exatamente o que se imagina, não permite que nenhum aplicativo receba conexões. Alguns firewalls no mercado, quando são configurados para bloquear tudo, tornam o sistema completamente “surdo” na rede, mas a Apple felizmente mantém alguns serviços essenciais de rede do Mac OS X funcionando. Esses serviços essenciais são partes do sistema operacional que precisam comunicação com a rede para que o Mac possa acessar normalmente a rede local ou a Internet.

Se você está acessando a Internet de um local público, de uma rede que você não confia, ou é paranóico com segurança, esta opção foi feita para você! Marque-a!

Se você está acessando através de uma rede confiável, também protegida por um firewall você pode deixar essa opção desmarcada.

Quando a opção “Bloquear todas as conexões de entrada” está marcada, são desabilitadas todas as outras opções avançadas, incluindo a lista de aplicativos com as respectivas permissões de acesso, como podemos ver abaixo:

Bloquear todas as conexões de entrada
Bloquear todas as conexões de entrada

Lista de Aplicativos

A seguir temos a lista de aplicativos. Para cada aplicativo listado, existe a opção de “Bloquear conexões de entrada” ou “Permitir conexões de entrada”. Se alguma vez apareceu uma janela perguntando se você “Deseja que o aplicativo (…) aceite as conexões de rede de entrada” com os botões “Permitir” e “Negar”, é nesta lista que sua opção fica registrada.

Lista de Aplicativos
Lista de Aplicativos

Se você escolheu “Negar” ou “Bloquear conexões de entrada” e se arrependeu porque o programa não funcionou mais como deveria, volte nessa lista e mude e opção para “Permitir conexões de entrada”. Feche e abra novamente o seu aplicativo e veja se ele voltou a funcionar normalmente.

Você pode adicionar aplicativos clicando no botão com o sinal de “+” e configurar a permissão. Você também pode remover um aplicativo da lista, selecionando um aplicativo e clicando no botão com o sinal de “-“; o que significa que quando o Mac OS X “pegar” esse aplicativo tentando receber uma conexão de entrada, ele perguntará novamente a você o que deseja fazer.

Opção “Permite que o software assinado receba conexões de entrada automaticamente”

Esta opção e a próxima: “Ativar modo discreto”, são as opções que geram a maior quantidade de dúvidas – afinal, o que é “software assinado” e o que é “modo discreto”?

Empresas e desenvolvedores sérios de aplicativos assinam digitalmente o software. Assinar digitalmente deixa um registro identificando quem assinou e também cria uma espécie de “marca d’água” no software. Para assinar digitalmente é necessário possuir um certificado digital. Esse certificado digital para ser aceito pelo Mac OS X também precisar ser emitido por empresas sérias e confiáveis parecidas com um cartório digital, que por sua vez verificam a identidade de quem solicita um certificado digital.

Um software assinado digitalmente então lhe garante que ele foi desenvolvido realmente pela empresa que diz ser a dona dele (autenticidade) e a “marca d’água” deixada pela assinatura garante a integridade do software. Ou seja, se o software for modificado indevidamente, por um hacker por exemplo, essa modificação será percebida.

Se você marcar a opção “Permite que o software assinado receba conexões de entrada automaticamente”, os aplicativos assinados terão passagem livre, afinal seriam aplicativos confiáveis.

Os aplicativos da Apple são todos assinados, então marcando essa opção você se livra de ter que configurar o acesso para cada aplicativo da Apple que precisa das conexões de entrada.

O comando abaixo mostra se a assinatura digital do programa Mail é válida e satisfaz os requisitos:

$ codesign -v -v /Applications/Mail.app
/Applications/Mail.app: valid on disk
/Applications/Mail.app: satisfies its Designated Requirement

Agora muito importante: o que foi configurado na lista de aplicativos possui precedência sobre essa opção. Significa que mesmo se o aplicativo estiver assinado digitalmente e opção de permitir software assinado estiver marcada, mas você listou um aplicativo como bloqueado, o firewall respeitará o bloqueio configurado por você. Essa precedência é importante caso você queira bloquear especificamente algum aplicativo, mesmo se foi assinado digitalmente. Isso certamente lhe dá uma grande flexibilidade.

Mas se você possui algum motivo para desconfiar até dos aplicativos assinados ou é paranóico com segurança, sua opção continua sendo “Bloquear todas as conexões de entrada”. 🙂

Opção “Ativar modo discreto (stealth mode)”

Quando os hackers e códigos maliciosos estão procurando vítimas pela rede, eles fazem uma varredura com ferramentas específicas de teste: usando o protocolo ICMP (Ping), testando as conexões de entrada e outros recursos mais sofisticados. Essa varredura funciona de forma parecida a alguém batendo de porta em porta perguntando se tem alguém. Entretanto, a melhor forma de não ser um alvo é não ser percebido!

Quando o firewall bloqueia as conexões de entrada de um aplicativo e algum outro computador da rede tenta conectar-se ao seu Mac, o firewall responde dizendo que as conexões de entrada estão “fechadas” (CLOSED). Ora, só o fato de responder dizendo que as conexões estão fechadas já denuncia que tem alguém! E tentando se proteger!

Ativando essa opção, o firewall simplesmente não responde nada. Para quem pergunta: “tem alguém aí?”; é como se não tivesse ninguém. Essa opção também bloqueia as respostas a varreduras usando o Ping, ou seja, seu Mac fica bem discreto, quase como se não estivesse lá.

“Ativar o modo discreto” é sempre recomendado, seja qual for o seu nível de paranóia, afinal você não será um alvo se não detectarem seu computador na rede.

Conclusão

O firewall do Mac é também conhecido como firewall de aplicativo, o que torna o uso muito mais fácil pelo usuário comum, pois não precisamos lidar com vários aspectos técnicos.

A forma como a Apple desenhou o firewall do Mac permite que tenhamos vários níveis de segurança: desde bloquear tudo até permitir tudo. Entre esses dois extremos certamente você poderá achar uma combinação que lhe atenda.

Minha recomendação é sempre manter o firewall ativado, no mínimo! Ativar o modo discreto é também muito recomendado!

Permitir que o software assinado receba automaticamente as conexões de entrada pode facilitar muito a vida – não sendo importunado toda hora pelo sistema querendo saber se você quer permitir ou não um aplicativo.

De resto, vamos configurando cada aplicativo pela lista de aplicativos, lembrando sempre: se você não sabe pra quê serve ou se o aplicativo não for realmente importante, é melhor clicar em “Negar”. Se o aplicativo é confiável mas não funcionou direito quando você negou ou bloqueou as conexões de entrada, agora você já sabe onde mudar.

Até breve!

Leave a Reply

Your email address will not be published. Required fields are marked *