Quão furtivo é o modo furtivo do firewall? Aumenta a segurança?

14

Nas Preferências do Sistema, existe a opção:

`Security & Privacy -> Firewall -> Advanced... -> Enable Stealth Mode

Essas opções aumentam significativamente a segurança ao conectar em rede ou navegar na Internet ?

A dica diz apenas: Não responda ou reconheça tentativas de acesso a este computador pela rede testando aplicativos usando ICMP, como Ping.

A dica não explica como meu trabalho com o Mac é afetado.

gentmatt
fonte

Respostas:

15

Sim. O modo furtivo aumenta a segurança do seu sistema. A inspeção de pacotes com estado é outro componente crucial das proezas de um firewall. Também é importante notar que o firewall da Apple é alimentado pelo robusto ipfw .

O que a Apple diz é um resumo conciso de como o modo furtivo funciona e, se você não conhece a segurança de TI, uma explicação completa não oferece muito mais, pois é um sistema complexo (TCP ou Transmission Control Protocol , que é apenas um elemento da transmissão de dados em si, é bastante complicado e profundamente em camadas).

Os fundamentos da rede (também conhecida como transferência de dados na Internet) dependem de protocolos que estabelecem conexões ("handshaking" inicia tudo) e, em seguida, retransmitem os dados (através de coisas como TCP e UDP). O ICMP (como solicitações de ping ou eco) geralmente é usado para "sondar" um host de destino (geralmente por motivos bastante válidos), identificando-o na rede. Os hackers os usam para encontrar suas presas.

insira a descrição da imagem aqui

Os firewalls funcionam plantando-se entre o kernel e a pilha TCP / IP (em um nível muito profundo) e observando os pacotes que são executados entre essas camadas. Na imagem acima, o kernel de um sistema estaria localizado entre o driver ethernet e o hardware. O firewall fica bem em cima do kernel. Os firewalls precisam desse nível profundo de integração para permanecerem robustos e duráveis. Se um firewall fosse implantado em um nível alto, digamos no nível do seu navegador, ele seria altamente suscetível a ataques. Quanto mais profundo o processo estiver localizado (mais próximo do kernel), mais difícil será obter acesso a ele.

Quando um sistema é executado sem firewall, os pacotes têm acesso livre (dentro e fora). Se uma solicitação de eco é enviada, uma resposta de eco é perdida pelo seu computador (pense nela como uma saudação; alguém na rua passa por você e diz "olá", você sorri e os recebe de volta). Mas quando um firewall está operacional, ele intervém, como um membro do serviço secreto, seguindo seu protocolo. Se lhe for pedido para negar pedidos, ele enviará uma mensagem para a máquina solicitando que não responda aos pedidos de eco. A máquina recebe um aviso de que sua solicitação de eco foi negada (ou bloqueada). Naturalmente, isso não dá essa máquina muita informação, mas não informá-los de que alguém está lá.

O modo furtivo, por outro lado, não funciona. O firewall observa a solicitação de eco e, em vez de negá-la, simplesmente instrui o computador a ignorar o pacote. A máquina do outro lado, não só não obtém dados, mas nem recebe um aviso de rejeição. É como se o pacote deles estivesse perdido no espaço. E isso é indicativo de uma máquina protegida por um firewall seguro ou de uma máquina que nem existe.

Na verdade, é o equivalente a encaminhar alguém para o correio de voz (negando a solicitação de eco) ou simplesmente desativar o correio de voz e deixá-lo tocar indefinidamente (executando no modo furtivo).

Como em qualquer coisa, um hacker inteligente pode ignorar esses guardas seguros, mas isso torna sua vida muito mais difícil. E essa é a chave da segurança: fazer com que os hackers trabalhem um pouco mais a cada passo. Isso elimina bastante o " script kiddie " do hacker Lulzsec .

O modo furtivo encobre você daqueles que iniciam o tráfego, mas não o torna invisível. Depois que uma conexão é estabelecida (por você ou por algo que foi permitido negociar o tráfego de saída), você aparece na grade como qualquer computador. Portanto, embora o envio de solicitações de ping possa não funcionar mais, ainda existem muitas maneiras pelas quais os hackers ainda podem estabelecer uma conexão e potencialmente explorar seu computador através de um serviço em execução.


fonte
@chsum Essa é uma resposta muito bem estruturada e fácil de entender! Obrigado.
gentmatt
1
@gentmatt Fico feliz em ajudar. Não foi apenas uma excelente pergunta, mas concisa. E apenas para adicionar ao exposto, as crianças com scripts compõem a maioria dos hackers na rede. Eles não são calculados, nítidos ou até muito bons nisso, mas existem números que os tornam perigosos. A boa notícia é que o nível de conhecimento deles tende a mantê-los orando pelos ignorantes (o cara que nunca sincronizou um iPhone ou sabe qual navegador está usando). Portanto, desde que você atualize suas atualizações até o momento e aproveite a segurança no OS X, você deve impedir a maioria das ameaças com facilidade.
Eu queria colocar uma recompensa de 100 rep em sua resposta, mas eu de alguma forma confuso ..
gentmatt
1
Obrigado. Está bem. I como esses tipos de perguntas, por isso era em si premiar :)
@cksum Ótima resposta! Você também seria mais imune a inundações de pacotes / ping e similares se ativar o modo furtivo.
Andrew Larsson