Macにファイアウォールが必要ですか?ええ、はい、いいえ。
コンピュータがルーターの一部であるファイアウォールの背後にある可能性があるため、macOSのファイアウォールをオフにすると、他のAppleデバイスとの接続を簡単にセットアップできます。ただし、ラップトップを使用して信頼できないネットワークに頻繁にアクセスする場合は、ファイアウォールを有効にする必要があります。
macOSには、コンテンツにリモートアクセスするためのさまざまな共有ネットワークサービスも含まれています。これらのサービスを有効にしておくか、サードパーティのアプリを使用すると、Macがネットワーク攻撃に対して脆弱になる可能性があります。ファイアウォールを構成する方法と、ファイアウォールをいつ使用する必要があるかを示します。
Macのファイアウォールの設定
セキュリティ戦略の一部としてのファイアウォールの重要性を過小評価することはできません。すでに詳細に議論しました ファイアウォールを使用する理由 。
macOSの場合、ソフトウェアファイアウォールには2つのコンポーネントがあります。
アプリケーション層ファイアウォール(ALF)
ファイアウォールのこのコンポーネントは、アプリがネットワーク経由で通信を確立するためのアクセスを許可または拒否します。使用するポートに基づくものではありません。組み込みのmacOSファイアウォールがこれを提供し、設計上、シンプルで直感的です。アプリごとに、着信接続を許可するかブロックするかを指定できます。
Macでファイアウォールをオンにするには、 システム環境設定>セキュリティとプライバシー>ファイアウォール 。ウィンドウの左下にあるロックアイコンをクリックし、管理者パスワードを入力して、 ロックを解除する 。
ウィンドウにまだ表示されていない場合 ファイアウォール:オン 、 クリック ファイアウォールをオンにする ボタン。緑の円が点灯し、Macは、確立された接続、署名されたソフトウェア、および有効なサービスの着信トラフィックのみを許可します。後で、対応するボタンを使用してMacのファイアウォールをオフにすることができます。
パケットフィルター(PF)ファイアウォール
ファイアウォールのこのコンポーネントは、オペレーティングシステムのカーネルの奥深くに埋め込まれています。 PF それは OpenBSDパケットフィルター 。その主な機能は、個々のパケット(およびそれらから構築されたネットワーク接続)のプロパティをルールセットで定義されたフィルタリング基準と照合することにより、ネットワークパケットをフィルタリングすることです。
PFファイアウォールを使用すると、事実上すべてのパケットまたは接続タイプに基づいてネットワークトラフィックを制御できます。これには、送信元と宛先のアドレス、インターフェイス、プロトコル、およびポートが含まれます。これらの基準に基づいて、パケットを通過させ、ブロックし、オペレーティングシステムの他の部分が処理できるイベントをトリガーできます。
PFファイアウォールは、Mac OS X 10.7Lion以降のmacOSで有効になりました。 ALFは簡単で直感的に使用できますが、PFファイアウォールをセットアップするには、構文、ロジック、およびネットワーク構成に関する完全な知識が必要です。構成ファイルを手動で編集する必要があり、パケットフィルターの監視はすべてコマンドラインから実行されます。
Appleファイアウォール設定を構成する
macOSには、ファイルやプリンターを共有したり、リソースにリモートでアクセスしたりするための多くの組み込みサービスが含まれています。サービスを有効にするには、に移動します システム環境設定>共有 使用する各サービスの横にあるボックスにチェックマークを付けます。
ファイアウォールはアプリケーションごとに機能するため、これらのサービスはポート番号ではなく名前で一覧表示されます。たとえば、次のように表示されます ファイル共有 ポート548の代わりにペインに表示されます。
ファイアウォールをカスタマイズするには、に戻ってください ファイアウォール パネルをクリックし、 ファイアウォールオプション ボタン。これにより、より多くのファイアウォール構成が明らかになります。使用 もっと と マイナス 必要に応じてアプリを追加または削除するためのボタン。以下のいくつかの追加オプションを確認することもできます。
チェックインしたサービス 共有 上記のパネルは、許可された接続のリストに自動的に表示されます。ただし、いずれかのサービスを無効にすると、ファイアウォールのオプションペインに表示されなくなります。
サードパーティのアプリが着信接続のリッスンを開始すると、「アプリケーション '[アプリ]'に着信ネットワーク接続を受け入れますか?」というメッセージが表示されます。クリック 許可する また 拒否 ファイアウォール設定を変更します。アクセスを許可したアプリがリストに表示されます。
アウトバウンドファイアウォールをオンまたはオフにする必要がありますか?
組み込みのファイアウォールを使用すると、着信接続を監視およびブロックできます。ただし、発信接続を監視することもできます。平均的なユーザーはどのように発信トラフィックデータを利用できますか?いくつかの例で説明しましょう。
- Macで使用するほとんどのアプリは、目に見えるインターフェイスを備えており、マシンと他の場所にあるサーバーとの間で継続的にデータを交換します。ただし、バックグラウンドで実行されている多くのプロセスもデータを送受信します。
- のすべてのプロセスを見てください アクティビティモニター>ネットワーク タブ。これらすべての接続が本物であることをどのように確認できますか?
- アプリは常にアクティビティに参加します。メールアプリは新しいメッセージをダウンロードし、アプリは定期的に更新をチェックし、Dropboxは新しく変更されたファイルを同期します。これらのアクティビティは問題ありませんが、キーストロークを密かにログに記録し、機密データを悪意のある攻撃者に送信する悪意のあるアプリをダウンロードすると、それが問題になります。
- プレミアムアプリは定期的に「電話で自宅」にアクセスしてライセンスデータを確認しますが、一部の開発者はユーザーの同意なしに機密性の高い個人情報を収集する場合があります。これらのアプリは、ネットワークを介してスニッフィングまたはブロードキャストしたり、Macの構成の詳細をコピーしたり、特定のアプリの使用方法を監視したりする場合もあります。
これらの例から、双方向ファイアウォールがインバウンドトラフィックとアウトバウンドトラフィックの両方からの保護を提供することは明らかです。マルウェアのアクティビティを特定するのに役立ちますが(インストールされて実行されている場合)、プライバシーよりもセキュリティについての懸念は少なくなります。
Mac用のサードパーティファイアウォールアプリ
多くのサードパーティファイアウォールアプリは、着信接続と発信接続の両方を制御します。以下にいくつかの人気のあるものについて説明します。
ルル
LuLuは、ユーザーによって明示的に承認されない限り、発信トラフィックをブロックすることを目的とした無料のオープンソースファイアウォールです。インストールされると、発信ネットワーク接続を作成するための新規または不正な試みについて警告します。クリック 許可する また ブロック 接続を処理するためのボタン。
警告ウィンドウには、アプリのプロセスアイコンとコード署名ステータスが表示されます。組み込みのVirusTotal統合は、アプリが悪意のあるものかどうかを確認するのに役立ちます。それに加えて、プロセスの階層(これは、主な原因のプロセスを理解するのに役立ちます)、プロセスの詳細などを確認できます。
ダウンロード: ルル (無料)
無線封止
Radio Silenceは、Mac用の最もシンプルなファイアウォールアプリです。インストール後、アプリはメニューバーアイコンやその他の視覚的なインジケーターなしでバックグラウンドで自動的に実行されます。に移動します ファイアウォール タブをクリックし、 アプリケーションをブロックする ボタン。アプリをブラックリストに追加すると、インターネット経由で接続できなくなります。
これらのアプリを手動で追加しているため、迷惑なポップアップは表示されません。 NS ネットワークモニター タブは、特定のプロセスまたはアプリのリアルタイムデータを提供します。非表示のヘルパー、メモリ内プロセス、デーモン、XPCサービス、ポート番号、およびホストIPアドレスを見つけることができます。アプリは少額の料金で提供されますが、購入する前に試すことができます。
ダウンロード: 無線封止 ($ 9、無料トライアルあり)
リトルスニッチ
Little Snitchは、Mac用のホストベースのアプリケーションファイアウォールです。アプリは、プロセス、発信および着信接続、ポート、およびプロトコルに関する詳細なレポートを提供します。また、1分間隔の時間範囲までの完全なトラフィック履歴も表示されます。
デフォルトでは、 サイレントモード この機能は、ルールによって明示的に禁止されていないすべてのネットワークアクセスを許可します。あなたは何も否定していないので、アプリの詳細を学ぶ時間があります。舞台裏では、アプリはすべての接続を記録します。そこから、ルールの作成を開始できます。
NS ネットワークモニター は、システムからIPから派生した、または世界中の可能性のある場所へのアクティブな接続のグローバルマップをリアルタイムで表示します。左側のパネルにはデータを送受信するアプリのリストが表示され、右側のパネルには詳細な概要が表示されます。
NS 自動プロファイル切り替え この機能を使用すると、ネットワークに基づいてフィルタリングプロファイルを作成できます。自宅、職場、喫茶店などに個別のプロファイルを作成できます。ソフトウェアは安くはありませんが、もっと多くの機能があります。ただし、愛好家にとっては、リトルスニッチは打ち負かすのが難しいファイアウォールです。
ダウンロード: リトルスニッチ ($ 45、無料トライアルあり)
万里の長城
Murusは、PFファイアウォールのグラフィカルフロントエンドです。直感的なインターフェースを備えており、組み込みのプリセットを使用してアプリを構成できます。また、ルールを作成および管理するためのルールセットエディタも提供します。ポートノッキング、アカウンティングなどの高度なオプションを使用して、複雑なルールを作成できます。
Instagramで誰があなたのフォローを解除したかを確認するアプリ
Murus Liteは、インバウンドフィルタリングおよびロギング機能のみを備えた基本的なファイアウォールです。 10ドルで、発信フィルタリング機能、カスタムルール、ポートノッキング、カスタマイズ関連機能などを利用できます。
ダウンロード: 万里の長城 (無料のプレミアムバージョンが利用可能)
レイヤードディフェンスは最高の保護を提供します
ファイアウォールは、マルウェアやスパムなどの問題に対する魔法の解決策ではありません。ただし、その重要性はユースケースによって異なる場合があります。標準ユーザーの場合、組み込みのファイアウォールとLittleSnitchで十分です。すべてのMacを使用するビジネスで働いている場合は、ファイアウォール保護の別のレイヤーを使用するのが理にかなっています。
ALFファイアウォールとPFファイアウォールの組み合わせは、大きな問題なしにうまく機能します。ただし、ネットワークフィルタリングへのアプローチは異なり、ネットワークスタックの個別のレイヤーをカバーします。同じことがサードパーティのファイアウォールアプリにも当てはまります。すべてのサードパーティALFは、PFファイアウォールと連携できます。
ファイアウォール保護はセキュリティ戦略の一部にすぎないことを忘れないでください。 Macがマルウェアに感染するのを防ぐ方法を理解し、保護を強化するための他のmacOSセキュリティのヒントを確認してください。
共有 共有 つぶやき Eメール FBIがHiveランサムウェアに対して警告を発した理由は次のとおりですFBIは、特に厄介なランサムウェアについて警告を発しました。これが、Hiveランサムウェアに特に注意する必要がある理由です。
次を読む 関連トピック- マック
- 安全
- ファイアウォール
- オンラインセキュリティ
- マルウェア対策
- コンピュータセキュリティ
- Macのヒント
- Macアプリ
アイケアスペシャリティのM.Optom学位を取得したラフルは、大学で長年講師を務めました。他の人を書いたり教えたりすることは常に彼の情熱です。彼は現在、テクノロジーについて書き、それをよく理解していない読者が理解できるようにしています。
RahulSaigalのその他の作品ニュースレターを購読する
ニュースレターに参加して、技術的なヒント、レビュー、無料の電子書籍、限定セールを入手してください。
購読するにはここをクリックしてください