Big Sur 11.2 beta 2 ne limite plus les firewall tiers, Réactions à la publication du 14/01/2021

[Lionel]

Un des gros reproches fait à Big Sur était qu'Apple s'était arrogé le droit de limiter la portée des logiciels firewall tiers.
Pour résumer les choses, les extensions de tierces parties, indispensables pour un logiciel de contrôle du réseau, devaient passer par une bibliothèque Apple qui excluait 50 des applications de la société.
Ainsi, les Firewall ne pouvaient voir les communications réseau de ces applications.

La société vient de faire marche arrière dans la 11.2 beta 2. Sur cette version, les pare-feux peuvent enfin contrôler sans exception tout le trafic, entrant et sortant, des machines.

Lien vers le billet original

[iAPX]

Pour ma part j'utilise un VPN avec son serveur DNS forcé et un Firewall dédié avec analyse dynamique du traffic sur base de Raspberry Pi 4: Pi Hole + pivpn + développements persos

Cela me permet de contrôler tout autant ce qui échange avec mon Mac qu'avec mon iPhone, avec bien plus de souplesse et en coupant court aux échanges très douteux comme du DoH (DNS over https) ou du https avec Certificate pre-pinning qu'on ne peut pas intercepter en clair (donc pas analyser).

Je recommande vivement ce type de VPN, de préférence dédié et séparé de son routeur pour limiter la surface d'attaque, pour ceux qui veulent sécuriser leurs communication ad-minima.
Au passage PI Hole débarrasse d'un maximum de malware, traceurs et publicités, augmentant les performances et l'autonomie, et rendant l'analyse du restant bien plus facile!

PS: le petit truc en plus. Vous pouvez envoyer les Logs via rsyslog sur un service externe comme PapertrailApp (gratuit avec limites) pour pouvoir générer des alertes suivant les évènements (connexion ssh au hasard) et vous garder la possibilité de faire une analyse post-mortem en cas de gros gros problème.

Ce message a été modifié par iAPX - 14 Jan 2021, 14:30.