Big Sur 11.2 beta 2 ne limite plus les firewall tiers, Réactions à la publication du 14/01/2021

[Lionel]

Un des gros reproches fait à Big Sur était qu'Apple s'était arrogé le droit de limiter la portée des logiciels firewall tiers.
Pour résumer les choses, les extensions de tierces parties, indispensables pour un logiciel de contrôle du réseau, devaient passer par une bibliothèque Apple qui excluait 50 des applications de la société.
Ainsi, les Firewall ne pouvaient voir les communications réseau de ces applications.

La société vient de faire marche arrière dans la 11.2 beta 2. Sur cette version, les pare-feux peuvent enfin contrôler sans exception tout le trafic, entrant et sortant, des machines.

Lien vers le billet original

[STRyk]

Il l'est: le firewall intégré dans macOS est vraiment accessible, avec l'option "Block all incoming connections" (Bloquer toutes les connexions entrantes) disponible et vraiment efficace et devrait être conseillé par défaut tant il résout de problèmes, à commencer par un scan réseau.

Ce paramétrage m'a permis de découvrir en 2005 grâce à mon Mac Mini un malware Windows+Linux sur mon réseau qui avait échappé à mon antivirus et mon firewall Windows de l'époque, malware vraiment très étrange par ses cibles, je dirais quasi unique pour l'époque. Très ciblé. Très dangereux. Invisible.

Mon organisation sert aussi à me protéger des connexions sortantes qui ne sont pas gérées par ce firewall, incluant des domaines litigieux (malwares, traceurs, publicités) ou des adresses IP en Russie ou en Chine que j'ai choisi de filtrer par défaut.
Ça rend beaucoup plus efficace l'analyse du traffic sortant restant, puisque débarrassé des merdes des uns et des autres.
Et malheureusement il y a de la complexité, mais aussi un coût pour l'achat du matériel, mais on est à moins de 2€/mois.

PS: j'ai eu une demande sur les détails d'implémentation Pi Hole + pivpn, que j'ai fourni avec grand plaisir, incluant l'astuce pour que ça marche derrière du NAT (un routeur quoi), je vais revenir dessus mais ça sera probablement un lien sur un sujet en anglais.

Merci pour l'explication mais lors de l'utilisation de firewall, même en ayant un peu de connaissance dans les "idioties" que certains arrivent à pondre pour essayer de rentrer dans les machines ou pour faire n'importe quoi (dans quel but ?), un novice comme moi à du mal à déceler ce qui est mauvais de bon vu le nombre de choses pondues plus ou moins tout les jours.
Il faut savoir ce que l'on cherche à filter et là tout est le problème.
J'ai suivi un temp de loin l'idée du pi hole mais ensuite pour le mettre en oeuvre, bu le temp à passer il y aura sans doute un truc plus simple au bout de quelques temps...
Merci en tout cas pour l'explication.

Une solution vennant d'un gros éditeur serait effectivement une vrai solution pour tout le monde, mais avec leurs rivalités de gamins ce n'est pas gagné !
Donc on peux comprendre la paranoïa que peut avoir certaines personnes et de l'autre coté, certains se reponsent trop sur les editeurs en proposant un mot de passe sur la porte d'entrée mais laissant les fenêtres ouvertes de l'autre coté.

[iAPX]

Il l'est: le firewall intégré dans macOS est vraiment accessible, avec l'option "Block all incoming connections" (Bloquer toutes les connexions entrantes) disponible et vraiment efficace et devrait être conseillé par défaut tant il résout de problèmes, à commencer par un scan réseau.

Ce paramétrage m'a permis de découvrir en 2005 grâce à mon Mac Mini un malware Windows+Linux sur mon réseau qui avait échappé à mon antivirus et mon firewall Windows de l'époque, malware vraiment très étrange par ses cibles, je dirais quasi unique pour l'époque. Très ciblé. Très dangereux. Invisible.

Mon organisation sert aussi à me protéger des connexions sortantes qui ne sont pas gérées par ce firewall, incluant des domaines litigieux (malwares, traceurs, publicités) ou des adresses IP en Russie ou en Chine que j'ai choisi de filtrer par défaut.
Ça rend beaucoup plus efficace l'analyse du traffic sortant restant, puisque débarrassé des merdes des uns et des autres.
Et malheureusement il y a de la complexité, mais aussi un coût pour l'achat du matériel, mais on est à moins de 2€/mois.

PS: j'ai eu une demande sur les détails d'implémentation Pi Hole + pivpn, que j'ai fourni avec grand plaisir, incluant l'astuce pour que ça marche derrière du NAT (un routeur quoi), je vais revenir dessus mais ça sera probablement un lien sur un sujet en anglais.

Merci pour l'explication mais lors de l'utilisation de firewall, même en ayant un peu de connaissance dans les "idioties" que certains arrivent à pondre pour essayer de rentrer dans les machines ou pour faire n'importe quoi (dans quel but ?), un novice comme moi à du mal à déceler ce qui est mauvais de bon vu le nombre de choses pondues plus ou moins tout les jours.
Il faut savoir ce que l'on cherche à filter et là tout est le problème.
J'ai suivi un temp de loin l'idée du pi hole mais ensuite pour le mettre en oeuvre, bu le temp à passer il y aura sans doute un truc plus simple au bout de quelques temps...
Merci en tout cas pour l'explication.

Une solution vennant d'un gros éditeur serait effectivement une vrai solution pour tout le monde, mais avec leurs rivalités de gamins ce n'est pas gagné !
Donc on peux comprendre la paranoïa que peut avoir certaines personnes et de l'autre coté, certains se reponsent trop sur les editeurs en proposant un mot de passe sur la porte d'entrée mais laissant les fenêtres ouvertes de l'autre coté.

Au lieu de me défendre sur ma paranoïa évidente, faisant un métier pour lequel c'est une qualité ("Même les paranoïaque ont des ennemis" - Nixon), je vais plutôt aborder un autre aspect: se défendre.

L'idée est d'avoir plusieurs couches de sécurité, indépendantes, comme des sortes d'armures les unes sur les autres, une Matryoshka de sécurité.
La première consiste à ne pas charger ni utiliser n'importe quelle Application. Mobile ou sous macOS.
La seconde à ne pas utiliser un compte Administrateur lors de leur usage.
La troisième à paramétrer le Firewall de macOS pour refuser toute connexion entrante.

Avoir une DNS et un Firewall externe, qui ne peuvent être contournés par une corruption via une attaque de macOS/iOS/iPadOS ou un changement dans les règles de sécurité de ceux-ci.

etc etc.

PS: j'ai été exposé à des merdes comme jamf pro qui ouvrent des tonnes de failles sécurité, pour nous surveiller alors qu'affaiblissant incroyablement la sécurité de la compagnie, des besoins et des contraintes très disjointes (surveiller vs. protéger), et j'ai coupé les c...lles de ces merdes sans remord depuis l'extérieur.
Mon réseau, mes règles.

D'ailleurs Jamf a une note B au test de SSLLabs sur leurs serveurs, quoique se présentant une société "de sécurité", et mon ti'serveur dans son coin une note A (qui ira sur A+ obligatoirement ce printemps).

Ce message a été modifié par iAPX - 14 Jan 2021, 23:22.