Big Sur 11.2 beta 2 ne limite plus les firewall tiers, Réactions à la publication du 14/01/2021

[Lionel]

Un des gros reproches fait à Big Sur était qu'Apple s'était arrogé le droit de limiter la portée des logiciels firewall tiers.
Pour résumer les choses, les extensions de tierces parties, indispensables pour un logiciel de contrôle du réseau, devaient passer par une bibliothèque Apple qui excluait 50 des applications de la société.
Ainsi, les Firewall ne pouvaient voir les communications réseau de ces applications.

La société vient de faire marche arrière dans la 11.2 beta 2. Sur cette version, les pare-feux peuvent enfin contrôler sans exception tout le trafic, entrant et sortant, des machines.

Lien vers le billet original

[mirmidon]

Heureusement car c'était vraiment limite comme choix…

[ekami]

Très sage décision, (je n'y croyais pas), mais l'incohérence était tellement énorme qu'Apple aurait été en mauvaise posture pour défendre son marketing "confidentialité".
Mais le fond du problème reste intact: Apple pousse le plus fort possible dans les domaines qu'elle trouve stratégiques (ici les communications des binaires et applis avec la maison-mère). Et si ça gueule trop fort, une petite reculade, mais ce n'est que partie remise…

[iAPX]

Pour ma part j'utilise un VPN avec son serveur DNS forcé et un Firewall dédié avec analyse dynamique du traffic sur base de Raspberry Pi 4: Pi Hole + pivpn + développements persos

Cela me permet de contrôler tout autant ce qui échange avec mon Mac qu'avec mon iPhone, avec bien plus de souplesse et en coupant court aux échanges très douteux comme du DoH (DNS over https) ou du https avec Certificate pre-pinning qu'on ne peut pas intercepter en clair (donc pas analyser).

Je recommande vivement ce type de VPN, de préférence dédié et séparé de son routeur pour limiter la surface d'attaque, pour ceux qui veulent sécuriser leurs communication ad-minima.
Au passage PI Hole débarrasse d'un maximum de malware, traceurs et publicités, augmentant les performances et l'autonomie, et rendant l'analyse du restant bien plus facile!

PS: le petit truc en plus. Vous pouvez envoyer les Logs via rsyslog sur un service externe comme PapertrailApp (gratuit avec limites) pour pouvoir générer des alertes suivant les évènements (connexion ssh au hasard) et vous garder la possibilité de faire une analyse post-mortem en cas de gros gros problème.

Ce message a été modifié par iAPX - 14 Jan 2021, 14:30.

[vlady]

Heureusement car c'était vraiment limite comme choix…

Avec DTrace (qu'Apple a laissé crever dans son coin) c’était la même chose, DTrace ne pouvait pas accéder aux certains exécutables Apple. Security (soit disant) by obscurity + énorme couche du BS marketing...

@iAPX j'ai opté pour un router "Mikrotik - Hex S". Il faut presque tout ce que je désire : Firewall, router, DNS (static), toutes sortes de VPN (y compris VPN genre sstp abandonnés par Apple), etc. Pas de truc genre PI Hole, malheureusement, mais les mises à jours sont fréquentes, peut être ça viendra...

https://www.amazon.fr/MikroTik-Hex-Gigabit-...200&sr=8-17

Ce message a été modifié par vlady - 14 Jan 2021, 16:45.

[DefKing]

Mon plus gros reproche, c'est les modifications pour le plaisir de faire des modifications. Certains programmes Apple ont perdu certaines fonctions qu'ils avaient gagnées au fil des mises à jour. Je me sers d'une version MacOS vielle d'il y a cinq ans sur un ancien iMac et pas mal de choses sont plus pratiques que ce qu'il y a maintenant.
Quant à Mail, après transfert de la sauvegarde dans le nouvel iMac, j'ai eu toutes les boîtes à lettres en double, la plupart vides, évidemment.


Ce message a été modifié par DefKing - 14 Jan 2021, 17:09.

[STRyk]

Pour ma part j'utilise un VPN avec son serveur DNS forcé et un Firewall dédié avec analyse dynamique du traffic sur base de Raspberry Pi 4: Pi Hole + pivpn + développements persos

Cela me permet de contrôler tout autant ce qui échange avec mon Mac qu'avec mon iPhone, avec bien plus de souplesse et en coupant court aux échanges très douteux comme du DoH (DNS over https) ou du https avec Certificate pre-pinning qu'on ne peut pas intercepter en clair (donc pas analyser).

Je recommande vivement ce type de VPN, de préférence dédié et séparé de son routeur pour limiter la surface d'attaque, pour ceux qui veulent sécuriser leurs communication ad-minima.
Au passage PI Hole débarrasse d'un maximum de malware, traceurs et publicités, augmentant les performances et l'autonomie, et rendant l'analyse du restant bien plus facile!

PS: le petit truc en plus. Vous pouvez envoyer les Logs via rsyslog sur un service externe comme PapertrailApp (gratuit avec limites) pour pouvoir générer des alertes suivant les évènements (connexion ssh au hasard) et vous garder la possibilité de faire une analyse post-mortem en cas de gros gros problème.

Oui, mais pas facile à mettre ne place pour une personen qui met un peu les mains dans le cambouis, ou alors il ne faut faire que ca. Et ce n'est souvent pas possible.
A la base Apple avec leurs systèmes ne devaient pas être plus simple que les autres systèmes ?

Mon plus gros reproche, c'est les modifications pour le plaisir de faire des modifications. Certains programmes Apple ont perdu certaines fonctions qu'ils avaient gagnées au fil des mises à jour. Je me sers d'une version MacOS vielle d'il y a cinq ans sur un ancien iMac et pas mal de choses sont plus pratiques que ce qu'il y a maintenant.
Quant à Mail, après transfert de la sauvegarde dans le nouvel iMac, j'ai eu toutes les boîtes à lettres en double, la plupart vides, évidemment.

Et oui, c'est devenu un gros bazar où il faut etre ultra geek, se tenir au cournt jour après jour si on ne veux pas sombrer dans une galère au quotidien.
OS lourd, devenu inutilisable comme précédement : je ne vois pas ou est lévolution là...

Où sous 10.6 on avait tout simplement Little Snitch, tout deviens complètement délirant maintenant.

[iAPX]

...
A la base Apple avec leurs systèmes ne devaient pas être plus simple que les autres systèmes ?
...

Il l'est: le firewall intégré dans macOS est vraiment accessible, avec l'option "Block all incoming connections" (Bloquer toutes les connexions entrantes) disponible et vraiment efficace et devrait être conseillé par défaut tant il résout de problèmes, à commencer par un scan réseau.

Ce paramétrage m'a permis de découvrir en 2005 grâce à mon Mac Mini un malware Windows+Linux sur mon réseau qui avait échappé à mon antivirus et mon firewall Windows de l'époque, malware vraiment très étrange par ses cibles, je dirais quasi unique pour l'époque. Très ciblé. Très dangereux. Invisible.

Mon organisation sert aussi à me protéger des connexions sortantes qui ne sont pas gérées par ce firewall, incluant des domaines litigieux (malwares, traceurs, publicités) ou des adresses IP en Russie ou en Chine que j'ai choisi de filtrer par défaut.
Ça rend beaucoup plus efficace l'analyse du traffic sortant restant, puisque débarrassé des merdes des uns et des autres.
Et malheureusement il y a de la complexité, mais aussi un coût pour l'achat du matériel, mais on est à moins de 2€/mois.

PS: j'ai eu une demande sur les détails d'implémentation Pi Hole + pivpn, que j'ai fourni avec grand plaisir, incluant l'astuce pour que ça marche derrière du NAT (un routeur quoi), je vais revenir dessus mais ça sera probablement un lien sur un sujet en anglais.

Ce message a été modifié par iAPX - 14 Jan 2021, 20:26.

[STRyk]

Il l'est: le firewall intégré dans macOS est vraiment accessible, avec l'option "Block all incoming connections" (Bloquer toutes les connexions entrantes) disponible et vraiment efficace et devrait être conseillé par défaut tant il résout de problèmes, à commencer par un scan réseau.

Ce paramétrage m'a permis de découvrir en 2005 grâce à mon Mac Mini un malware Windows+Linux sur mon réseau qui avait échappé à mon antivirus et mon firewall Windows de l'époque, malware vraiment très étrange par ses cibles, je dirais quasi unique pour l'époque. Très ciblé. Très dangereux. Invisible.

Mon organisation sert aussi à me protéger des connexions sortantes qui ne sont pas gérées par ce firewall, incluant des domaines litigieux (malwares, traceurs, publicités) ou des adresses IP en Russie ou en Chine que j'ai choisi de filtrer par défaut.
Ça rend beaucoup plus efficace l'analyse du traffic sortant restant, puisque débarrassé des merdes des uns et des autres.
Et malheureusement il y a de la complexité, mais aussi un coût pour l'achat du matériel, mais on est à moins de 2€/mois.

PS: j'ai eu une demande sur les détails d'implémentation Pi Hole + pivpn, que j'ai fourni avec grand plaisir, incluant l'astuce pour que ça marche derrière du NAT (un routeur quoi), je vais revenir dessus mais ça sera probablement un lien sur un sujet en anglais.

Merci pour l'explication mais lors de l'utilisation de firewall, même en ayant un peu de connaissance dans les "idioties" que certains arrivent à pondre pour essayer de rentrer dans les machines ou pour faire n'importe quoi (dans quel but ?), un novice comme moi à du mal à déceler ce qui est mauvais de bon vu le nombre de choses pondues plus ou moins tout les jours.
Il faut savoir ce que l'on cherche à filter et là tout est le problème.
J'ai suivi un temp de loin l'idée du pi hole mais ensuite pour le mettre en oeuvre, bu le temp à passer il y aura sans doute un truc plus simple au bout de quelques temps...
Merci en tout cas pour l'explication.

Une solution vennant d'un gros éditeur serait effectivement une vrai solution pour tout le monde, mais avec leurs rivalités de gamins ce n'est pas gagné !
Donc on peux comprendre la paranoïa que peut avoir certaines personnes et de l'autre coté, certains se reponsent trop sur les editeurs en proposant un mot de passe sur la porte d'entrée mais laissant les fenêtres ouvertes de l'autre coté.

[iAPX]

Il l'est: le firewall intégré dans macOS est vraiment accessible, avec l'option "Block all incoming connections" (Bloquer toutes les connexions entrantes) disponible et vraiment efficace et devrait être conseillé par défaut tant il résout de problèmes, à commencer par un scan réseau.

Ce paramétrage m'a permis de découvrir en 2005 grâce à mon Mac Mini un malware Windows+Linux sur mon réseau qui avait échappé à mon antivirus et mon firewall Windows de l'époque, malware vraiment très étrange par ses cibles, je dirais quasi unique pour l'époque. Très ciblé. Très dangereux. Invisible.

Mon organisation sert aussi à me protéger des connexions sortantes qui ne sont pas gérées par ce firewall, incluant des domaines litigieux (malwares, traceurs, publicités) ou des adresses IP en Russie ou en Chine que j'ai choisi de filtrer par défaut.
Ça rend beaucoup plus efficace l'analyse du traffic sortant restant, puisque débarrassé des merdes des uns et des autres.
Et malheureusement il y a de la complexité, mais aussi un coût pour l'achat du matériel, mais on est à moins de 2€/mois.

PS: j'ai eu une demande sur les détails d'implémentation Pi Hole + pivpn, que j'ai fourni avec grand plaisir, incluant l'astuce pour que ça marche derrière du NAT (un routeur quoi), je vais revenir dessus mais ça sera probablement un lien sur un sujet en anglais.

Merci pour l'explication mais lors de l'utilisation de firewall, même en ayant un peu de connaissance dans les "idioties" que certains arrivent à pondre pour essayer de rentrer dans les machines ou pour faire n'importe quoi (dans quel but ?), un novice comme moi à du mal à déceler ce qui est mauvais de bon vu le nombre de choses pondues plus ou moins tout les jours.
Il faut savoir ce que l'on cherche à filter et là tout est le problème.
J'ai suivi un temp de loin l'idée du pi hole mais ensuite pour le mettre en oeuvre, bu le temp à passer il y aura sans doute un truc plus simple au bout de quelques temps...
Merci en tout cas pour l'explication.

Une solution vennant d'un gros éditeur serait effectivement une vrai solution pour tout le monde, mais avec leurs rivalités de gamins ce n'est pas gagné !
Donc on peux comprendre la paranoïa que peut avoir certaines personnes et de l'autre coté, certains se reponsent trop sur les editeurs en proposant un mot de passe sur la porte d'entrée mais laissant les fenêtres ouvertes de l'autre coté.

Au lieu de me défendre sur ma paranoïa évidente, faisant un métier pour lequel c'est une qualité ("Même les paranoïaque ont des ennemis" - Nixon), je vais plutôt aborder un autre aspect: se défendre.

L'idée est d'avoir plusieurs couches de sécurité, indépendantes, comme des sortes d'armures les unes sur les autres, une Matryoshka de sécurité.
La première consiste à ne pas charger ni utiliser n'importe quelle Application. Mobile ou sous macOS.
La seconde à ne pas utiliser un compte Administrateur lors de leur usage.
La troisième à paramétrer le Firewall de macOS pour refuser toute connexion entrante.

Avoir une DNS et un Firewall externe, qui ne peuvent être contournés par une corruption via une attaque de macOS/iOS/iPadOS ou un changement dans les règles de sécurité de ceux-ci.

etc etc.

PS: j'ai été exposé à des merdes comme jamf pro qui ouvrent des tonnes de failles sécurité, pour nous surveiller alors qu'affaiblissant incroyablement la sécurité de la compagnie, des besoins et des contraintes très disjointes (surveiller vs. protéger), et j'ai coupé les c...lles de ces merdes sans remord depuis l'extérieur.
Mon réseau, mes règles.

D'ailleurs Jamf a une note B au test de SSLLabs sur leurs serveurs, quoique se présentant une société "de sécurité", et mon ti'serveur dans son coin une note A (qui ira sur A+ obligatoirement ce printemps).

Ce message a été modifié par iAPX - 14 Jan 2021, 23:22.

[fced]

C'est dingue quand même, au train ou ça va, un jour un ne pourra plus utiliser que des logiciels apple sur nos macs.

[Dahood]

C'est dingue quand même, au train ou ça va, un jour un ne pourra plus utiliser que des logiciels apple sur nos macs.

D'une certaine facon c'est deja le cas avec des application validees par Apple sur son store, et la propension qu'a MacOS à brider de plus en plus tout ce qui ne viens pas du store.
Sachant qu'Apple ne peux pas developper tout ce qui existe comme apps, c'est une bonne maniere de contourner ce probleme qu'ils ont trouvé.

[fced]

C'est dingue quand même, au train ou ça va, un jour un ne pourra plus utiliser que des logiciels apple sur nos macs.

D'une certaine facon c'est deja le cas avec des application validees par Apple sur son store, et la propension qu'a MacOS à brider de plus en plus tout ce qui ne viens pas du store.
Sachant qu'Apple ne peux pas developper tout ce qui existe comme apps, c'est une bonne maniere de contourner ce probleme qu'ils ont trouvé.

Pour être honnête je n'ai rien contre le fait qu'ils valident les applications avant de les mettre sur le store, ça permet d'éviter les malwares etc, mais sont ils de bonne foi ?
Pour exemple une application que j'utilisais sur IOS "Wifi Scan" de WiTagg, elle permettait de voir la qualité de son signal wifi, et de voir les points d"'accès a proximité, ben apparement elle a été interdite du store ...

[gimli]

C'est pareil sous ubuntu, on nous pousse des snaps via la boutique intégrée et les autres applications sont toujours installables via la ligne de commande.

A la limite c'est sous windows que c'est le plus ouvert car on trouve des exe et des msi quasi pour tout