À quel point le mode furtif du pare-feu est-il furtif? Augmente-t-il la sécurité?

14

Dans les Préférences Système, il y a l'option:

`Security & Privacy -> Firewall -> Advanced... -> Enable Stealth Mode

Cette option augmente-t-elle considérablement la sécurité lors de la mise en réseau ou de la navigation sur Internet ?

L'astuce dit seulement: Ne répondez pas et ne reconnaissez pas les tentatives d'accès à cet ordinateur depuis le réseau en testant des applications utilisant ICMP, telles que Ping.

L'astuce n'explique pas comment mon travail avec le Mac est affecté.

gentmatt
la source

Réponses:

15

Oui. Le mode furtif améliore la sécurité de votre système. L'inspection dynamique des paquets est un autre élément crucial des prouesses d'un pare-feu. Il est également à noter que le pare-feu d'Apple est alimenté par l' ipfw robuste .

Ce qu'Apple dit est un résumé concis du fonctionnement du mode furtif, et si vous n'êtes pas versé dans la sécurité informatique, une explication complète n'offrira pas beaucoup plus car c'est un système complexe (TCP ou Transmission Control Protocol , qui n’est qu’un élément de la transmission de données lui-même est plutôt compliqué et profondément stratifié).

Les principes fondamentaux de la mise en réseau (c'est-à-dire le transfert de données sur Internet) reposent sur des protocoles qui établissent des connexions (la «prise de contact» démarre tout), puis le relais des données (via des choses comme TCP et UDP). Les ICMP (comme les requêtes ping ou d'écho) sont généralement utilisés pour «sonder» un hôte cible (le plus souvent pour des raisons tout à fait valables), en l'identifiant sur le réseau. Les pirates les utilisent pour trouver leurs proies.

entrez la description de l'image ici

Les pare-feu fonctionnent en se plantant entre le noyau et la pile TCP / IP (donc à un niveau très profond) et en surveillant les paquets qui s'exécutent entre ces couches. Dans l'image ci-dessus, le noyau d'un système serait situé entre le pilote Ethernet et le matériel. Le pare-feu serait assis juste au-dessus du noyau. Les pare-feu ont besoin de ce niveau d'intégration élevé pour rester robustes et durables. Si un pare-feu était implanté à un niveau élevé, par exemple au niveau de votre navigateur, il le rendrait très vulnérable aux attaques. Plus un processus est profond (plus proche du noyau), plus il est difficile d'y accéder.

Lorsqu'un système fonctionne sans pare-feu, les paquets sont autorisés à accéder librement (en entrée et en sortie). Si une demande d'écho est envoyée, une réponse d'écho est relâchée par votre ordinateur (pensez-y comme un message d'accueil; quelqu'un dans la rue vous dépasse et vous dit «bonjour», vous souriez et le saluez en retour). Mais lorsqu'un pare-feu est opérationnel, il intervient, comme un membre des services secrets, en suivant son protocole. S'il lui est demandé de refuser les demandes, il enverra un message à la machine faisant la demande qu'il ne répond pas aux demandes d'écho. La machine reçoit un avis indiquant que sa demande d'écho a été refusée (ou bloquée). Naturellement , cela ne donne pas cette machine beaucoup d' informations, mais il ne les informer que quelqu'un est là.

Le mode furtif, en revanche, ne le fait pas. Le pare-feu observe la demande d'écho et au lieu de la refuser, il dit simplement à votre ordinateur d'ignorer le paquet. La machine à l'autre bout, non seulement n'obtient aucune donnée, mais ne reçoit même pas d'avis de rejet. C'est comme si leur paquet venait d'être perdu dans l'espace. Et cela indique soit une machine gardée par un pare-feu sécurisé, soit une machine qui n'existe même pas.

En effet, c'est l'équivalent de mettre quelqu'un en communication avec la messagerie vocale (en refusant la demande d'écho) ou simplement de désactiver la messagerie vocale et de la laisser sonner indéfiniment (en mode furtif).

Comme pour tout, un pirate intelligent peut contourner ces gardes de sécurité, mais cela rend leur vie beaucoup plus difficile. Et c'est la clé de la sécurité: rendre le travail des pirates un peu plus difficile à chaque tour. Cela élimine considérablement le " script kiddie " du hacker inconditionnel de Lulzsec .

Le mode furtif vous cache de ceux qui initient le trafic, mais il ne vous rend pas invisible. Une fois qu'une connexion est établie (soit par vous, soit par quelque chose qui a été autorisé à négocier le trafic sortant), vous apparaissez sur la grille comme n'importe quel ordinateur. Ainsi, même si l'envoi de requêtes ping peut ne plus fonctionner, il existe de nombreuses façons pour les pirates d'établir une connexion et d'exploiter potentiellement votre ordinateur via un service en cours d'exécution.


la source
@chsum C'est une réponse très bien structurée et facile à comprendre! Je vous remercie.
gentmatt
1
@gentmatt Heureux de vous aider. Non seulement c'était une excellente question, mais elle était écrite de manière concise. Et juste pour ajouter à ce qui précède, les kiddies de script constituent la majorité des pirates sur le net. Ils ne sont ni calculés, ni précis, ni même très bons, mais là, les chiffres les rendent dangereux. La bonne nouvelle, c'est que leur niveau d'expertise a tendance à les pousser à prier les ignorants (le gars qui n'a jamais synchronisé un iPhone ou qui sait quel navigateur il utilise). Donc, tant que vous êtes à jour sur vos mises à jour et profitez de la sécurité d'OS X, vous devez facilement décourager la majorité des menaces.
Je voulais mettre une prime de 100 rep sur votre réponse, mais j'ai foiré en quelque sorte ..
gentmatt
1
Merci. Ça va. J'aime ce genre de questions, donc c'était en soi gratifiant :)
@cksum Excellente réponse! Vous seriez également plus à l'abri des inondations de paquets / ping et autres si vous activez le mode furtif.
Andrew Larsson