Firewall PF installeren op Mac book pro

Je hebt de configuratie bestanden al, dus je hebt al iets geprobeerd? Wat was dat, er waar liep je tegenaan?

Je zou evt ook de Mac specifieke apps Little Snitch (betaald) of Lulu (gratis) kunnen proberen. ZIjn redelijk simpel met opzetten.

[ Voor 7% gewijzigd door kaassouffle op 12-05-2023 08:29 ]

MacOS heeft toch standaard al PF. Je moet het activeren in de beveiligingsinstellingen, systeeminstellingen. Daar kun je de firewall inschakelen.

voer dit command in de terminal uit om te kijken of Pf geactiveerd is:

$ sudo pfctl -s info

[ Voor 25% gewijzigd door vj_slof op 12-05-2023 08:36 ]

Een snelle google actie leverde dit artikel op: https://iyanmv.medium.com...a-to-big-sur-47e70e062a0e
Zelf heb ik nooit de behoefte gehad om dit soort zaken te gaan doen op mijn Mac. Een beetje oplettendheid tijdens het gebruik is genoeg, ik heb echt nog nooit last gehad van gekke zaken op dit systeem.

vj_slof schreef op vrijdag 12 mei 2023 @ 08:33:
MacOS heeft toch standaard al PF. Je moet het activeren in de beveiligingsinstellingen, systeeminstellingen. Daar kun je de firewall inschakelen.

voer dit command in de terminal uit om te kijken of Pf geactiveerd is:

$ sudo pfctl -s info

Dit inderdaad maar het staat niet bij beveiligingsinstellingen maar bij netwerk.

Hier staat de firewall in Beveiliging en Privacy. Om PF in te schakelen is het wel nodig om de firewall op Stealth modus te zetten.

Waarom zou je dit expliciet op je MacBook gaan instellen? Maak je veel gebruik van open WiFi netwerken of je eigen hotspot?

cahlucas schreef op zondag 14 mei 2023 @ 19:53:
[...]

Ik zal waarschijnlijk niet veel gebruik gaan maken van open wifi netwerken, maar als ik dat doe, dan wil ik het wel veilig doen. Ik beschik over een eigen hotspot, maar weet niet of dit wel veiliger is, derhalve wil ik voor alle zekerheid toch de firewall kunnen activeren.

Ik zie niet zo goed wat je hiermee opschiet. Een firewall maakt het gebruik van een open WiFi netwerk niet veilig. Het zorgt er alleen voor dat je poorten gesloten zijn. Dit zit echter al standaard in MacOS, en zo’n beetje alle andere besturingssystemen die er zijn.

Als je al je verkeer veilig wil houden kun je beter thuis een PF firewall plaatsen en onderweg je laptop via VPN hiermee verbinden zodat al je verkeer via je internet verbinding thuis het WWW op gaat.

[ Voor 4% gewijzigd door Blommie01 op 14-05-2023 20:50 ]

Blommie01 schreef op zondag 14 mei 2023 @ 20:45:
[...]


Ik zie niet zo goed wat je hiermee opschiet. Een firewall maakt het gebruik van een open WiFi netwerk niet veilig. Het zorgt er alleen voor dat je poorten gesloten zijn. Dit zit echter al standaard in MacOS, en zo’n beetje alle andere besturingssystemen die er zijn.

Als je al je verkeer veilig wil houden kun je beter thuis een PF firewall plaatsen en onderweg je laptop via VPN hiermee verbinden zodat al je verkeer via je internet verbinding thuis het WWW op gaat.

precies dit ja. Zou dan eerder een VPN gebruiken. Heb je ook nog wat andere voordelen aan als je actief netflix kijkt en afhankelijk bent van regio's etc.

cahlucas schreef op donderdag 18 mei 2023 @ 17:50:
[...]

Behalve dat het diverse poorten sluit, filtert een firewall ook je dataverkeer op valse pakketten, zoals trojans en virussen. Thuis gebruik ik al een zelfgebouwde firewall met openBSD en PF en dat werkt al vele jaren erg goed. Een VPN is ook een oplossing, maar heeft als nadeel dat de firewall en VPN dag en nacht aan moeten blijven staan, en dat kost aardig wat energie, zeker als je lang in het buitenland verblijft. Derhalve kies ik liever voor de oplossing van een firewall eventueel in combinatie met een hotspot.

Die firewall zit al in je Mac. Gewoon en kwestie van aanzetten.

De enige veilige manier om gebruik te maken van publieke netwerken is VPN.

Maar doe vooral dingen waar jij je veilig bij voelt 👍

[ Voor 13% gewijzigd door Blommie01 op 18-05-2023 18:39 ]

cahlucas schreef op zondag 21 mei 2023 @ 02:22:
[...]

Als ik goed ben geïnformeerd, verbindt je je computer via VPN met een server waarop ook VPN werkzaam is. Als je via VPN een verbinding opzet naar een server waarop geen VPN draait, zal de verbinding niet lukken. Derhalve kun je een VPN niet universeel inzetten. Bovendien moet je een VPN extra beveiligen met een firewall voor maximale veiligheid.

Je bent volledig verkeerd geïnformeerd.

Als je een VPN verbinding van je MacBook naar bijvoorbeeld een VPN server thuis opzet, heb je een volledig versleutelde verbinding (dus veilig) tussen je laptop en je thuis netwerk. Je laptop functioneert dan alsof hij thuis in je netwerk zit. Je kunt dan ook via je verbinding thuis het internet op. Je kunt ook een VPN dienst afnemen. Dan hoef je thuis niet alles in te richten en te onderhouden. Je moet dan wel het vertrouwen hebben dat de dienst integer met je dataverkeer omgaat. Dat is aan jezelf.

Bovenstaande is de meest veilige manier om gebruik te maken van publieke netwerken. Er is dan namelijk niemand die tussen het verkeer van je laptop en het punt dat je het internet op gaat kan komen. Dit gaat dan namelijk via je thuis verbinding of via de VPN dienst.

Als je (zoals jij wil) een extra firewall op je MacBook zet kun je nog steeds gewoon je verkeer onderscheppen dat over het publiek netwerk gaat. Dat is waarschijnlijk versleuteld maar je kunt wel zien waar naartoe je verbindt en dit proberen te manipuleren. Je kunt dan heel gericht jouw laptop aanvallen. Daar hoef je geen toegang tot je laptop voor te hebben

Hoe dit in zijn werk gaat laat ik maar even in het midden

[ Voor 54% gewijzigd door Blommie01 op 21-05-2023 09:12 ]

Je hebt het over veilig werken buitenshuis. Ik denk dat het goed is om iets scherper te definiëren wat je precies op het gebied van 'veilig' wilt bereiken, want PF is uiteindelijk ook alleen maar een firewall. Laat ik hieronder een aantal 'threat models' schetsen:

1. toegang tot de Mac, geïnitieerd vanaf een externe bron (al dan niet op het hotspot netwerk waar je aan hangt): de ingebouwde firewall van MacOS aanzetten gaat al een hoop uitmaken. Eventueel kan je in de geavanceerde instellingen stealth mode activeren, en het is verstandig om geen netwerk services (Settings -> Sharing) te draaien die je niet nodig hebt op een publiek netwerk (SSH toegang, filesharing, etc)

2. toegang tot de Mac, geïnitieerd vanaf de Mac (malware/backdoor): het is lastig om je hier 100% tegen te wapenen, want je systeem is dan immers al compromised. Naast selectief zijn in waar je je software vandaan haalt, kan iets als Little Snitch je hier wel helpen. Het geeft je inzicht in welk proces welke netwerkconnectie wil maken, en het kan ook automatisch niet-goedgekeurde connecties blokkeren. Little Snitch kan wat irritant zijn in de eerste weken als je het defensief configureert, maar je hebt wel uitstekend grip op welke connecties er precies gelegd worden en hoe legitiem dat allemaal is. Little Snitch is niet gratis, maar afhankelijk van je wensen wel absoluut het geld waard.

3. onderscheppen van netwerkverkeer (in transit): dit is waar de eerder genoemde VPN je kan en gaat helpen. Je stopt immers al je verkeer in een versleutelde tunnel, en leidt het via een voor jou vertrouwd netwerk. Ja, dat vereist een VPN server. Je kan daar een commerciële dienst voor gebruiken, of zelf een VPN server draaien. Je gaf eerder aan dat je dat qua stroomverbruik niet wenselijk vindt, maar een Raspberry Pi is al voldoende om als thuis VPN oplossing te dienen. Let wel dat niet elke hotspot even 'VPN friendly' is, dus sommige typen VPN zullen niet altijd werken. Ik heb zelf uitstekende ervaringen met het gebruiken van Tailscale's "exit node" functie, wat zelfs feilloos werkte op corporate netwerken waar 'alle VPNs geblokkeerd werden' Tailscale is in de basis gratis, en mijn 'exit node' draait thuis op een prehistorische Pi v1 tegen een verwaarloosbaar stroomverbruik. De Pi draait tevens mijn PiHole die als default DNS server voor alle devices op mijn TailNet dient.

Een combinatie van maatregelen gaat je het best beschermen. Welke combinatie is aan jou.