Guida al controllo e alla gestione dello stato del firewall di macOS per la sicurezza IT

Punti chiave

• Lo script “Check-FirewallStatusMac.sh” è uno strumento fondamentale per automatizzare i controlli dello stato del firewall su macOS, garantendo la sicurezza della rete.
• Funziona in due modalità: con controlli predefiniti o con argomenti specificati dall’utente(–inboundblocked e –stealthmode).
• Utilizza i comandi socketfilterfw e defaults di macOS per recuperare le configurazioni del firewall.
• Gli stati di uscita (1 per i rischi di sicurezza, 2 per gli input non validi) forniscono una rapida panoramica sullo stato del firewall.
• Offre un’alternativa più efficiente e a prova di errore ai controlli manuali del firewall.
• Ideale per gli amministratori IT e gli MSP per garantire la conformità alle policy di sicurezza su diversi dispositivi macOS.
• L’uso regolare dello script per controllare lo stato del firewall in macOS come parte delle routine di manutenzione dell’IT migliora le misure di sicurezza proattive.
• La personalizzazione e l’integrazione in sistemi di gestione IT più ampi come NinjaOne possono semplificare i processi di sicurezza dell’organizzazione.

Introduzione

La gestione del firewall è una componente fondamentale per la salvaguardia dell’infrastruttura IT di qualsiasi organizzazione. A fronte della crescente dipendenza dai sistemi digitali, la comprensione e il controllo del traffico di rete diventano imperativi per prevenire accessi non autorizzati e garantire l’integrità dei dati. In questo contesto, script come “Check-FirewallStatusMac.sh” svolgono un ruolo fondamentale, offrendo un modo semplice ed efficiente per monitorare lo stato del firewall sui sistemi macOS.

Background

Nel panorama dinamico della sicurezza IT, i professionisti e i fornitori di servizi gestiti (MSP) sono costantemente chiamati a mantenere posizioni di sicurezza ottimali. Questo script si rivela uno strumento importante per gli amministratori IT, consentendo loro di automatizzare il monitoraggio delle impostazioni del firewall. È stato progettato per verificare se il firewall è abilitato, se le connessioni in entrata sono bloccate e se il sistema è in modalità stealth, parametri essenziali per una solida sicurezza della rete.

Lo script per controllare lo stato del firewall in macOS:

#!/usr/bin/env bash
# Description: Checks whether or not firewall is enabled and whether or not it's blocking inbound connections and optionally in stealth mode.
#  Will exit with status code 1 if any of those are not true. It exits with status code 2 for invalid input!
# Release Notes: Initial Release
# By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
# Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
# Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
# Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
# Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
# Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
# Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
# EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
#
# Usage: ./Check-FirewallStatusMac.sh [--inboundblocked] [--stealthmode]
# <> are required
# [] are optional
# Example: ./Check-FirewallStatusMac.sh --inboundblocked --stealthmode
#
# Notes:
#
#

function socketfilterfw() {
    /usr/libexec/ApplicationFirewall/socketfilterfw "$@"
}

function defaults() {
    /usr/bin/defaults "$@"
}

# When run directly without testing, the "__()" function does nothing.
test || __() { :; }

__ begin __
if [ $# -eq 0 ]; then
    if [[ "${inboundblocked}" == "true" ]]; then
        inboundCheck=$(socketfilterfw --getblockall | grep DISABLED)
        if [[ -n $inboundCheck ]]; then
            echo "Inbound traffic is not being blocked by default!"
            failed="True"
        fi
    fi
    if [[ "${stealthmode}" == "true" ]]; then
        stealthCheck=$(socketfilterfw --getstealthmode | grep disabled)
        if [[ -n $stealthCheck ]]; then
            echo "Stealthmode is NOT enabled!"
            failed="True"
        fi
    fi
else
    for i in "$@"; do
        if [[ $i != **"--inboundblocked"** && $i != **"--stealthmode"** && -n $i ]]; then
            echo "[Error] invalid input! Only supports --inboundblocked and --stealthmode" 1>&2
            echo "Exiting with status code 2" 1>&2
            exit 2
        fi

        if [[ $i == *"--inboundblocked"* ]]; then
            inboundCheck=$(socketfilterfw --getblockall | grep DISABLED)
            if [[ -n $inboundCheck ]]; then
                echo "Inbound traffic is not being blocked by default!"
                failed="True"
            fi
        fi

        if [[ $i == *"--stealthmode"* ]]; then
            stealthCheck=$(socketfilterfw --getstealthmode | grep disabled)
            if [[ -n $stealthCheck ]]; then
                echo "Stealthmode is NOT enabled!"
                failed="True"
            fi
        fi
    done
fi

firewallSocket=$(socketfilterfw --getglobalstate | grep disabled)
firewallALF=$(defaults read /Library/Preferences/com.apple.alf globalstate | grep 0)

if [[ -n $firewallSocket || -n $firewallALF ]]; then
    echo "The firewall is currently disabled."
    failed="True"
fi

if [[ $failed == "True" ]]; then
    echo "One or more checks have failed. Exiting with status code 1."
    exit 1
else
    echo "The firewall is enabled and all other checks have passed."
    exit 0
fi

__ end __

 

Analisi dettagliata

Lo script per controllare lo stato del firewall in macOS  inizia con una definizione di funzione per socketfilterfw e defaults, che sono comandi macOS per gestire rispettivamente il firewall delle applicazioni e le preferenze di sistema. Funziona in due modalità: con e senza argomenti. Quando non vengono forniti argomenti, controlla se le connessioni in entrata sono bloccate e se la modalità stealth è abilitata in base a variabili predefinite.

Con gli argomenti, itera attraverso gli stessi, convalidando ed eseguendo i controlli per –inboundblocked e –stealthmode. Utilizza il comando socketfilterfw per recuperare le impostazioni correnti e usa grep per filtrare l’output. Lo script controlla quindi lo stato del firewall globale e la preferenza ALF (Application Layer Firewall). Qualsiasi errore in questi controlli determina uno stato finale pari a 1, indicando un potenziale rischio per la sicurezza, mentre gli input non validi determinano uno stato finale pari a 2.

Casi d’uso potenziali

Consideriamo un amministratore IT che gestisce una rete con diversi dispositivi macOS. Possono distribuire questo script in tutta la rete per verificare periodicamente le impostazioni del firewall, assicurando che tutti i dispositivi siano conformi ai criteri di sicurezza dell’organizzazione. In caso di discrepanza, l’output dello script può innescare ulteriori indagini o azioni di rimedio automatizzate.

Confronti

La verifica manuale attraverso le Preferenze di sistema o comandi da terminale è possibile, ma richiede molto tempo ed è soggetta a errori umani. Altre soluzioni software offrono funzionalità simili, ma spesso comportano costi aggiuntivi e complessità. Questo script offre un’alternativa leggera, personalizzabile ed economica.

Domande frequenti

• Come si esegue lo script per controllare lo stato del firewall in macOS?
  • Esegui lo script nel terminale con gli argomenti opzionali –inboundblocked e –stealthmode.
• Cosa implica uno stato finale pari a 1?
  • Segnala che il firewall è disattivato, le connessioni in entrata non sono bloccate o la modalità stealth non è abilitata.
• Questo script è compatibile con tutte le versioni di macOS?
  • È progettato per macOS, ma deve essere testato su versioni specifiche per verificarne la compatibilità.

Implicazioni

I risultati dello script per controllare lo stato del firewall in macOS hanno implicazioni significative per la sicurezza IT. Un firewall disattivato o impostazioni non correttamente configurate possono esporre la rete a vulnerabilità. Grazie a questo script è possibile effettuare controlli regolari nell’ambito di una strategia di sicurezza proattiva, riducendo il rischio di attacchi informatici.

Raccomandazioni

Le best practice includono l’esecuzione regolare di script, magari come parte della manutenzione programmata. Gli amministratori devono inoltre rivedere e adattare lo script ai requisiti specifici dell’organizzazione e alle versioni di macOS. L’integrazione con sistemi di gestione IT più ampi può ottimizzare ulteriormente i processi di sicurezza.

Considerazioni finali

In un mondo in cui la complessità dell’infrastruttura IT è in continuo aumento, strumenti come NinjaOne offrono soluzioni complete per gestire gli ambienti IT in modo efficiente. L’integrazione di script come “Check-FirewallStatusMac.sh” all’interno della piattaforma NinjaOne potrebbe rafforzare le sue capacità, offrendo un monitoraggio semplificato del firewall e garantendo una solida sicurezza per le organizzazioni che utilizzano sistemi macOS.