Hands Off! ocuparía el segundo lugar en esas recomendaciones, con menos detalles pero con un precio más ajustado. Las dos son buenas apps, pero tienen un problema. A diferencia del firewall predeterminado actúan una capa por encima de las entrañas de Macintosh, al mismo nivel del resto del software que instalamos, y eso las hace más vulnerables.
Ese firewall de serie que se configura en Preferencias del Sistema / Seguridad se llama PF (aunque en Cupertino lo denominan ALF) es similar a Iptables de Linux y deriva de BSD, el O.S. libre en el que se basó OSX. Las reglas de seguridad que introducimos en PF se incorporan al kernel, son más profundas y prevalecen. Están ahí independientemente de cualquier orden que emita otro programa. Little Snitch o Hands Off! podrían habilitar la admisión de un paquete de datos, pero si PF deniega su consentimiento ni siquiera procesarán el envío. El software que envuelve el sistema tiene el punto flaco de dar las órdenes a macOS, en macOS, no al núcleo hacia el núcleo.
Naturalmente PF está facultado para el dictado de reglas desde el terminal, olvidándonos de interfaces gráficas como las que vamos a ver. Por ejemplo:
pass in quick inet proto udp from any port 67 to any port 68
Y para aclararnos cuando leamos el archivo de configuración pondríamos una nota junto al signo almohadilla en la línea inmediatamente anterior a cada regla:
#Permitir conexiones críticas del sistema pass in quick inet proto udp from any port 67 to any port 68
Como veis el lenguaje es intuitivo, pero es obligatorio que sea absolutamente preciso. Hay una sintaxis para escribir las órdenes y unos keywords que han de ser exactos para que PF funcione correctamente cuando lee el archivo /etc/pf.conf y ejecuta entonces el tráfico de red según esas instrucciones, autorizando y denegando accesos. La cosa se complica porque la jerarquía y colocación en la que se escriben las líneas influyen en el desempeño del cortafuegos. Si habéis visto alguna vez un archivo de iptables en Linux os podéis hacer una idea.
Lo llamativo es que Apple nos proporcione por defecto el mejor firewall, y el que menos recursos consume, pero ninguna interface con la que realizar una configuración detallada. Ahí es donde entran Murus & Vallum, dos aplicaciones de los desarrolladores italianos Hany El Imam y Davide Feroldi que construyen una solución unificada para comunicar con PF de modo que sea posible generar de forma muy sencilla reglas complejas para activar o desactivar desde el kernel el acceso a internet de nuestra máquina.
Murus se ocupa de los servicios del sistema y de la asignación genérica de puertos. Vallum funciona como el clásico firewall “user friendly”, solicitando permisos cada vez que una aplicación se activa y que pueden grabarse como permanentes o para un periodo de tiempo o una dirección determinadas. Uno interactúa con otro, y los dos con un pack de utilidades (Knocker, Injector, Menulet, Logs Visualizer, Services Wizards) que acompañan las herramientas principales en una estructura multimodular. Sin embargo el reglamento, para unas operaciones tan complejas, se establece fácilmente arrastrando y soltando iconos y pulsando en ellos para que se muestre el estado y el rango de IP’s, internas o exteriores, sobre los que se aplica.
No es tan sencillo, ni la GUI está tan depurada estéticamente como la de Little Snitch. Ni siquiera los preajustes, llamados estrategias, son coser y cantar, porque en sus niveles más altos es posible, en principio, bloquear todo el tráfico o dar sólo acceso a navegación y correo. En terminología “técnica” Murus & Vallum es un RTFM (Read The Fucking Manual) accesible y amigable, pero que no va a permitir que te figures que se trata de un juguetito más en tu escritorio. Afortunadamente todas las opciones se acompañan de texto traducido al castellano que explica para qué sirven, lo que no exime de tener unos conocimientos más que básicos para usarlo.
Y terminamos. Los precios están bastante ajustados. Van de los diez euros, de la versión basic de Murus, a los treinta y cinco de la licencia bundle Murus & Vallum Pro, con los módulos extra, e instalable en varios Mac. Hay versión lite gratuita y un programa de descuento del 50% para uso con fines educativos, sin preguntas, como dicen en su website. Para usuarios avanzados es El Firewall en Mac, con permiso de su exégesis, unfrendly y de código abierto, para 10.7, 10.8. 10.9 y 10.10, IceFloor. Para la mayoría de los hackers un software que sabe más que ellos y que se explica mejor.