Bezpečnost na internetu a Mac OS X (část I) - MujMAC.cz - Apple, Mac OS X, Apple iPod

Odběr fotomagazínu

Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!

 

Zadejte Vaši e-mailovou adresu:

Kamarád fotí rád?

Přihlas ho k odběru fotomagazínu!

 

Zadejte e-mailovou adresu kamaráda:

Soutěž

Sponzorem soutěže je:

IDIF

 

Odkud pochází fotografka Anne Erhard?

V dnešní soutěži hrajeme o:

Seriály

Více seriálů



Software

Bezpečnost na internetu a Mac OS X (část I)

macosearly

3. prosince 2002, 00.00 | První díl seriálu o bezpečnosti OS X. Nejdříve se zaměříme na vestavěné služby a následně na programy, které nám pomohou při administraci.

Bezpečnost na internetu a Mac OS X
Pokud jste si nainstalovali Mac OS X stali jste se automaticky "administrátory". Ano, je to tak, ten první uživatel, který operační systém instaluje, má práva, která nikdo další mít nemusí. Je tedy také svým způsobem zodpovědný za stav počítače, který obsluhuje a jeho konfiguraci. Nechci vás nijak strašit, protože Apple dodává Mac OS X s poměrně bezpečnou konfigurací, ale rozhodně byste se měli zamyslet, co všechno vám na počítači "běží" a proč. Ono totiž stoprocentně platí, že pokud někde nejsou otevřené dveře, nedá se projít.

Pokud hovoříme o bezpečnosti počítače připojeného k internetu, máme na mysli počítače, které jsou k internetu připojené přímo, tedy je k ním přímý přístup z venku, ať už jsou to servery, ke kterým je nutné mít veřejný přístup (resp. k jejich službám) už z principu, nebo osobní počítače. Týká se to hlavně počítačů na pevné lince či kabelovém modemu, uživatelé používající dial-up (připojení přes modem) jsou ohrožení výrazně méně. Pokud je váš počítač na místní firemní síti, připojené k internetu, s velkou pravděpodobností jste chránění tzv. překladem adres (NAT) - IP adresa vašeho počítače bude pravděpodobně ve formátu 192.168.x.x a díky tomu jste proti útoku z venku, z internetu, chráneni. Což však neznamená, že na vás nemůže "útočit" někdo z lokální sítě ve vaší firmě - pokud k tomu bude mít dobrý důvod. Pokud si nejste jisti, jak je váš počítač připojen k internetu a chcete udělat pro svůj klidný spánek maximum, zeptejte se správce sítě.

Z technického hlediska je UNIXová varianta, která je součástí Mac OS X, BSD 4.4. To je velmi dobrá zpráva, protože BSD je asi nejbezpečnější varianta na trhu. Když se podíváte na stránky OpenBSD, zjistíte, že "One remote hole in the default install, in nearly 6 years!", což je, oproti kupříkladu všemi opěvovanému Linuxu, dost podstatný rozdíl.

Přesto, že můžete na různých zpravodajských serverech najít uklidňující informace o bezpečnosti MacOS X, neměli byste situaci brát na lehkou váhu. A máte-li stálé připojení k internetu, platí toto upozornění dvojnásob. Po instalaci několika programů zjistíte sami, jak je situace vážná.

Více než obecné pravidlo
První, co potenciální hacker potřebuje zjistit, je informace, s jakým operačním systémem, případně serverem se potýká. A proč mu tedy situaci ulehčovat tím, že mu to sami řekneme? A to samé platí i o programech, které zajišťují různé služby. Jako příklad si vezmeme nějaký dostatečně známý server, třeba www.apple.cz. Pomocí programu nmap, který používají administrátoři (a hackeři) se dozvíme, že: Remote operating system guess: Mac OS X 10.1 - 10.1.4. Dobrá, pro tomu se nedá nic dělat, když někdo ví, jak na to... Ovšem, to, co nám z programu vypadne, je seznam otevřených portů.


Jak vidíte, kromě značného množství otevřených portů (neběží firewall??) je ve výpisu například ftp na portu 21. To je samozřejmě standardní služba, která ovšem nemusí být bez chyb. Zkusme tedy, který program se o ni stará. používají proFTPD? Nebo něco jiného? Jak uvidíte, není nic jednoduššího, než to zjistit. A to, že nemáme login, vůbec nevadí...
Spustíme tedy Terminal a napíšeme ftp www.apple.cz
Odpověď?
220-Welcome to CrushFTP!
220 CrushFTP Server Ready.

Pokud bychom tedy byli hackery, stačilo by najít na internetu výrobce programu CrushFTP, případně se přihlásit do několika skupin, či projít pár archivů a hledat informace o chybách. O co by byl úkol těžší, když bychom nevěděli, o jaký program jde...
(Technická poznámka na okraj: S jakým operačním systémem komunikujeme se dá zjistit pomocí "tvaru" TCP/IP paketů, které nám počítač vrací. Není to nijak složité a jsou programy, které jsou schopny podle databáze těchto podpisů s velkou určitostí odhalit vše, co potřebujeme. Okno aplikace, kterou vidíte na obrázku je mé GUI k programu NMap, hned jak to trochu doladím, můžete si ho stáhnout a vyzkoušet)

Firewall
První a nejdůležitější softwarové bezpečnostní opatření, které musíme nainstalovat nebo spustit, je Firewall. Mac OS X se dodává s vestavěným řešením, které je založeno na BSD příkazu ipfw a ovládá se přes panel Firewall, který je prostým grafickým rozhraním k tomuto příkazu. Pokud firewall aktivujete, vychází z jednoduchého principu. Vše z vnější sítě je zakázáno, kromě služeb, které jste si sami zapnuli.


Přesto, že jako základ je to poměrně dobré, vadí mi trochu, že se nikde nevytváří žádný log o možných problémech a vůbec to celé funguje jako "černá" skříňka. Při pátrání na internetu jsem tedy našel několik jiných řešeních a nejvíce se mi zalíbil program BrickHouse. Jde v podstatě o to samé, tedy také grafické rozhraní k ipfw, ale na řádově vyšší úrovni. Na vlastnosti tohoto programu se podíváme v dalším díle.

Obsah seriálu (více o seriálu):

Tématické zařazení:

 » Rubriky  » Informace  

 » Rubriky  » Agregator  

 » Rubriky  » Software  

Diskuse k článku

 

Vložit nový příspěvek   Sbalit příspěvky

 

bezpecnost

Autor: kofola Muž

Založeno: 03.12.2002, 10:42
Odpovědí: 0

Takze k te bezpecnosti na linuxu, OSX a openBSD: Cele je to predevsim v lidech. Open BSD si nainstaluje na Firewall jen obravdu svedomity admin, ktery se v otazce bezpecnosti opravdu vyzna. (Linuch tam hodi leckdo.) OpenBSD ma v defaultni instalaci zakazano temer vsechno. Nebezi tam zadne sluzby, portu ma otevrenych jen par(narozdil od linuxu, ale i od freeBSD, ktere maji pootvirane kdeco). Dokonce ani root tam nema absolutni prava jako na linuxu(a freeBSD). Jenze takovy system se na workstation nehodi a jeho srovnani s OSX je naprosto bezpredmetne. To je jako kdybyste srovnavali nekolika-tunovy opancerovany transporter a formuli a argumentovali to tim, ze maji stejny koncept(oboji je BSD).

Odpovědět na příspěvek

dodatek

Autor: kofola Muž

Založeno: 03.12.2002, 10:50

Samozrejme to nemam ze sve hlavy, takze zajemce o freebsd odkazuji sem:

http://root.cz/cl
anek.php4?id=768
http://
root.cz/clanek.php4?id=20
4
http://root.cz/clanek.
php4?id=1167

Odpovědět na příspěvek

RE: bezpecnost

Autor: Lukas Gallina Muž

Založeno: 03.12.2002, 11:06

A potom prijdete do firmy kde uvidite uklizecku ochomytat se u odemceneho pocitace a sekretarka plka v druhe mistnosti u kaficka s kolegyni. A bezpecnost...jaka byla ;)

Odpovědět na příspěvek

RE: RE: bezpecnost

Autor: Robert Cerny Muž

Založeno: 03.12.2002, 11:10

Jo, tohle jsem uz taky videl. Firewall je bajecna vec, ale kdyz lze odnest z firmy fyzicky cely server....

Odpovědět na příspěvek

RE: RE: RE: bezpecnost

Autor: kofola Muž

Založeno: 03.12.2002, 12:21

No treba u nas (Skoda Plzen), se servrovna zamkne a je to. Zlodeju se nebojime, ale co kdyby do servru nalila sekretarka kafe, ze?:-)

Odpovědět na příspěvek

RE: RE: RE: RE: bezpecnost

Autor: Robert Cerny Muž

Založeno: 03.12.2002, 12:35

Mozna byste se divil, jak nektere napriklad statni instituce maji vyresenou "bezpecnost" serveru. Treba server, ktery patri do racku, lezi na krabici do pocitace, visi z nej kabely a kazdy, kdo projde okolo na ne slapne...

Odpovědět na příspěvek

RE: RE: RE: RE: bezpecnost

Autor: Lukas Gallina Muž

Založeno: 03.12.2002, 12:55

Jenze pak prijde uklizecka a odnese pulku dat z nezamcene stanice v kancelari; viz muj prvni prispevek ;) Zamcena serverovna je prvni krok.

Bohuzel se NEUSTALE setkavam s lidmi a firmami (nevztahuj to na sebe, myslim to obecne), kteri tvrdi ze jedinne to a to a to a ten firewall a ten system a podobne. Je krasne ze potom maji sve servery zamknute za pancerovymi dvermi a firewally za milion a pul, ale ja dam 20.000 uklizecce a ta mi vynese COKOLIV. Protoze se zapomina nastavit bezpecnost i na urovni uzivatelu a sekretarka ma pristup k pulce dat firmy a nechava svuj pocitac hodinu bez dozoru v nezamcene kancelari a odemceny.

Definujme si co totiz hrozi pri pruniku z venku. Z 90ti procent jsou to "takyhakeri", kteri zmeni indexovou stranku na firemnim internetu nebo intranetu a maji pocit jak jsou dobri. Utoku, kdy jde nekdo po datech je minimum. A jde-li nekdo po datech, tak je proste mnohem levnejsi jit si pro ty data zevnitr.

Samozrejme nechci podcenovat zabezpeceni firewallem, ale mam pocit, ze je to ted proste modni trend.

A to vubec nemluvim o recovery politice. Dobrou recovery politiku ma tak 10 procent spolecnosti. Hruza.

Odpovědět na příspěvek

RE: RE: RE: RE: RE: bezpecnost

Autor: claire Muž

Založeno: 03.12.2002, 13:23

Uklizecka mi ani za 50.000 neodnese nic ze servrovny jistene elektronikou - kdy je servrovna permanentne uzavrena a zakodovana a bezpecnostni kody znaji jen admini -> to by se musela sabnout s adminem :-(

Presne tak, stalo se modou psat o vsemoznem systemovem zabezpeceni a samotne fyzicke zabezpeceni se nepravem opomiji.

Odpovědět na příspěvek

RE: bezpecnost

Autor: Robert Cerny Muž

Založeno: 03.12.2002, 11:07

"Jenze takovy system se na workstation nehodi a jeho srovnani s OSX je naprosto bezpredmetne."

Uff?? Tohle by asi stalo za vysvetleni...

Jinak, k ostatnim pripominkam: To, ze se operacni system na jakykoliv pocitac instaluje s minimem povolenych sluzeb je spravne. A pokud si chcete nejakou sluzbu navic pustit, mel byste vedet, ze si muzete zpusobit problem. A navic tm nikde nepisu, ze linuxova masina nemuze byt nakonfigurovana stejne bezpecne, jako OSX nebo BSD...
A ta formule je ten linux?

Odpovědět na příspěvek

RE: RE: bezpecnost

Autor: kofola Muž

Založeno: 03.12.2002, 12:17

"Jenze takovy system se na workstation nehodi a jeho srovnani s OSX je naprosto bezpredmetne." - vysvetlil jsem to na tech autech. Narazel jsem na vase tvrzeni(mozna jste to tak nemyslel, ale me to tak vyznelo - viz zminka o OpenBSD ve vasem clanku), ze kdyz je tak bezpecne OpenBSD, tak jsou stejne bezpecne vsechny BSD.

V pripominkach s vami souhlasim.

Odpovědět na příspěvek

RE: RE: RE: bezpecnost

Autor: Robert Cerny Muž

Založeno: 03.12.2002, 12:33

Chtel jsem, aby to vyznelo tak, ze OpenBSD se dodává jako velmi bezpečný systém (ať už je to způsobeno jakkoliv) a tudíž se uživatelé nemusí začít bát nainstalovat si OS X. To se mi snad povedlo...

Odpovědět na příspěvek

Pro pobaveni:)

Autor: ales Muž

Založeno: 03.12.2002, 12:45
Odpovědí: 0

zdravim.
Vsimli ste si take, ze po uverejneni tohoto clanku byl na serveru www.apple.cz uzavren port 21 (FTP SERVER) ? :)))
ales

Odpovědět na příspěvek

 

 

Vložit nový příspěvek

Jméno:

Pohlaví:

,

E-mail:

Předmět:

Příspěvek:

 

Kontrola:

Do spodního pole opište z obrázku 5 znaků:

Kód pro ověření

 

 

 

 

 

Přihlášení k mému účtu

Uživatelské jméno:

Heslo: