WEP or weep - MujMAC.cz - Apple, Mac OS X, Apple iPod

24. listopadu 2006, 00.00 | Dnes se začneme zabývat bezpečností při práci se sítěmi: prozatím začneme u základů – běžným nastavením systému prostřednictvím aplikace System Preferences.

Po kratší pause se opět vrátíme k našemu seriálu, věnovanému počítačové bezpečnosti v prostředí operačního systému Mac OS X. Seznámili jsme se již se základy lokální bezpečnosti, naučili jsme se psát šifrované zprávy e-mailem, a také již víme jak na to, chceme-li ukládat nějaká data na pevný disk tak, aby je nikdo nepovolaný nemohl přečíst. V posledních několika dílech jsme se podrobněji seznámili s keychainy – soubory, obsahujícími hesla a další důvěrné informace, a s aplikací Keychain Access pro jejich správu.

Dnes se začneme zabývat bezpečností při práci se sítěmi: neslavná slovní hříčka, již jsem si nedokázal odpustit v názvu, se vztahuje ke standardnímu šifrování bezdrátových sítí AirPort – jež kupodivu spousta lidí ignoruje: pan Jirout, jehož osobní vůz je již řadu let vybaven počítačem, při svých cestách po Evropě občas nechává AirPort zapnutý a sleduje bezdrátové sítě jejichž pokrytím projíždí – a obvykle nevěří vlastním očím, kolik lidí nechává prostřednictvím AirPortu zcela volný a nezabezpečený přístup do svého systému a ke svým důvěrným údajům!

To již však odbočuji (ty mé digrese jsou neodpustitelné): ke konfiguraci a správě bezdrátové sítě se dostaneme až později; prozatím začneme u základů – běžným nastavením systému prostřednictvím aplikace System Preferences.

Panel Sharing

Základní panel pro síťová nastavení se možná poněkud překvapivě nazývá Sharing; jeho prostřednictvím určujeme (či omezujeme) služby, jež náš počítač nabízí ostatním systémům, propojeným prostřednictvím počítačové sítě.

Services

Vlastní seznam těchto služeb spolu s možností je individuálně spouštět či ukončovat nalezneme v záložce "Services", jež vypadá přibližně nějak takto:

Obecně zde platí zcela jednoduché pravidlo: pokud nějakou službu nepotřebujeme – vypněme ji. Ačkoli většina služeb je zabezpečena velmi dobře, přece jen je bezpečnější, pokud kupříkladu sdílení dat ("Personal File Sharing") prostě a jednoduše není k dispozici vůbec, než může-li uživatel jiného počítače zkoušet uhádnout naše přihlašovací heslo – a třeba mít štěstí...

Obecně lze za "nejnebezpečnější" služby považovat tradiční (a dnes již takřka ze všech praktických hledisek překonaný) systém sdílení dat FTP, a možnost vzdáleného připojení "Remote Login". Samozřejmě již dávno nejde o třeskutou bezpečností díru zvanou telnet, nýbrž o velmi dobře zabezpečený ssh ("secure shell") – přesto risiko, že se k našemu stroji připojí někdo se znalostí hesla a nadělá nám v datech "rotyku", vždy existuje.

Firewall

Základem zabezpečení samozřejmě je firewall: s troškou zjednodušení se dá říci, že se jedná o programový modul, který sleduje provoz na síti, a "pustí dovnitř" pouze ty požadavky, jež explicitně označíme za akceptovatelné. Samozřejmě vůbec nebudeme uvažovat o tom, že by náš počítač mohl běžet bez zapnutého firewallu (leda bychom jej nikdy nepřipojovali do žádné počítačové sítě :)).

Tradičně se v unixových systémech druh požadavku určuje číslem tzv. portu – a základním úkolem firewallu právě je umožnit komunikaci výhradně s těmi porty, jež v jeho záložce explicitně "odemkneme":

Je celkem zřejmé, že firewall musí do značné míry být "druhou tváří" seznamu služeb, s nímž jsme se setkali v minulém odstavci: chceme-li některou ze služeb povolit, firewall ovšem musí "odemknout" odpovídající port; naopak při zákazu služby je vhodné port, který jí odpovídá "zamknout" i na úrovni firewallu. Mac OS X se o to stará plně automaticky.

Vedle toho můžeme pomocí tlačítek "New", "Edit" a "Delete" podle libosti "odemykat"; to je zapotřebí v případě, kdy instalujeme nějaký systémový doplněk, jenž nabízí na vlastním portu vlastní služby (příkladem může být třeba SlimServer, nabízející alternativní streaming audia, odlišný od iTunes, nebo třeba podporu distribuovaného překladu projektů v Xcode, přístup ke sdíleným datům v systémech peer-to-peer, a podobně). Tyto porty v takovém případě nalezneme v dokumentaci konkrétního doplňku, a nesmíme zapomenout je ve firewallu "odemknout" – jinak by doplněk samozřejmě nefungoval (přesněji řečeno, fungoval by bez problémů, avšak požadavky klientů by se k němu vůbec nedostaly).

Porty jsou dvou druhů – "TCP" a "UDP". Na úrovni, na níž se zde síťovými protokoly zabýváme, nemá smysl popisovat si jaké jsou mezi nimi rozdíly; podstatné je, že každý z nich má vlastní rozsah čísel, a každý musíme odemknout zvlášť (podle dokumentace daného produktu).

Vyplatí se použít také tlačítko "Advanced..." a aktivovat tzv. "stealth mode": v něm, opět s troškou zjednodušení, dokáže náš počítač v síti nalézt pouze ten, kdo o něm předem ví – a to je samozřejmě z hlediska zabezpečení více než žádoucí:

Mimochodem, Mac OS X využívá standardní a velmi slušný unixový firewall ipfw; panely, jež jsme si právě ukázaly, jsou pouze pohodlné grafické uživatelské rozhraní nad jeho konfigurací.

Bluetooth

Další síťové nastavení související úzce s bezpečností nalezneme v panelu Bluetooth, opět v jeho záložce Sharing – zde totiž lze určit, která složka na našem počítači je přístupná ostatním zařízením využívajícím protokolu Bluetooth:

Vhodné je také explicitně pro přístup k datům požadovat párování.

Příště si ukážeme další nastavení; konečně se také dostaneme ke shora zmíněnému AirPortu.