Bezpečnost na internetu a Mac OS X (část I) - MujMAC.cz - Apple, Mac OS X, Apple iPod

Odběr fotomagazínu

Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!

 

Zadejte Vaši e-mailovou adresu:

Kamarád fotí rád?

Přihlas ho k odběru fotomagazínu!

 

Zadejte e-mailovou adresu kamaráda:

Seriály

Více seriálů



Software

Bezpečnost na internetu a Mac OS X (část I)

macosearly

3. prosince 2002, 00.00 | První díl seriálu o bezpečnosti OS X. Nejdříve se zaměříme na vestavěné služby a následně na programy, které nám pomohou při administraci.

Bezpečnost na internetu a Mac OS X
Pokud jste si nainstalovali Mac OS X stali jste se automaticky "administrátory". Ano, je to tak, ten první uživatel, který operační systém instaluje, má práva, která nikdo další mít nemusí. Je tedy také svým způsobem zodpovědný za stav počítače, který obsluhuje a jeho konfiguraci. Nechci vás nijak strašit, protože Apple dodává Mac OS X s poměrně bezpečnou konfigurací, ale rozhodně byste se měli zamyslet, co všechno vám na počítači "běží" a proč. Ono totiž stoprocentně platí, že pokud někde nejsou otevřené dveře, nedá se projít.

Pokud hovoříme o bezpečnosti počítače připojeného k internetu, máme na mysli počítače, které jsou k internetu připojené přímo, tedy je k ním přímý přístup z venku, ať už jsou to servery, ke kterým je nutné mít veřejný přístup (resp. k jejich službám) už z principu, nebo osobní počítače. Týká se to hlavně počítačů na pevné lince či kabelovém modemu, uživatelé používající dial-up (připojení přes modem) jsou ohrožení výrazně méně. Pokud je váš počítač na místní firemní síti, připojené k internetu, s velkou pravděpodobností jste chránění tzv. překladem adres (NAT) - IP adresa vašeho počítače bude pravděpodobně ve formátu 192.168.x.x a díky tomu jste proti útoku z venku, z internetu, chráneni. Což však neznamená, že na vás nemůže "útočit" někdo z lokální sítě ve vaší firmě - pokud k tomu bude mít dobrý důvod. Pokud si nejste jisti, jak je váš počítač připojen k internetu a chcete udělat pro svůj klidný spánek maximum, zeptejte se správce sítě.

Z technického hlediska je UNIXová varianta, která je součástí Mac OS X, BSD 4.4. To je velmi dobrá zpráva, protože BSD je asi nejbezpečnější varianta na trhu. Když se podíváte na stránky OpenBSD, zjistíte, že "One remote hole in the default install, in nearly 6 years!", což je, oproti kupříkladu všemi opěvovanému Linuxu, dost podstatný rozdíl.

Přesto, že můžete na různých zpravodajských serverech najít uklidňující informace o bezpečnosti MacOS X, neměli byste situaci brát na lehkou váhu. A máte-li stálé připojení k internetu, platí toto upozornění dvojnásob. Po instalaci několika programů zjistíte sami, jak je situace vážná.

Více než obecné pravidlo
První, co potenciální hacker potřebuje zjistit, je informace, s jakým operačním systémem, případně serverem se potýká. A proč mu tedy situaci ulehčovat tím, že mu to sami řekneme? A to samé platí i o programech, které zajišťují různé služby. Jako příklad si vezmeme nějaký dostatečně známý server, třeba www.apple.cz. Pomocí programu nmap, který používají administrátoři (a hackeři) se dozvíme, že: Remote operating system guess: Mac OS X 10.1 - 10.1.4. Dobrá, pro tomu se nedá nic dělat, když někdo ví, jak na to... Ovšem, to, co nám z programu vypadne, je seznam otevřených portů.


Jak vidíte, kromě značného množství otevřených portů (neběží firewall??) je ve výpisu například ftp na portu 21. To je samozřejmě standardní služba, která ovšem nemusí být bez chyb. Zkusme tedy, který program se o ni stará. používají proFTPD? Nebo něco jiného? Jak uvidíte, není nic jednoduššího, než to zjistit. A to, že nemáme login, vůbec nevadí...
Spustíme tedy Terminal a napíšeme ftp www.apple.cz
Odpověď?
220-Welcome to CrushFTP!
220 CrushFTP Server Ready.

Pokud bychom tedy byli hackery, stačilo by najít na internetu výrobce programu CrushFTP, případně se přihlásit do několika skupin, či projít pár archivů a hledat informace o chybách. O co by byl úkol těžší, když bychom nevěděli, o jaký program jde...
(Technická poznámka na okraj: S jakým operačním systémem komunikujeme se dá zjistit pomocí "tvaru" TCP/IP paketů, které nám počítač vrací. Není to nijak složité a jsou programy, které jsou schopny podle databáze těchto podpisů s velkou určitostí odhalit vše, co potřebujeme. Okno aplikace, kterou vidíte na obrázku je mé GUI k programu NMap, hned jak to trochu doladím, můžete si ho stáhnout a vyzkoušet)

Firewall
První a nejdůležitější softwarové bezpečnostní opatření, které musíme nainstalovat nebo spustit, je Firewall. Mac OS X se dodává s vestavěným řešením, které je založeno na BSD příkazu ipfw a ovládá se přes panel Firewall, který je prostým grafickým rozhraním k tomuto příkazu. Pokud firewall aktivujete, vychází z jednoduchého principu. Vše z vnější sítě je zakázáno, kromě služeb, které jste si sami zapnuli.


Přesto, že jako základ je to poměrně dobré, vadí mi trochu, že se nikde nevytváří žádný log o možných problémech a vůbec to celé funguje jako "černá" skříňka. Při pátrání na internetu jsem tedy našel několik jiných řešeních a nejvíce se mi zalíbil program BrickHouse. Jde v podstatě o to samé, tedy také grafické rozhraní k ipfw, ale na řádově vyšší úrovni. Na vlastnosti tohoto programu se podíváme v dalším díle.

Obsah seriálu (více o seriálu):

Tématické zařazení:

 » Rubriky  » Informace  

 » Rubriky  » Agregator  

 » Rubriky  » Software  

 

 

 

Nejčtenější články
Nejlépe hodnocené články
Apple kurzy

 

Přihlášení k mému účtu

Uživatelské jméno:

Heslo: