Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!
Zadejte Vaši e-mailovou adresu:
Kamarád fotí rád?
Přihlas ho k odběru fotomagazínu!
Zadejte e-mailovou adresu kamaráda:
Informace
WEP or weep
24. listopadu 2006, 00.00 | Dnes se začneme zabývat bezpečností při práci se sítěmi: prozatím začneme u základů – běžným nastavením systému prostřednictvím aplikace System Preferences.
Po kratší pause se opět vrátíme k našemu seriálu, věnovanému počítačové bezpečnosti v prostředí operačního systému Mac OS X. Seznámili jsme se již se základy lokální bezpečnosti, naučili jsme se psát šifrované zprávy e-mailem, a také již víme jak na to, chceme-li ukládat nějaká data na pevný disk tak, aby je nikdo nepovolaný nemohl přečíst. V posledních několika dílech jsme se podrobněji seznámili s keychainy – soubory, obsahujícími hesla a další důvěrné informace, a s aplikací Keychain Access pro jejich správu.
Dnes se začneme zabývat bezpečností při práci se sítěmi: neslavná slovní hříčka, již jsem si nedokázal odpustit v názvu, se vztahuje ke standardnímu šifrování bezdrátových sítí AirPort – jež kupodivu spousta lidí ignoruje: pan Jirout, jehož osobní vůz je již řadu let vybaven počítačem, při svých cestách po Evropě občas nechává AirPort zapnutý a sleduje bezdrátové sítě jejichž pokrytím projíždí – a obvykle nevěří vlastním očím, kolik lidí nechává prostřednictvím AirPortu zcela volný a nezabezpečený přístup do svého systému a ke svým důvěrným údajům!
To již však odbočuji (ty mé digrese jsou neodpustitelné): ke konfiguraci a správě bezdrátové sítě se dostaneme až později; prozatím začneme u základů – běžným nastavením systému prostřednictvím aplikace System Preferences.
Panel Sharing
Základní panel pro síťová nastavení se možná poněkud překvapivě nazývá Sharing; jeho prostřednictvím určujeme (či omezujeme) služby, jež náš počítač nabízí ostatním systémům, propojeným prostřednictvím počítačové sítě.
Services
Vlastní seznam těchto služeb spolu s možností je individuálně spouštět či ukončovat nalezneme v záložce "Services", jež vypadá přibližně nějak takto:
Obecně zde platí zcela jednoduché pravidlo: pokud nějakou službu nepotřebujeme – vypněme ji. Ačkoli většina služeb je zabezpečena velmi dobře, přece jen je bezpečnější, pokud kupříkladu sdílení dat ("Personal File Sharing") prostě a jednoduše není k dispozici vůbec, než může-li uživatel jiného počítače zkoušet uhádnout naše přihlašovací heslo – a třeba mít štěstí...
Obecně lze za "nejnebezpečnější" služby považovat tradiční (a dnes již takřka ze všech praktických hledisek překonaný) systém sdílení dat FTP, a možnost vzdáleného připojení "Remote Login". Samozřejmě již dávno nejde o třeskutou bezpečností díru zvanou telnet, nýbrž o velmi dobře zabezpečený ssh ("secure shell") – přesto risiko, že se k našemu stroji připojí někdo se znalostí hesla a nadělá nám v datech "rotyku", vždy existuje.
Firewall
Základem zabezpečení samozřejmě je firewall: s troškou zjednodušení se dá říci, že se jedná o programový modul, který sleduje provoz na síti, a "pustí dovnitř" pouze ty požadavky, jež explicitně označíme za akceptovatelné. Samozřejmě vůbec nebudeme uvažovat o tom, že by náš počítač mohl běžet bez zapnutého firewallu (leda bychom jej nikdy nepřipojovali do žádné počítačové sítě :)).
Tradičně se v unixových systémech druh požadavku určuje číslem tzv. portu – a základním úkolem firewallu právě je umožnit komunikaci výhradně s těmi porty, jež v jeho záložce explicitně "odemkneme":
Je celkem zřejmé, že firewall musí do značné míry být "druhou tváří" seznamu služeb, s nímž jsme se setkali v minulém odstavci: chceme-li některou ze služeb povolit, firewall ovšem musí "odemknout" odpovídající port; naopak při zákazu služby je vhodné port, který jí odpovídá "zamknout" i na úrovni firewallu. Mac OS X se o to stará plně automaticky.
Vedle toho můžeme pomocí tlačítek "New", "Edit" a "Delete" podle libosti "odemykat"; to je zapotřebí v případě, kdy instalujeme nějaký systémový doplněk, jenž nabízí na vlastním portu vlastní služby (příkladem může být třeba SlimServer, nabízející alternativní streaming audia, odlišný od iTunes, nebo třeba podporu distribuovaného překladu projektů v Xcode, přístup ke sdíleným datům v systémech peer-to-peer, a podobně). Tyto porty v takovém případě nalezneme v dokumentaci konkrétního doplňku, a nesmíme zapomenout je ve firewallu "odemknout" – jinak by doplněk samozřejmě nefungoval (přesněji řečeno, fungoval by bez problémů, avšak požadavky klientů by se k němu vůbec nedostaly).
Porty jsou dvou druhů – "TCP" a "UDP". Na úrovni, na níž se zde síťovými protokoly zabýváme, nemá smysl popisovat si jaké jsou mezi nimi rozdíly; podstatné je, že každý z nich má vlastní rozsah čísel, a každý musíme odemknout zvlášť (podle dokumentace daného produktu).
Vyplatí se použít také tlačítko "Advanced..." a aktivovat tzv. "stealth mode": v něm, opět s troškou zjednodušení, dokáže náš počítač v síti nalézt pouze ten, kdo o něm předem ví – a to je samozřejmě z hlediska zabezpečení více než žádoucí:
Mimochodem, Mac OS X využívá standardní a velmi slušný unixový firewall ipfw; panely, jež jsme si právě ukázaly, jsou pouze pohodlné grafické uživatelské rozhraní nad jeho konfigurací.
Bluetooth
Další síťové nastavení související úzce s bezpečností nalezneme v panelu Bluetooth, opět v jeho záložce Sharing – zde totiž lze určit, která složka na našem počítači je přístupná ostatním zařízením využívajícím protokolu Bluetooth:
Vhodné je také explicitně pro přístup k datům požadovat párování.
Příště si ukážeme další nastavení; konečně se také dostaneme ke shora zmíněnému AirPortu.
Obsah seriálu (více o seriálu):
- Je to bezpečné?
- Základy zabezpečení Mac OS X
- Identifikace a autorizace
- Jak je to s administrátory
- Šifrování
- Co jsou to ty šifry?
- Černý vzadu, podpisy, a vůbec...
- Certifikáty
- Kde vzít certifikát?
- Certifikát Thawte
- Keychain
- Keychain Access
- Kolik keychainů máš, tolikrát jsi paranoikem
- Lepší konfigurace keychainů
- Jeden na neděli, jeden na všední den...
- WEP or weep
- AirPort a nastavení bezdrátové sítě
- WEP and weep...
- Externí router
- Slušný člověk nešifruje!
- Je ve vězení bezpečno