क्या इंटरनेट पर सीधे मैक डालना सुरक्षित है?

अतीत में मैंने हमेशा अपने विंडोज पीसी और इंटरनेट के बीच नेट राउटर चलाया है। मैं सोच रहा था कि क्या मुझे अभी भी इसकी आवश्यकता है या क्या OSX फ़ायरवॉल मुझे इंटरनेट पर सीधे मैक डालने के लिए पर्याप्त है।

हालांकि मुझे अपने मैक को हुक करने में कोई आपत्ति नहीं है कोई भी नेटवर्क, मेरे पास निश्चित उत्तर नहीं है। फिर भी, टिप्पणी के लिए कुछ नोट्स बहुत लंबे हैं:

ओएस एक्स बिल्ट-इन फ़ायरवॉल एक एप्लीकेशन फ़ायरवॉल है: आने वाले कनेक्शनों को स्वीकार करना प्रति पोर्ट के हिसाब से नहीं, बल्कि प्रति एप्लीकेशन दिया जाता है। एक बार अनुमति मिलने के बाद, एक आवेदन सकता है किसी भी पोर्ट को पसंद करें उसे खोलें, लेकिन मुझे लगता है कि यह आपके द्वारा विश्वास किए जाने वाले सॉफ़्टवेयर के लिए कोई समस्या नहीं है। इसके अलावा, यह केवल आने वाले कनेक्शनों पर लागू होता है: सभी आउटगोइंग कनेक्शनों को हमेशा अनुमति दी जाती है (लेकिन यह NAT-फ़ायरवॉल के लिए भी सही है) और एप्पल के अनुसार " मैक ओएस एक्स 10.5 तेंदुआ: अनुप्रयोग फ़ायरवॉल के बारे में ":

सभी एप्लिकेशन [..] जिन्हें डिजिटल रूप से सिस्टम द्वारा विश्वसनीय प्रमाणपत्र प्राधिकरण द्वारा हस्ताक्षरित किया गया है [..] आने वाले कनेक्शन प्राप्त करने की अनुमति है। तेंदुए के प्रत्येक ऐप्पल ऐप्पल द्वारा हस्ताक्षर किए गए हैं और आने वाले कनेक्शन प्राप्त करने की अनुमति है।

10.6 में उत्तरार्द्ध अधिक स्पष्ट किया गया है (और अक्षम किया जा सकता है) " आने वाले कनेक्शन प्राप्त करने के लिए स्वचालित रूप से हस्ताक्षरित सॉफ़्टवेयर की अनुमति दें। नेटवर्क से एक्सेस की गई सेवाएं प्रदान करने के लिए एक वैध प्रमाणपत्र प्राधिकारी द्वारा हस्ताक्षरित सॉफ़्टवेयर की अनुमति देता है ":

इसलिए, जब फ़ायरवॉल सक्रिय होता है, तब भी आपके द्वारा चलाए जा रहे प्रत्येक सर्वर-जैसे Apple एप्लिकेशन को डिफ़ॉल्ट रूप से, आने वाले कनेक्शनों को स्वीकार करने की अनुमति दी जाती है। (या, शायद 10.6 में भी यह लागू होता है कोई भी हस्ताक्षरित आवेदन?) इस तरह के सॉफ्टवेयर में एक बग सकता है अपने कंप्यूटर से समझौता करें। मुझे नहीं पता कि यह कैसे बोन्जौर और फ़ाइल साझाकरण जैसी चीजों को प्रभावित करता है।

यदि फ़ायरवॉल सक्रिय है, तो किसी भी गैर-Apple सॉफ़्टवेयर (या कम से कम अहस्ताक्षरित सॉफ़्टवेयर) को पहले आने वाले कनेक्शन को स्वीकार करने के लिए आपकी अनुमति की आवश्यकता होती है। जब ऐसा सॉफ़्टवेयर अपडेट किया जाता है, तो यह हो सकता है या नहीं हो सकता है आपकी अनुमति फिर से चाहिए:

एक हस्ताक्षरित एप्लिकेशन [..] गणितीय रूप से साबित कर सकता है कि यह वास्तव में उसी विक्रेता का उसी एप्लिकेशन का एक नया संस्करण है जिसे आपने अतीत में विश्वास व्यक्त किया था। परिणाम डायलॉग बॉक्स का एक अंत है जो आपको एक विकल्प की पुष्टि करने के लिए कहता है जिसकी सुरक्षा के लिए आपके पास सत्यापित करने का कोई उचित तरीका नहीं है।

बेशक कोई भी कैसे चल सकता है सिद्धांत रूप में कुछ भी सुरक्षित, कभी भी, और वह सब नहीं है।

लेकिन व्यावहारिक उद्देश्यों के लिए, हाँ , यह आमतौर पर आपके मैक को सीधे इंटरनेट पर डालने के लिए पर्याप्त सुरक्षित है। (हर कोई इसे करता है - ठीक है, ज्यादातर लोग किसी भी मामले में - और यह बहुत संभावना नहीं है कि आपके साथ कुछ भी बुरा होगा।) खासकर यदि आप अपनी मशीन पर कोई अतिरिक्त सेवाएं (जैसे कि httpd, आदि) नहीं खोलते हैं।

उस ने कहा, (स्वचालित updater चलो) अपने मैक ओएस एक्स को हमेशा नवीनतम सुरक्षा सुधारों के साथ अद्यतित रखें, और यह जांचें कि इसमें अंतर्निहित है फ़ायरवॉल सक्षम है ।

कंप्यूटर को इंटरनेट से जोड़ना कभी भी सुरक्षित नहीं है, और बीच में एक राउटर रखना हमेशा बेहतर होता है

चूंकि अधिकांश राउटर एम्बेडेड-लिनक्स चलाते हैं, इसलिए यह उनके बीच में होने की संभावना सबसे अधिक सुरक्षित है।

लिनक्स-उपयोगकर्ता के रूप में बोलते हुए: मैक ओएसएक्स में फ्रीबीएसडी से अधिकांश एप्लिकेशन हैं, इसलिए सुनिश्चित करें कि आपके पास ssh और sshfs स्थापित या चालू नहीं हैं, यदि आपको उनकी आवश्यकता नहीं है

और सिर्फ एक फ़ायरवॉल होना पर्याप्त नहीं है। सुनिश्चित करें कि यह ठीक से कॉन्फ़िगर किया गया है।

यह देखते हुए कि आप IE6 जैसे कुछ बॉक्स से बाहर नहीं चला रहे हैं (उदाहरण के लिए एक ताजा XP स्थापित के विपरीत) आपको ठीक होना चाहिए।

हमेशा की तरह, यह वही है जो आप इंटरनेट पर करते हैं जो अंततः आपके सिस्टम की सुरक्षा को प्रभावित करता है। यदि आप बहुत सारी स्रोतों से बहुत सारी फ़ाइलों को डाउनलोड कर रहे हैं और अपने रास्ते में आने वाले हर लिंक पर क्लिक कर रहे हैं, तो आप एक उच्च जोखिम पर हैं (निश्चित रूप से, यदि आप सही सुरक्षा सावधानी बरतेंगे तो आप सही होंगे)

जैसा कि दूसरों ने कहा है, इंटरनेट पर कुछ भी तकनीकी रूप से 100% सुरक्षित नहीं है। मैक कम असुरक्षित हैं ... लेकिन किसी भी तरह से अयोग्य नहीं हैं।

मेरे पास घर पर NAT ADSL कनेक्शन और दूर के लिए एक 3G सेवा है। जबकि 3 जी पर मैंने गौर किया है ssh login प्रयास जो आप आम तौर पर एक NAT फ़ायरवॉल के पीछे नहीं देखेंगे।

यह देखने के लिए एक नज़र रखें कि आप कौन सी सेवाएँ चला रहे हैं।

netstat

या

netstat -f inet


Active Internet connections
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
udp4       0      0  *.ipp                  *.*                    
udp4       0      0  172.16.250.1.kerberos  *.*                    
udp4       0      0  192.168.144.1.kerberos *.*                    
udp4       0      0  *.*                    *.*                    
udp4       0      0  localhost.ntp          *.*                    
udp4       0      0  *.ntp                  *.*                    
udp4       0      0  *.snmp                 *.*                    
udp4       0      0  *.*                    *.*                    
udp4       0      0  *.mdns                 *.*                    
udp4       0      0  *.*                    *.*                    
udp4       0      0  *.syslog               *.*                    
icm4       0      0  *.*                    *.*   

यह एक संक्षिप्त सूची है जो मैं चला रहा हूं। आप देख सकते हैं snmp और एक syslog सर्वर जो शायद आपके पास नहीं होगा।

अधिकांश सेवाएं सभी इंटरफेस (*।) पर सुन रही हैं। मेरे मामले में मुझे अपने को ठीक करना चाहिए snmp तथा syslog केवल मेरे स्थानीय नेटवर्क पर सूचीबद्ध करने के लिए।

इंस्टॉल करें nmap http://nmap.org/dist/nmap-5.21.dmg । nmap यह देखने के लिए कि क्या कोई सेवा या पोर्ट सुन रहा है - अपनी मशीन पर कुछ आज़माएँ, लेकिन दूसरी मशीनों पर नहीं, जब तक कि आप यह नहीं जानते कि आप क्या कर रहे हैं (मैं निश्चित रूप से नहीं)।

nmap 127.0.0.1

Starting Nmap 4.85BETA6 ( http://nmap.org ) at 2010-06-17 00:09 EST
Interesting ports on localhost (127.0.0.1): 
Not shown: 960 closed ports, 32 filtered ports
PORT     STATE SERVICE
22/tcp   open  ssh
88/tcp   open  kerberos-sec
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
548/tcp  open  afp
625/tcp  open  apple-xsrvr-admin
631/tcp  open  ipp
5900/tcp open  vnc

Nmap done: 1 IP address (1 host up) scanned in 6.28 seconds

प्रयत्न nmap दूसरी मशीन से भी - आपको इसे भी वहीं स्थापित करना होगा विंडोज और लिनक्स संस्करण उपलब्ध हैं।

क्या ऐसी सेवाएँ हैं जो आप चलाना नहीं चाहते हैं?

मेरे मामले में, मुझे यकीन नहीं है कि मैं सांबा (139/445) के माध्यम से फाइलें साझा क्यों कर रहा हूं इसलिए मैं इसे बंद कर दूंगा मैं नहीं देख सकता कि कैसे बंद करें ipp (631)। यह प्रिंटर शेयरिंग के लिए है जिसे बंद कर दिया गया है। अगर मैं ऑनलाइन जाऊं और nmap मेरे pppd आईपी ​​पता ipp पोर्ट बंद है। यह अच्छा है और मेल खाता है cupsd विन्यास फाइल। मुझे जरूरत नहीं है AFP हर समय चल रहा है इसलिए मैं इसे बंद कर दूंगा। मुझे जरूरत नहीं है ssh या स्क्रीन शेयरिंग चल रही है तो मैं इसे भी बंद कर दूंगा

मुझे अब बस ये दौड़ना है।

88/tcp   open  kerberos-sec
625/tcp  open  apple-xsrvr-admin
631/tcp  open  ipp

किसी ने उल्लेख किया कि ज्यादातर लोग NAT फ़ायरवॉल के पीछे हैं। यह शायद सच है यदि आपके पास एक राउटर है, लेकिन जांचें कि NAT चालू है।

लेकिन 3 जी सेवा पर आप सीधे जुड़े हुए हैं इसलिए आपको सावधान रहना चाहिए। मैं नहीं रहा, इसलिए यह मेरी सेटिंग की समीक्षा करने के लिए एक अच्छा सवाल था।

अन्य काम करने के लिए।

1. अपनी समीक्षा करें appfirewall.log फ़ाइल
2. यदि आप तकनीकी हैं, तो कुछ जोड़ने का प्रयास करें ipfw नियम।

याद रखें, यदि कोई सेवा नहीं चल रही है, तो कोई भी अंदर नहीं जा सकता।

इंटरनेट पर कुछ भी डालना सुरक्षित नहीं है। यह कहते हुए कि, आजकल ज्यादातर लोग एक राउटर के पीछे इंटरनेट से जुड़ते हैं, जो कि फायरवॉल और अन्य जो भी लागू करते हैं, इसलिए आप बिना बाधा के win95 का उपयोग कर सकते हैं।

यह सब निर्भर करता है कि आप उस कंप्यूटर के साथ क्या करते हैं और यदि आप केवल इंटरनेट ब्राउज़ कर रहे हैं या सामग्री परोस रहे हैं अधिक विवरण के बिना कुछ और अधिक विशिष्ट जवाब नहीं दे सकते।