Bảo mật các dịch vụ
mạng Mac
Quản trị mạng – Mac, với những ưu thế vượt trội nhờ xây
dựng trên nền tảng UNIX, là một hệ thống an toàn hơn
Windows. Rất nhiều virus, spyware, malware và các lỗ hổng
mạng gây ra "bệnh dịch" cho các máy tính Windows đều tỏ ra
bất lực trước Mac, tuy nhiên điều đó không có nghĩa là Mac
không can dự vì đến các mối de dọa này. Đây là một số cách
thực hiện để bảo vệ cho Mac được an toàn bên trong các môi
trường doanh nghiệp.
Chia sẻ file an toàn
Rất ít dịch vụ mạng được kích hoạt
mặc định trên các máy Mac.
Những dịch vụ được kích hoạt tự
động thường được yêu cầu cho việc
kết nối mạng. Điều đó có nghĩa rằng các hệ thống Mac đáp trả
một số ít các yêu cầu đến từ các máy tính bên ngoài, điều này
giúp nó tăng được sự bảo mật.
Khi các quản trị viên doanh nghiệp triển khai các máy Mac,
các file cần được chia sẻ từ một số máy chủ tập trung nào đó.
Việc thiết lập ra các máy chủ tập trung cho phép tận dụng được
ưu thế của các nhóm, các chính sách và các phương pháp
truyền thống khác để bảo vệ sự truy cập file trong mạng được
an toàn.
Trong các trường hợp mà ở đó các file cần được chia sẻ từ các
máy Mac riêng lẻ, dù sử dụng AFP, FTP hay SMB, bạn cần
phải cấu hình các hệ thống để yêu cầu thẩm định người dùng.
Anonymous FTP mặc định bị vô hiệu hóa trên các máy Mac;
bạn không nên đảo ngược thiết lập này. Thêm vào đó sự truy
cập khách cũng nên được vô hiệu hóa từ bên trong các
Account preference.
Cần nhớ rằng, khi tính năng chia sẻ file được kích hoạt, người
dùng quản trị có thể mount (gắn) từ xa bất cứ phân vùng hoặc
ổ đĩa nào và cả người dùng quản trị và người dùng chuẩn đều
có thể truy cập các thư mục ở nhà của họ từ xa. Các thư mục
công sẽ tự động được chia sẻ khi có người dùng quản trị hoặc
chuẩn mới được thêm vào.
Trừ khi có một lý do thuyết phụ nào đó, bằng không các quản
trị viên doanh nghiệp nên vô hiệu hóa các thiết lập mặc định
này bên trong Sharing preferences hoặc cửa sổ Get
Info của Finder để tăng độ bảo mật. Tùy chỉnh việc chia sẻ
file thông qua cửa sổ Finder bên trong vùng Sharing &
Permissions của nó, cho phép tinh chỉnh bổ sung bất cứ chia
sẻ file nào được kích hoạt trên Mac.
Chia sẻ màn hình an toàn
Các máy Mac gồm có các tính năng chia sẻ màn hình được
thiết kế để hỗ trợ cho việc khắc phục sự cố các máy khách từ
xa. Tính năng này sử dụng một hình thức mã hóa của giao thức
Virtual Network Computing (VNC). Vì tính năng sẽ kích hoạt
việc xem và điều khiển từ xa máy Mac, do đó bạn cần quan
tâm để bảo đảm vấn đề bảo mật mạng. Dịch vụ, khi được kích
hoạt bên trong giao diện System Preferences Sharing, sẽ lắng
nghe lưu lượng UDP và TCP trên cổng 5900.
Khi kích hoạt tính năng chia sẻ màn hình, hoặc khi các quản trị
viên doanh nghiệp mua các đăng ký quản lý từ xa Apple
Remote Desktop (ARD), dịch vụ sẽ được kích hoạt. Mặc định,
tất cả người dùng không phải là khách đều được phép truy cập
vào dịch vụ. Do đó tốt nhất là các bạn nên hạn chế các điều
khoản chia sẻ, sau đó chỉ cho phép trên các hệ thống mà ở đó
bắt buộc tính năng này (nên vô hiệu hóa nó trên các hệ thống
khi có thể để thắt chặt hơn vấn đề bảo mật). Khi dịch vụ cần
phải được kích hoạt, quản trị viên cần chỉ rõ người dùng nào sẽ
được phép truy cập tính năng chia sẻ màn hình.
Bên trong giao diện Screen Sharing, chọn nút Allow
Access For để hạn chế sự truy cập chia sẻ màn hình với một số
người dùng có trong danh sách của bạn. Liệt ra những tài
khoản người dùng nào xác thực có thể thực hiện các hoạt động
hỗ trợ và quản lý từ xa.
Mac firewall
Nhiều quản trị viên doanh nghiệp triển khai các tường lửa
vững chắc ở vành đai mạng. Mặc dù vậy các router phần cứng
bảo vệ các mạng bên trong không hết sức dễ dùng tí nào. Khi
bước đầu tiên được yêu cầu, chúng chỉ bảo vệ các hệ thống
phía bên kia sau tường ở mức độ vừa phải, cũng không có
tường lửa gateway bảo vệ hệ thống máy khách khi hệ thống đó
hoạt động bên ngoài bởi các nhân viên lưu động. Đó là lý do
tại sao các quản trị viên doanh nghiệp nên xem xét việc phát
huy ưu thế của tường lửa ứng dụng của Mac.
Tường lửa ứng dụng cá nhân của Mac OS X Snow Leopard có
thể phát huy ưu thế các rule và cho phép/vô hiệu hóa “động”
lưu lượng để bảo vệ các dịch vụ mạng tốt hơn. Nó cho phép
các kết nối mạng dựa trên các yêu cầu dịch vụ và ứng dụng,
không cứ các cổng tĩnh chuẩn, vì vậy bảo vệ tốt hơn các hệ
thống di động so với các thiết bị phần cứng không phải lúc nào
cũng có mặt. Vì tường lửa hoạt động “động”, do đó nó sẽ cải
thiện được vấn đề bảo mật.
Xem xét thêm chương trình IM. Khi người dùng đăng nhập và
iChat được mở, tường lửa ứng dụng cá nhân sẽ cho phép các
cổng cần thiết cho hoạt động của ứng dụng. Tuy nhiên khi họ
đóng ứng dụng (hoặc các dịch vụ khác, khi đăng xuất), tường
lửa Mac sẽ đóng các cổng đó, vì vậy sẽ thắt chặt vấn đề bảo
mật.
Tường lửa của Mac được kích hoạt từ bên trong giao diện
System Preferences Security. Kích tab Firewall sẽ mở giao
diện tường lửa. Việc ghi chép luôn được kích hoạt. Các thông
tin ghi lại sẽ được lưu bên trong file
/private/var/log/appfirewall.log. Ngoài ra, tường lửa có thể
được tùy chỉnh. Sử dụng nút Advanced, bạn có thể kiểm tra
các dịch vụ tích cực và điều chỉnh các dịch vụ nào đó.
