macOS System Extensions
सिस्टम एक्सटेंशन्स / एंडपॉइंट सिक्योरिटी फ्रेमवर्क
कर्नल एक्सटेंशन्स की विपरीत, सिस्टम एक्सटेंशन्स यूजर स्पेस में चलते हैं बजाय कर्नल स्पेस, जिससे एक्सटेंशन के खराब होने से सिस्टम क्रैश का जोखिम कम होता है।
तीन प्रकार की सिस्टम एक्सटेंशन्स हैं: ड्राइवरकिट एक्सटेंशन्स, नेटवर्क एक्सटेंशन्स, और एंडपॉइंट सिक्योरिटी एक्सटेंशन्स।
ड्राइवरकिट एक्सटेंशन्स
ड्राइवरकिट कर्नल एक्सटेंशन्स का एक प्रतिस्थापन है जो हार्डवेयर समर्थन प्रदान करता है। यह डिवाइस ड्राइवर्स (जैसे USB, सीरियल, NIC, और HID ड्राइवर्स) को कर्नल स्पेस की बजाय यूजर स्पेस में चलाने देता है। ड्राइवरकिट फ्रेमवर्क में कुछ I/O किट क्लासेस के यूजर स्पेस संस्करण शामिल हैं, और कर्नल सामान्य I/O किट घटनाएँ यूजर स्पेस को फॉरवर्ड करता है, जिससे इन ड्राइवर्स को चलाने के लिए एक सुरक्षित वातावरण प्रदान किया जाता है।
नेटवर्क एक्सटेंशन्स
नेटवर्क एक्सटेंशन्स नेटवर्क व्यवहार को अनुकूलित करने की क्षमता प्रदान करते हैं। कई प्रकार के नेटवर्क एक्सटेंशन्स हैं:
एप प्रॉक्सी: इसका उपयोग एक वीपीएन क्लाइंट बनाने के लिए किया जाता है जो एक फ्लो-ओरिएंटेड, कस्टम वीपीएन प्रोटोकॉल को लागू करता है। इसका मतलब है कि यह कनेक्शन्स (या फ्लो) के आधार पर नेटवर्क ट्रैफिक का प्रबंधन करता है बिना व्यक्तिगत पैकेट्स के।
पैकेट टनल: इसका उपयोग एक वीपीएन क्लाइंट बनाने के लिए किया जाता है जो एक पैकेट-ओरिएंटेड, कस्टम वीपीएन प्रोटोकॉल को लागू करता है। इसका मतलब है कि यह व्यक्तिगत पैकेट्स के आधार पर नेटवर्क ट्रैफिक का प्रबंधन करता है।
फ़िल्टर डेटा: इसका उपयोग नेटवर्क "फ्लो" को फ़िल्टर करने के लिए किया जाता है। यह नेटवर्क डेटा को फ्लो स्तर पर मॉनिटर या संशोधित कर सकता है।
फ़िल्टर पैकेट: इसका उपयोग व्यक्तिगत नेटवर्क पैकेट्स को फ़िल्टर करने के लिए किया जाता है। यह नेटवर्क डेटा को पैकेट स्तर पर मॉनिटर या संशोधित कर सकता है।
DNS प्रॉक्सी: इसका उपयोग एक कस्टम DNS प्रोवाइडर बनाने के लिए किया जाता है। इसका उपयोग DNS अनुरोधों और प्रतिक्रियाओं को मॉनिटर या संशोधित करने के लिए किया जा सकता है।
एंडपॉइंट सिक्योरिटी फ्रेमवर्क
एंडपॉइंट सिक्योरिटी एक फ्रेमवर्क है जो macOS में Apple द्वारा प्रदान किया गया है जो सिस्टम सुरक्षा के लिए एक सेट के APIs प्रदान करता है। इसका उद्देश्य सुरक्षा विक्रेताओं और डेवलपर्स द्वारा उपयोग के लिए उत्पाद बनाना है जो दुष्ट गतिविधि की पहचान और सुरक्षा के खिलाफ सुरक्षा प्रदान कर सकते हैं।
यह फ्रेमवर्क सिस्टम गतिविधि को मॉनिटर और नियंत्रित करने के लिए एक संग्रह के APIs प्रदान करता है, जैसे प्रक्रिया क्रियाएँ, फ़ाइल सिस्टम घटनाएँ, नेटवर्क और कर्नल घटनाएँ।
इस फ्रेमवर्क का मूल कर्नल में अंमलित किया गया है, एक कर्नल एक्सटेंशन (KEXT) के रूप में जो स्थित है /System/Library/Extensions/EndpointSecurity.kext। यह KEXT कई मुख्य घटकों से मिलकर बना है:
EndpointSecurityDriver: यह कर्नल एक्सटेंशन के "प्रवेश बिंदु" के रूप में कार्य करता है। यह ओएस और एंडपॉइंट सिक्योरिटी फ्रेमवर्क के बीच मुख्य बातचीत का स्थान है।
EndpointSecurityEventManager: यह घटनाएँ मॉनिटर करने के लिए नियम लागू करने की जिम्मेदारी निभाता है। कर्नल हुक्स फ्रेमवर्क को सिस्टम कॉल्स को अंटरसेप्ट करके सिस्टम घटनाओं का मॉनिटर करने की अनुमति देते हैं।
EndpointSecurityClientManager: यह यूजर स्पेस क्लाइंट्स के साथ संचार का प्रबंधन करता है, जिसमें यह ट्रैक करता है कि कौन से क्लाइंट्स कनेक्ट हैं और घटना सूचनाएँ प्राप्त करने की आवश्यकता है।
EndpointSecurityMessageManager: यह संदेश और घटना सूचनाएँ यूजर स्पेस क्लाइंट्स को भेजता है।
एंडपॉइंट सिक्योरिटी फ्रेमवर्क द्वारा मॉनिटर किए जा सकने वाले घटनाएँ इस प्रकार हैं:
फ़ाइल घटनाएँ
प्रक्रिया घटनाएँ
सॉकेट घटनाएँ
कर्नल घटनाएँ (जैसे कर्नल एक्सटेंशन लोड/अनलोड या आई/ओ किट डिवाइस खोलना)
एंडपॉइंट सिक्योरिटी फ्रेमवर्क आर्किटेक्चर
एंडपॉइंट सिक्योरिटी फ्रेमवर्क के साथ यूजर स्पेस संचार IOUserClient क्लास के माध्यम से होता है। दो विभिन्न उपकक्ष का उपयोग किया जाता ह
इस बाईपास और संबंधित बाईपास के अधिक जानकारी के लिए टॉक देखें #OBTS v5.0: "The Achilles Heel of EndpointSecurity" - Fitzl Csaba
अंत में इसे ठीक कर दिया गया था नए अनुमति kTCCServiceEndpointSecurityClient को सुरक्षा ऐप्लिकेशन को दिया गया था जिसे tccd द्वारा प्रबंधित किया गया था ताकि tccutil इसकी अनुमतियों को साफ न करें जिससे इसे चलाने से रोका जा सके।
संदर्भ
Last updated
