macOS System Extensions
सिस्टम एक्सटेंशन्स / एंडपॉइंट सिक्योरिटी फ्रेमवर्क
कर्नल एक्सटेंशन्स की तरह, सिस्टम एक्सटेंशन्स यूजर स्पेस में चलते हैं कर्नल स्पेस की बजाय, जिससे एक्सटेंशन के खराब होने से सिस्टम क्रैश का जोखिम कम होता है।
तीन प्रकार की सिस्टम एक्सटेंशन्स होती हैं: ड्राइवरकिट एक्सटेंशन्स, नेटवर्क एक्सटेंशन्स, और एंडपॉइंट सिक्योरिटी एक्सटेंशन्स।
ड्राइवरकिट एक्सटेंशन्स
ड्राइवरकिट कर्नल एक्सटेंशन्स की जगह है जो हार्डवेयर समर्थन प्रदान करता है। इसकी मदद से डिवाइस ड्राइवर्स (जैसे USB, सीरियल, NIC, और HID ड्राइवर्स) कर्नल स्पेस की बजाय यूजर स्पेस में चल सकते हैं। ड्राइवरकिट फ्रेमवर्क में कुछ I/O किट क्लासेस के यूजर स्पेस संस्करण शामिल हैं, और कर्नल सामान्य I/O किट इवेंट्स को यूजर स्पेस में फॉरवर्ड करता है, जिससे इन ड्राइवर्स को चलाने के लिए एक सुरक्षित वातावरण प्रदान किया जाता है।
नेटवर्क एक्सटेंशन्स
नेटवर्क एक्सटेंशन्स नेटवर्क व्यवहारों को अनुकूलित करने की क्षमता प्रदान करते हैं। कई प्रकार के नेटवर्क एक्सटेंशन्स होते हैं:
ऐप प्रॉक्सी: इसका उपयोग एक वीपीएन क्लाइंट बनाने के लिए किया जाता है जो एक फ्लो-ओरिएंटेड, कस्टम वीपीएन प्रोटोकॉल को लागू करता है। इसका मतलब है कि यह कनेक्शन्स (या फ्लोज) के आधार पर नेटवर्क ट्रैफिक का संचालन करता है बजाय व्यक्तिगत पैकेट्स के।
पैकेट टनल: इसका उपयोग एक वीपीएन क्लाइंट बनाने के लिए किया जाता है जो एक पैकेट-ओरिएंटेड, कस्टम वीपीएन प्रोटोकॉल को लागू करता है। इसका मतलब है कि यह व्यक्तिगत पैकेट्स के आधार पर नेटवर्क ट्रैफिक का संचालन करता है।
फ़िल्टर डेटा: इसका उपयोग नेटवर्क "फ्लोज" को फ़िल्टर करने के लिए किया जाता है। यह नेटवर्क डेटा को फ्लो स्तर पर मॉनिटर या संशोधित कर सकता है।
फ़िल्टर पैकेट: इसका उपयोग व्यक्तिगत नेटवर्क पैकेट्स को फ़िल्टर करने के लिए किया जाता है। यह नेटवर्क डेटा को पैकेट स्तर पर मॉनिटर या संशोधित कर सकता है।
DNS प्रॉक्सी: इसका उपयोग एक कस्टम DNS प्रोवाइडर बनाने के लिए किया जाता है। इसका उपयोग DNS अनुरोधों और प्रतिक्रियाओं को मॉनिटर या संशोधित करने के लिए किया जा सकता है।
एंडपॉइंट सिक्योरिटी फ्रेमवर्क
एंडपॉइंट सिक्योरिटी एक फ्रेमवर्क है जो Apple ने macOS में प्रदान किया है जो सिस्टम सुरक्षा के लिए एक सेट की एपीआई प्रदान करता है। इसका उद्देश्य है कि सुरक्षा विक्रेताओं और डेवलपर्स द्वारा उत्पादों का निगरानी और नियंत्रण करने के लिए उपयोग किया जाए।
यह फ्रेमवर्क सिस्टम गतिविधि को निगरानी और नियंत्रित करने के लिए एक संग्रहीत एपीआई प्रदान करता है, जैसे प्रोसेस एक्जीक्यूशन, फाइल सिस्टम इवेंट्स, नेटवर्क और कर्नल इवेंट्स।
इस फ्रेमवर्क का कोर कर्नल में लागू किया गया है, एक कर्नल एक्सटेंशन (KEXT) के रूप में, जो /System/Library/Extensions/EndpointSecurity.kext पर स्थित है। यह KEXT कई मुख्य घटकों से मिलकर बना है:
EndpointSecurityDriver: यह कर्नल एक्सटेंशन के लिए "प्रवेश बिंदु" के रूप में काम करता है। यह ओएस और एंडपॉइंट सिक्योरिटी फ्रेमवर्क के बीच मुख्य बातचीत का माध्यम है।
EndpointSecurityEventManager: यह घटक कर्नल हुक्स को लागू करने के लिए जिम्मेदार है। कर्नल हुक्स फ्रेमवर्क को सिस्टम कॉल्स को अंटरसेप्ट करके सिस्टम इवेंट्स को मॉनिटर करने की अनुमति देते हैं।
EndpointSecurityClientManager: यह यूजर स्पेस क्लाइंट्स के साथ संचार का प्रबंधन करता है, जिसमें यह ट्रैक करता है कि कौन से क्लाइंट्स कनेक्ट हैं और इवेंट सूचनाएं प्राप्त करने की आवश्यकता है।
EndpointSecurityMessageManager: यह मैसेज और इवेंट सूचनाएं यूजर स्पेस क्लाइंट्स को भेजता है।
एंडपॉइंट सिक्योरिटी फ्रेमवर्क द्वारा मॉनिटर किए जा सकने वाले इवेंट्स निम्नलिखित श्रेणियों में वर्गीकृत होते हैं:
फाइल इवेंट्स
प्रोसेस इवेंट्स
सॉकेट इवेंट्स
कर्नल इवेंट्स (जैसे कर्नल एक्सटेंशन लोड/अनलोड या आई/ओ किट डिवाइस खोलना)
एंडपॉइंट सिक्योरिटी फ्रेमवर्क आर्किटेक्चर
एंडपॉइंट सिक्योरिटी फ्रेमवर्क के साथ यूजर स्पेस संचार IOUserClient क्लास के माध्यम से होता है। दो विभिन्न सबक्लासेस का उपयोग किया जाता है, कॉलर के प्रकार के आधार पर:
इस बाईपास और संबंधित बाईपास के बारे में अधिक जानकारी के लिए टॉक देखें #OBTS v5.0: "The Achilles Heel of EndpointSecurity" - Fitzl Csaba
अंत में इसे ठीक कर दिया गया था नए अनुमति kTCCServiceEndpointSecurityClient को सुरक्षा ऐप्लिकेशन को दिया गया था जिसे tccd द्वारा प्रबंधित किया गया था ताकि tccutil इसकी अनुमतियों को साफ न करें जिससे इसे चलने से रोका जा सके।
संदर्भ
Last updated
