ova
Bloga dön
·11 dk okuma·productdevbook

macOS'ta Ağ Gizliliği için Eksiksiz Rehber

macOS'ta ağ gizliliği için pratik ve uçtan uca bir rehber: DNS, telemetri, uygulama izinleri ve bunu görünür kılan araçlar.

  • Privacy
  • macOS
  • Security
  • Network monitoring

Mac'iniz ilk kahvenizi bitirmeden önce internete yüzlerce kez konuşur. Yazılım güncelleme kontrolleri, iCloud senkronizasyonları, Spotlight indeks ping'leri, Safari ön getirmeleri, 2021'de yüklediğiniz ve hâlâ her başlatmada eve telefon eden o uygulama. macOS'ta ağ gizliliği karanlığa gitmek değil — neyin giden olduğunu, nedenini ve bununla rahat olup olmadığınızı bilmektir. Bu rehber uçtan uca sürümdür: DNS, telemetri, uygulama izinleri ve değişikliklerin tuttuğunu gerçekten doğrulamanıza izin veren izleyici-vs-güvenlik duvarı yığını.

Tek bir anahtar olmadığı için uzun bir okumadır. macOS'ta ağ gizliliği bir sistemdir ve parçalar yalnızca birlikte anlamlıdır.

macOS'ta ağ gizliliği gerçekte neyi kapsar

Dıştan içe dört katman:

  1. DNS — her bağlantı bir ad araması ile başlar. Çözücünüzü kim çalıştırıyorsa, ziyaret ettiğiniz her alan adının bir günlüğünü görür.
  2. Aktarım — TLS içeriği şifreler ancak Server Name Indication (SNI) ve IP hedefini sızdırır. Encrypted Client Hello (ECH) bu boşluğun bir kısmını kapatır.
  3. Uygulama seviyesi telemetri — uygulamalar analitik, çökme raporları ve özellik ping'leri gönderir. Bazıları gereklidir, çoğu isteğe bağlıdır.
  4. Sistem seviyesi telemetri — Apple'ın kendi tanılama ve kullanım raporları, artı App Store'da kabul edilen kişiselleştirilmiş reklamcılık.

Bir gizlilik yığını dördünü de kapsar. Herhangi bir katmanı atlayın ve doğru olanı yapması için başkasına güveniyorsunuz demektir.

Katman 1: DNS — şifreleyin ve kimin gördüğünü seçin

Varsayılan olarak macOS, yönlendiricinizin DHCP aracılığıyla verdiği DNS sunucusunu kullanır. Ev Wi-Fi'ında, bu genellikle ISS'nizdir. Bir kafe ağında, kafenin yönlendiricisini kim çalıştırıyorsa odur. ISS'lerin DNS sorgu günlüklerini paraya çevirdiği bilinmektedir. Kafelerin işleri yanlış yapılandırdığı bilinmektedir.

Şifreli DNS'e geçin

macOS, yapılandırma profilleri aracılığıyla DNS over HTTPS (DoH) ve DNS over TLS (DoT) destekler. Düşünmeye değer üç çözücü:

  • Cloudflare 1.1.1.1 — hızlı, kamuya açık günlük tutmama politikası, iyi denetlenmiş. DoH uç noktası: https://cloudflare-dns.com/dns-query.
  • Quad9 9.9.9.9 — İsviçre merkezli kar amacı gütmeyen, varsayılan olarak bilinen kötü amaçlı alanları engeller. DoH uç noktası: https://dns.quad9.net/dns-query.
  • NextDNS — kontrol ettiğiniz (veya devre dışı bıraktığınız) günlüklerle profil başına yapılandırılabilir filtreleme.

En temiz kurulum, çözücünün sitesinden bir .mobileconfig profilidir. İndirin, çift tıklayın, Sistem Ayarları → Genel → VPN ve Cihaz Yönetimi → Profiller'de yükleyin. Tarayıcıları yeni çözücüyü almaları için yeniden başlatın.

https://1.1.1.1/help'te (Cloudflare için) çalıştığını doğrulayın — DoH/DoT veya düz DNS'te olup olmadığınızı yazdıracaktır.

Yedeklere dikkat edin

Şifreli DNS uç noktanız erişilemez ise, macOS sistem DNS'ine geri düşebilir, ki o da yönlendiricinin çözücüsüne geri düşer. Bazı VPN istemcileri de size söylemeden DNS'i geçersiz kılar. Periyodik olarak kontrol edin.

Katman 2: Aktarım — TLS'in neyi gizlediği ve neyi gizlemediği

TLS 1.3 her HTTPS isteğinin gövdesini gizler. Varsayılan olarak gizlemez:

  • Bağlandığınız IP adresi — bağlantıyı izleyen herkes 1.2.3.4:443 görür.
  • SNI'daki ana bilgisayar adı — TLS el sıkışmasının şifrelenmemiş kısmı konuştuğunuz sunucuyu adlandırır.
  • Zamanlama desenleri — ne kadar uzun, ne sıklıkta, ne kadar büyük.

Encrypted Client Hello (ECH), hem istemci hem de sunucu desteklediğinde SNI'yi şifreler. Cloudflare-fronted siteler zaten yapar; çoğu diğeri henüz yapmaz. Safari ve Chrome, sunucu işbirliği yaptığında macOS'ta ECH'i destekler.

Pratik çıkarım: TLS içerik için harikadır. Meta veriler hâlâ sızdırır. IP'yi maskelemenin tek yolu bir VPN veya Tor'dur — ve bunlar güveni çıkışı kim çalıştırıyorsa ona taşır. Güvenmekte rahat olduğunuz birini seçin.

Katman 3: Uygulama seviyesi telemetri — bulun, karar verin

Çoğu uygulama analitik gönderir. Bazıları kapatmanıza izin verir. Dürüst iş akışı şudur:

  1. Neyin bağlandığını görün. Bir ağ izleyicisi size hangi uygulamaların aktif olduğunu ve ne kadar gönderdiklerini gösterir. ova menü çubuğunda oturur, yaklaşık 1 Hz'de örnekler ve uygulama başına oran artı geçmiş gösterir.
  2. Ana bilgisayar adlarını çapraz referanslayın. Little Snitch (veya LuLu veya Radio Silence) bağlantı başına hedef alanı gösterir. Bir izleyici size "X konuşuyor" der, bir güvenlik duvarı sınıfı araç size "X telemetry.example.com ile konuşuyor" der.
  3. Mümkün olduğunda kapatın. Çoğu uygulamanın tercihlerinde bir "kullanım verilerini paylaş" veya "çökme raporları gönder" seçeneği vardır. Onu kapatmak nadiren bir şey bozar.
  4. Anahtarın çalıştığını doğrulayın. Bu insanların atladığı adımdır. Kapatın, uygulamayı yeniden başlatın, giden trafik için izleyin. Hâlâ görüyorsanız, gerçek bir sinyaliniz var.
Gizlilik ayarlarınızın gerçekten çalıştığını doğrulayın
"Telemetriyi devre dışı bırak" anahtarlarının çoğu dürüsttür. Birkaçı tiyatrodur. ova gibi bir izleyici, yeniden başlatmadan sonra uygulama başına oranı izleyerek farkı bir dakikadan az sürede doğrulamanıza izin verir.

Kontrol etmeye değer yaygın suçlular

  • Microsoft Office — varsayılan olarak tanılama verisi gönderir. Word → Tercihler → Gizlilik'te devre dışı bırakın.
  • Adobe Creative CloudCore Sync, CCXProcess ve arkadaşlarını arka planda çalıştırır. Çoğu isteğe bağlıdır. Cloud ajanının kendisi, Creative Cloud uygulamalarını kullanıyorsanız değildir.
  • Spotify — analitik olayları. Sınırlı anahtarlar, ancak veri hacmi küçük.
  • Slack — tasarım gereği ağır (websocket'ler, varlık). Telemetri değil, sadece nasıl çalıştığı.
  • Mac App Store'dan rastgele yardımcı uygulamalar — şaşırtıcı derecede konuşkan. Bir izleyici, yüklü tutmaya değmeyenleri tespit etmenize yardımcı olur.

Katman 4: Sistem seviyesi — Apple ve işletim sisteminin kendisi

Apple çoğu şirketten daha gizlilik koruyucudur, ancak macOS hâlâ bazı verileri göndermeye varsayılan olarak ayarlanmıştır. Kontrol edilecek üç yer:

Sistem Ayarları → Gizlilik ve Güvenlik → Analitik ve İyileştirmeler

  • Mac Analitiklerini Paylaş — çoğu kullanıcı için varsayılan olarak kapalı; doğrulayın.
  • Siri'yi ve Yazımı İyileştir — Siri'yi kaybetmeden bunu kapatabilirsiniz.
  • Uygulama Geliştiricileriyle Paylaş — üçüncü taraf geliştiricilere (anonimleştirilmiş) çökme verileri gönderir.

Sistem Ayarları → Gizlilik ve Güvenlik → Apple Reklamcılığı

  • Kişiselleştirilmiş Reklamlar — kapatın. App Store reklamları hâlâ görünür, sadece hedeflenmemiş.

Sistem Ayarları → Gizlilik ve Güvenlik → Konum Hizmetleri → Sistem Hizmetleri

Burada birçok sistem hizmeti var. Çoğu iyidir. İncelemeye değer olanlar:

  • Önemli Konumlar — görünür, silinebilir.
  • Telefonunuz eşleştirilmişse iPhone Analitikleri.
  • Yönlendirme ve Trafik — trafik verisi için anonimleştirilmiş konum gönderir.

Ağla ilgili anahtarlar

  • Sistem Ayarları → Wi-Fi → Ayrıntılar → IP Adresi İzlemeyi Sınırla — desteklenen ağlarda iCloud Private Relay tarzı teknikler kullanır.
  • iCloud Private Relay (iCloud+ aboneliğinin Mac kısmı) — Safari ve bazı sistem trafiğini iki röleden geçirir, sitelerden IP'yi ve Apple'dan DNS'i gizler.

İzleyici-vs-güvenlik duvarı yığını

Bu, çoğu gizlilik rehberinin kafa karıştırdığı yerdir. İkisine de ihtiyacınız var ve farklı işler yaparlar.

Bir izleyici

Çekirdek sayaçlarını okur, neler olduğunu size gösterir. Engellemez, istem yapmaz, yoldan çekilmez. ova bu kategoriye girer — yaklaşık 3 MB, çekirdek uzantısı yok, ağ filtresi yok, kurulumdan sonra izin istemi yok. Yalnızca okumadır.

Bir güvenlik duvarı

Bağlantıları inceler, kuralları uygular, engeller veya izin verir. Little Snitch kanonik Mac güvenlik duvarıdır. LuLu ücretsiz seçenektir. macOS Application Firewall (yerleşik) yalnızca geleni işler, gideni değil, yani aynı kategoride değildir.

Neden ikisini de istersiniz

Bir güvenlik duvarı politikayı uygular. Bir izleyici onu doğrular. Little Snitch'e "Adobe'nin *.adobe.io ile iletişim kurmasını engelle" dediğinizde, kuralın ateşlenmesine güvenirsiniz. Bir izleyici onaylar — bir engelleme ayarlarsanız ve uygulama başına trafik sıfıra düşerse, engelleme çalıştı. Düşmediyse, yanlış yapılandırılmış bir kuralınız var.

Bunları yan yana çalıştırın. CPU ve bellekteki birleşik maliyet, bir Chrome sekmesine kıyasla ihmal edilebilir.

Gizlilik yığınınıza sessiz bir izleyici ekleyin

ova çekirdek sayaçlarını okur ve uygulama başına bant genişliğini gösterir — yerel, telemetri yok, ~3 MB.

Download for macOS

Uygulama izinleri: çoğu insanın unuttuğu gizlilik katmanı

Ağ gizliliği yalnızca baytlarla ilgili değildir. macOS, uygulama başına uzun bir izin listesini kapı tutar: Konum, Kişiler, Takvimler, Hatırlatıcılar, Photos, Kamera, Mikrofon, Ekran Kaydı, Giriş İzleme, Tam Disk Erişimi, Dosyalar ve Klasörler, Erişilebilirlik, Otomasyon, Bluetooth, Yerel Ağ.

Bunlardan ikisinin doğrudan ağ gizlilik etkileri vardır:

  • Yerel Ağ — verildiğinde, bir uygulama LAN'ınızı tarayabilir ve diğer cihazları keşfedebilir. AirPlay alıcıları ve yazıcı uygulamaları için faydalı. Çoğu diğer için şüpheli.
  • Bluetooth — verildiğinde, bir uygulama yakındaki cihazlarla konuşabilir, ki bu bazen yakınlık izleme anlamına gelir.

Yılda bir kez Sistem Ayarları → Gizlilik ve Güvenlik'i denetleyin. Artık tanımadığınız uygulamalar için izinleri iptal edin. İşletim sistemi, uygulama bir sonraki sefer gerçekten erişime ihtiyaç duyduğunda yeniden istem yapar.

Pratik 30 dakikalık denetim

Yarım saat ayırın. Kahve. Toplantı yok.

  1. Bir .mobileconfig profili aracılığıyla DNS'i Cloudflare 1.1.1.1 veya Quad9'a geçirin. https://1.1.1.1/help ile doğrulayın.
  2. Sistem Ayarları'nda Gizlilik ve Güvenliği denetleyin. Analitik paylaşımını devre dışı bırakın. Konum Hizmetleri → Sistem Hizmetleri'ni gözden geçirin. İhtiyacı olmayan uygulamalar için Yerel Ağ'ı iptal edin.
  3. ova ve bir güvenlik duvarı yükleyin (Little Snitch deneme veya LuLu). Bir saat boyunca normal çalışırken bunların çalışmasına izin verin.
  4. Uygulama başına listeyi gözden geçirin. Sizi şaşırtan herhangi bir şey, araştırın. Bazı uygulamaları tutacaksınız, bazılarını kaldıracaksınız, bazılarını güvenlik duvarı kuralları aracılığıyla susturacaksınız.
  5. Taban çizginizi belgeleyin. Sessiz bir anda uygulama başına listenin bir ekran görüntüsünü alın. Önümüzdeki ay karşılaştırın.

Bu 30 dakikalık bir kurulumdur. Tekrarlamayacaksınız. Aylık kontrol beş dakikadır.

Yaygın mitler

"VPN = gizlilik"

Bir VPN, güveninizi ISS'nizden VPN sağlayıcısına taşır. VPN günlük tutuyor ve ISS tutmuyorsa, daha kötüsünüz. Denetlenmiş günlük tutmama iddiaları olan bir sağlayıcı seçin.

"Gizli mod beni gizler"

Tarayıcılarda gizli mod yerel geçmişi engeller. Ağınız aynı DNS sorgularını ve bağlantıları görür.

"Apple hiçbir şey görmüyor"

Apple, onayladıklarınızı (analitik, Siri örnekleri, uçtan uca şifrelenmemiş ise iCloud içeriği) artı bazı sistem seviyesi parmak izlerini (cihaz kontrolü, MDM beacon'ları, push bildirimleri) görür. Çoğu şirketten azdır, ama sıfır değildir.

Gizliliğinize güvendiğiniz araçlar için "%100 yerel" ne anlama gelir

Gizlilik için yüklediğiniz herhangi bir aracın kendisi gizli olmalıdır. Özellikle:

  • Hesap yok — bir gizlilik aracını kullanmak için giriş yapmanıza gerek yok.
  • Bulut senkronizasyonu yok — veri sizin diskinizde yaşar, onlarınkinde değil.
  • Telemetri yok — eve telefon eden bir gizlilik uygulaması kendi başına bir çelişkidir.
  • İmzalanmış ve notarize edilmiş — Apple'ın geliştirici süreci gerçek bir sinyaldir. Kişisel olarak kaynağı okumadıkça imzasız ikilileri atlayın.

ova dördünü de işaretler. Bant genişliği geçmişi diskinizde, uygulamanın uzak panosu yok ve hiç hesap akışı yok.

Toparlarken

macOS'ta ağ gizliliği dört katmandır — DNS, aktarım, uygulama telemetrisi, sistem telemetrisi — artı onları dürüst tutan denetim alışkanlığı. DNS'inizi şifreleyin, izinlerinizi budayın, bir güvenlik duvarının yanında bir izleyici çalıştırın ve aylık olarak yeniden kontrol edin. Parçaların hiçbiri zor değildir. Hile, hepsinin aynı anda yerinde olmasıdır, çünkü bir katmanı atlamak diğerlerini daha az faydalı yapar.

Bu hafta 30 dakikayı harcayın. Çoğu insan, Mac'lerinin boşta olduğunu düşündükleri sırada ne yaptığına sessizce şaşırır.