לדלג לתוכן

מדריך למדריך (Facilitator Guide) - פרק 9: רשת וקישוריות (Network Configuration)

הערה למדריך: מסמך זה משמש כ"מערך השיעור" (Lesson Plan) וכולל את התסריט להעברת החומר מול הכיתה, תרחישי הדגמה, ומידע טכני מורחב שיעזור לך להתמודד עם שאלות קשות. שמור על טון שיחתי (Conversational), נגיש ומעשי, כפי שהוגדר בפרוטוקול הקורס. ההדגמות במערך זה מבוססות על ממשק המשתמש הגרפי (GUI), כדי להעניק לתומכים כלים ויזואליים ונגישים לפתרון תקלות, בעוד פקודות ה-Terminal שמורות להעמקה מאחורי הקלעים.

1. ממשקים וסדרי עדיפויות: ניהול מיקומי רשת (Network Locations) ו-Service Order

Objective: להסביר כיצד macOS מנהלת חיבורים שונים במקביל ואיך להגדיר סדרי עדיפויות (Service Order) ומיקומי רשת כדי לפתור בעיות קישוריות מתנגשות באופן ויזואלי.

Discussion - Script: "ברוכים הבאים לפרק הרשתות. כשאנחנו מדברים על מחשב נייד שמסתובב בין הבית, למשרד ולבית הקפה, אנחנו צריכים להבין איך המק מחליט באיזה ממשק רשת להשתמש. דמיינו תרחיש: המק שלכם מחובר ל-Wi-Fi, ובמקביל חיברתם אותו גם לכבל רשת (Ethernet) דרך מסך חיצוני. שניהם פעילים. דרך מי האינטרנט זורם? מי מנצח? כאן נכנס לתמונה המנגנון שנקרא Service Order (סדר העדיפויות). המערכת מחפשת תמיד את החיבור הזמין הראשון ברשימה ומנתבת אליו את התעבורה. בנוסף, חשוב להכיר את ה-Network Locations (מיקומי רשת) - אלו פרופילים שמכילים הגדרות שונות לחלוטין (כתובות DNS שונות, IP קבוע, וכו') ומאפשרים למשתמש לקפוץ בין תצורת 'בית' לתצורת 'משרד'. ב-System Settings החדש זה קצת מוסתר, אבל זה עדיין שם, וזה קריטי כשמנסים לפתור התנגשויות רשת, כמו שרת DNS ארגוני שתוקע גלישה ברשת הביתית."

Demonstration:

  1. פתח את System Settings ונווט אל תפריט ה-Network.
  2. הראה לכיתה את רשימת הממשקים בצד הימני.
  3. לחץ על כפתור התפריט ... (עוד פעולות) בתחתית הרשימה, ובחר ב-Set Service Order.
  4. גרור את ממשק ה-Wi-Fi מתחת לממשק ה-Ethernet כדי להדגים את הפעולה הפיזית של מתן עדיפות לכבל הרשת.
  5. חזור לתפריט ה-..., ובחר הפעם ב-Locations ולאחר מכן Edit Locations.
  6. הוסף מיקום חדש (למשל "Office" או "Home") והסבר איך שינוי הגדרות ה-DNS במיקום החדש הזה לא ישפיע בכלל על פרופיל ברירת המחדל (Automatic).

Instructor Deep-Dive:

לחץ להרחבה טכנית למדריך: מאחורי הקלעים של סדרי העדיפויות וניתוב התעבורה * **ניתוב התעבורה (Routing Table):** סדר העדיפויות (Service Order) שאתה מגדיר בממשק הגרפי משפיע ישירות על טבלת הניתוב של הקרנל ברמת ה-IP. הממשק העליון ביותר שיש לו חיבור תקין מקבל את ה-Default Gateway של המערכת (ניתן לראות זאת על ידי הרצת הפקודה `netstat -rn` בטרמינל). שאר הממשקים לא מתנתקים, אלא יכולים לשמש לחיבור לרשתות מקומיות אחרות (Local Subnets). * **פרופיל Automatic:** המיקום הראשון נקרא תמיד "Automatic". זהו אוסף הגדרות המנוהל בקובץ תצורה של ה-SystemConfiguration Framework (תחת `/Library/Preferences/SystemConfiguration/preferences.plist`). אם הגדרות הרשת של משתמש הושחתו לחלוטין, מחיקה של הקבצים בתיקייה זו ואתחול המק ייצרו מחדש את פרופיל ה-Automatic (טריק של איפוס הגדרות רשת).

2. כלי אבחון: ניטור קישוריות עם Activity Monitor ו-Wireless Diagnostics

Objective: להעניק לתומך כלים גרפיים לאבחון תקלות תקשורת, ניטור תעבורה ואיתור בעיות אלחוט מבלי להזדקק לשורת הפקודה.

Discussion - Script: "משתמש מתקשר ואומר 'אין לי אינטרנט'. איך בודקים מאיפה נובעת הבעיה? בעבר הנטייה הייתה לקפוץ ל-Terminal, אבל ב-macOS יש לנו כלים גרפיים מצוינים ונגישים שמאפשרים לקבל Snapshot (תמונת מצב) מדויקת. אם נרצה לראות איזו אפליקציה זוללת לנו רוחב פס או בכלל מנסה לשדר החוצה, נפתח את ה-Activity Monitor תחת לשונית ה-Network. אם הבעיה היא בניתוקים מול הראוטר האלחוטי, לא ננחש - פשוט נחזיק את מקש ה-Option במקלדת ונלחץ על אייקון ה-Wi-Fi. הפעולה הזו חושפת מידע טכני מוסתר על איכות האות (RSSI) ורעשי הרקע, ואף נותנת לנו גישה לכלי ה-Wireless Diagnostics שיודע לנטר את הרשת ולדווח על בעיות בתדרים ובתקשורת המקומית."

Demonstration:

  1. פתח את Activity Monitor ונווט ללשונית Network.
  2. הראה כיצד לראות תעבורה (Sent/Received) בזמן אמת, והסבר שניתן לזהות תהליכים "רעבים" או אפליקציות שנתקעו בלולאת סנכרון.
  3. החזק את מקש ה-Option (⌥) במקלדת ולחץ על אייקון ה-Wi-Fi בשורת התפריטים העליונה (Menu Bar).
  4. הצג את המידע המורחב (כמו IP Address, Router, Security, RSSI, Noise, ו-Tx Rate).
  5. בחר מתוך התפריט המורחב את Open Wireless Diagnostics והראה בקצרה את אשף האבחון.

Instructor Deep-Dive:

לחץ להרחבה טכנית למדריך: כלי CLI לאבחון ופקודת networksetup * **הכוח של networksetup:** למרות שאנו מדגימים עבודה גרפית, השלט-רחוק המוחלט של המק לניהול רשתות דרך MDM או SSH הוא פקודת ה-`networksetup`. היא מדברת ישירות עם ה-SystemConfiguration Framework ולכן כל שינוי בה משתקף מיד ב-System Settings. למשל: הצגת כל הממשקים: `networksetup -listallnetworkservices` הגדרת DNS לממשק האלחוטי: `sudo networksetup -setdnsservers Wi-Fi 8.8.8.8` * **אבחון תקשורת וניתוב ב-CLI:** כשכלי ה-GUI לא מספיקים לבירור "איפה הנתונים נופלים", ה-Terminal עדיין מושלם: בדיקת פינג בסיסית: `ping -c 4 8.8.8.8` או `ping apple.com` (לפיתרון שמות DNS). בדיקת נתיב התעבורה וקפיצות הראוטרים: `traceroute 8.8.8.8`.

3. חומת האש: ה-Firewall המובנה של macOS וכיצד הוא פועל

Objective: להבין את הייעוד, הארכיטקטורה והמגבלות של חומת האש (Application Layer Firewall) המובנית במק, תוך שימוש בממשק המערכת.

Discussion - Script: "בואו נדבר על חומת האש המובנית של המק. משתמשים שואלים כל הזמן: 'צריך להדליק את ה-Firewall? זה בטוח לכבות אותו?'. בניגוד לראוטר המשרדי שחוסם פורטים ספציפיים ברמת הרשת, חומת האש המובנית של macOS עובדת ברמת האפליקציה (Application Layer Firewall). היא מסתכלת איזו אפליקציה ספציפית מנסה לקבל חיבורים נכנסים, ואם היא לא מוכרת, היא תקפיץ הודעה ותבקש אישור. חשוב להבין: חומת האש הזו חוסמת חיבורים נכנסים בלבד (Inbound). היא לא מונעת מתוכנות לשלוח מידע החוצה. לרוב המשתמשים שיושבים מאחורי הראוטר הביתי, הראוטר כבר מספק חסימה ראשונית. אבל, אם המשתמש עובד מבית קפה, נמל תעופה או רשת אורחים - מומלץ מאוד להדליק אותו כדי לשמור על האפליקציות מוגנות מתקשורת עוינת."

Demonstration:

  1. פתח את System Settings -> נווט אל Network -> ולאחר מכן Firewall.
  2. הפעל את ה-Firewall, ולחץ על כפתור ה-Options.
  3. הראה למשתתפים את רשימת האפליקציות המאושרות שמופיעה בתיבה וכיצד ניתן להוסיף או להסיר אפליקציה עם הכפתורים (+ ו- -).
  4. הצבע על אפשרות העל: "Block all incoming connections" והסבר כיצד הפעלתה תנעל את המחשב הרמטית מבחוץ (אך תשבית שירותים כמו File Sharing או AirDrop).

Instructor Deep-Dive:

לחץ להרחבה טכנית למדריך: ALF לעומת PF, ו-Stealth Mode * **סוגי פיירוול במערכת:** macOS מריצה שני מנגנונים: ה-ALF (Application Layer Firewall), שהוא הממשק הגרפי (מנוהל על ידי `socketfilterfw`); וה-PF (Packet Filter), שרץ ברמת הקרנל ונשלט דרך `pfctl`. ארגונים דוחפים פעמים רבות חוקי PF עמוקים שלא נראים בממשק הרגיל. * **חסימת חיבורים ו-Notarization:** ה-ALF מזהה אפליקציות לפי חתימתן. אפליקציה חתומה שאושרה מראש (Notarization מבית אפל) עשויה לקבל גישה אוטומטית אם מסומנת ההגדרה "Automatically allow built-in software to receive incoming connections". * **Stealth Mode:** בתוך אופציות ה-Firewall ניתן להפעיל Stealth Mode. כשהוא מופעל, המק מתעלם מבקשות ICMP (כמו פקודות Ping נכנסות) ולא עונה ליציאות סגורות, מה שהופך אותו ל"בלתי נראה" בפני סורקי רשת (Network Scanners) ברשתות ציבוריות.

4. תיבול ארגוני: אבחון פרופילי רשת, 802.1X, Proxy ו-VPNs

Objective: ללמוד כיצד להתמודד עם הגדרות רשת ארגוניות (כמו Proxy ו-VPN) ועם תקלות התחברות ל-Wi-Fi ארגוני דרך ממשקי המערכת.

Discussion - Script: "בסביבה ארגונית, משתמשים לא מתחברים ל-Wi-Fi עם סיסמה פשוטה. הרשת משתמשת בפרוטוקול 802.1X (WPA-Enterprise) הדורש תעודת אימות (Certificate) או שם משתמש וסיסמת ספריה. בדרך כלל ה-MDM דוחף Configuration Profile (פרופיל תצורה) (Configuration Profile) וזה עובד שקוף. אבל כשהמשתמש מחליף סיסמת Active Directory והמערכת ממשיכה לנסות את הסיסמה הישנה שנשמרה ב-Keychain, החיבור נכשל. כאן אנחנו נכנסים לתמונה. בנוסף, ה-MDM עשוי לדחוף שרת Proxy קבוע או חיבור VPN כפוי שאי אפשר לכבות. אם המשתמש מגיע למלון שדורש כניסה דרך Captive Portal (מסך אישור גלישה), החיבור נתקע. התפקיד שלנו הוא לאתר את הפרופילים האלו, לבדוק את הגדרות ה-Proxy ב-System Settings, ולדעת מתי לנקות תעודות מיושנות ב-Keychain."

Demonstration:

  1. פתח System Settings -> חפש Profiles או Privacy & Security (אם יש פרופילים מותקנים, הם יופיעו שם). הראה היכן יושב Payload (פיילוד) (Payload) מסוג Wi-Fi או VPN.
  2. פתח את האפליקציה Keychain Access מתוך תיקיית Utilities.
  3. חפש פריטים הקשורים לשם הרשת או למילה "802.1X". הסבר שניתן למחוק כאן את הסיסמה הישנה כדי לאלץ את המערכת לבקש מהמשתמש סיסמה עדכנית להתחברות.
  4. חזור ל-System Settings -> Network -> היכנס לחיבור ה-Wi-Fi הפעיל -> Details -> ולשונית ה-Proxies. הראה היכן תצורה ארגונית תופיע (לרוב תהיה "אפורה" ונעולה לשינוי על ידי המשתמש הרגיל).

Instructor Deep-Dive:

לחץ להרחבה טכנית למדריך: חיבורי VPN מודרניים ודיבוג 802.1X בלוגים * **חיבורי VPN ותצורת ZTNA:** כיום חיבורים מתקדמים (כמו GlobalProtect או Cisco) משתמשים ב-System Extensions עבור VPN המבוססות על ה-Network Extension framework, במקום IPSec ישן. ה-MDM מתקין Payload (פיילוד) מסוג VPN/App-Proxy שלעיתים חוסם את היכולת של המשתמש להתנתק דרך ממשק המשתמש הרגיל. * **דיבוג 802.1X דרך ה-Terminal (לוגים):** כשחיבור ארגוני נכשל לחלוטין ואין הסבר ברור, אפשר להשתמש בפקודת יוניקס כדי לעקוב אחר לחיצת היד (Handshake) מול שרת ה-RADIUS: `log show --predicate 'subsystem == "com.apple.eapol"' --info` * **הקשר בין Keychain לפרופילי תצורה:** למרות שהדגמנו מחיקת סיסמה ידנית ב-Keychain, חשוב לדעת שאם התעודות הגיעו ישירות מתוך הפרופיל (Payload), ייתכן שהן יהיו מוגנות ממחיקה. הפעולה הנכונה ביותר בארגון תהיה להסיר את הפרופיל כולו דרך ממשק ה-MDM ולדחוף אותו מחדש.

בקרת איכות Glossary: בוצע שימוש במונחים המדויקים, כגון: Service Order, Network Location, Payload (פיילוד) (Payload), Configuration Profile (פרופיל תצורה) (Configuration Profile), Application Layer Firewall.