לדלג לתוכן

מדריך למדריך (מדריך העברה) - שיעור 9: רשת וקישוריות (Network Configuration)

הערה למדריך: מסמך זה משמש כ"מערך השיעור" (Lesson Plan) וכולל את התסריט להעברת החומר מול הכיתה, תרחישי הדגמה, ומידע טכני מורחב שיעזור לך להתמודד עם שאלות קשות. שמור על טון שיחתי (Conversational), נגיש ומעשי, כפי שהוגדר בפרוטוקול הקורס. ההדגמות במערך זה מבוססות על ממשק המשתמש הגרפי (GUI), כדי להעניק לתומכים כלים ויזואליים ונגישים לפתרון תקלות, בעוד פקודות ה-Terminal שמורות להעמקה מאחורי הקלעים.

1. ממשקים וסדרי עדיפויות: ניהול מיקומי רשת (Network Locations) ו-Service Order

Objective:

להסביר כיצד macOS מנהלת חיבורים שונים במקביל ואיך להגדיר סדרי עדיפויות (Service Order) ומיקומי רשת כדי לפתור בעיות קישוריות מתנגשות באופן ויזואלי.

Discussion - Script:

  • "ברוכים הבאים לשיעור הרשתות."
  • כשאנחנו עם מחשב נייד, הוא מסתובב בין הבית, המשרד ובית הקפה.
  • איך המק מחליט באיזה ממשק רשת להשתמש?
  • דמיינו תרחיש:
  • המק מחובר ל-Wi-Fi.
  • במקביל, הוא מחובר לכבל רשת (Ethernet) דרך מסך חיצוני.
  • שניהם פעילים בו-זמנית.
  • דרך מי האינטרנט זורם? מי מנצח?
  • כאן נכנס לתמונה ה-Service Order (סדר עדיפויות).
  • המערכת מחפשת את החיבור הזמין הראשון ברשימה.
  • היא מנתבת אליו את כל התעבורה.
  • Network Locations (מיקומי רשת):
  • אלו פרופילים המכילים הגדרות נפרדות לחלוטין (כמו DNS או IP קבוע).
  • הם מאפשרים "לקפוץ" בקלות בין תצורת 'בית' ל'משרד'.
  • ב-System Settings החדש זה קצת מוסתר, אך עדיין קיים.
  • זהו כלי קריטי לפתרון התנגשויות רשת (למשל, שרת DNS ארגוני שתוקע את הרשת הביתית).

Demonstration:

  1. פתח את System Settings ונווט אל תפריט ה-Network.
  2. הראה לכיתה את רשימת הממשקים בצד הימני.
  3. לחץ על כפתור התפריט ... (עוד פעולות) בתחתית הרשימה, ובחר ב-Set Service Order.
  4. תרגל מתן עדיפות:
  5. גרור את ממשק ה-Wi-Fi מתחת לממשק ה-Ethernet.
  6. הדגם את הפעולה הפיזית של מתן עדיפות לכבל רשת.
  7. חזור לתפריט ה-..., ובחר הפעם ב-Locations ולאחר מכן Edit Locations.
  8. הוסף מיקום חדש:
  9. קרא לו "Office" או "Home".
  10. הסבר ששינוי הגדרות (למשל DNS) במיקום החדש לא ישפיע על פרופיל ברירת המחדל (Automatic).

Instructor Deep-Dive:

לחץ להרחבה טכנית למדריך: מאחורי הקלעים של סדרי העדיפויות וניתוב התעבורה * **ניתוב התעבורה (Routing Table):** * ה-Service Order בממשק הגרפי משפיע ישירות על טבלת הניתוב של הקרנל. * הממשק העליון התקין מקבל את ה-Default Gateway של המערכת. * ניתן לראות זאת דרך הטרמינל עם הפקודה `netstat -rn`. * שאר הממשקים אינם מתנתקים, אלא משמשים לחיבור לרשתות מקומיות אחרות (Local Subnets). * **פרופיל Automatic:** * המיקום הראשון נקרא תמיד "Automatic". * אוסף ההגדרות מנוהל על ידי ה-SystemConfiguration Framework. * נתיב הקובץ: `/Library/Preferences/SystemConfiguration/preferences.plist`. * טריק שימושי לאיפוס הגדרות רשת שהושחתו: * מחיקת הקבצים בתיקייה זו. * אתחול המק (ייצר מחדש את פרופיל ה-Automatic).

2. כלי אבחון: ניטור קישוריות עם Activity Monitor ו-Wireless Diagnostics

Objective:

להעניק לתומך כלים גרפיים לאבחון תקלות תקשורת, ניטור תעבורה ואיתור בעיות אלחוט מבלי להזדקק לשורת הפקודה.

Discussion - Script:

  • "משתמש מתקשר ואומר 'אין לי אינטרנט'."
  • איך בודקים מאיפה נובעת הבעיה?
  • בעבר, הנטייה הייתה לקפוץ ל-Terminal.
  • ב-macOS של היום יש כלים גרפיים מצוינים ונגישים לקבלת Snapshot (תמונת מצב) מדויקת.
  • בדיקת רוחב פס:
  • רוצים לראות איזו אפליקציה זוללת רוחב פס או משדרת החוצה?
  • פתחו את ה-Activity Monitor בלשונית ה-Network.
  • בעיות אלחוט וניתוקים:
  • הבעיה בניתוקים מול הראוטר? אל תנחשו.
  • החזיקו את מקש ה-Option ולחצו על אייקון ה-Wi-Fi.
  • המידע שנחשף:
    • נתונים טכניים על איכות האות (RSSI) ורעשי רקע.
    • גישה לכלי ה-Wireless Diagnostics.
    • הכלי יודע לנטר את הרשת ולדווח על בעיות בתדרים ובתקשורת המקומית.

Demonstration:

  1. פתח את Activity Monitor ונווט ללשונית Network.
  2. הראה תעבורה בזמן אמת (Sent/Received):
  3. הסבר איך לזהות תהליכים "רעבים".
  4. הסבר איך לאתר אפליקציות שנתקעו בלולאת סנכרון.
  5. החזק את מקש ה-Option (⌥) ולחץ על אייקון ה-Wi-Fi בשורת התפריטים (Menu Bar).
  6. הצג את המידע המורחב:
  7. IP Address, Router, Security.
  8. RSSI, Noise, ו-Tx Rate.
  9. פתח את אשף האבחון:
  10. בחר מהתפריט המורחב את Open Wireless Diagnostics.
  11. הראה בקצרה כיצד האשף פועל.

Instructor Deep-Dive:

לחץ להרחבה טכנית למדריך: כלי CLI לאבחון ופקודת networksetup * **הכוח של `networksetup`:** * אמנם אנחנו מדגימים ב-GUI, אך ה-CLI שולט לחלוטין ברשת. * מתאים במיוחד לניהול דרך MDM או SSH. * הפקודה מדברת ישירות עם ה-SystemConfiguration Framework. * כל שינוי משתקף מיידית ב-System Settings. * **דוגמאות שימושיות:** * הצגת כל הממשקים: `networksetup -listallnetworkservices` * הגדרת DNS ל-Wi-Fi: `sudo networksetup -setdnsservers Wi-Fi 8.8.8.8` * **אבחון תקשורת וניתוב ב-CLI:** * כשה-GUI לא מספיק להבין "איפה הנתונים נופלים", ה-Terminal מושלם. * **בדיקת פינג בסיסית:** * `ping -c 4 8.8.8.8` * `ping apple.com` (לפיתרון שמות DNS). * **בדיקת נתיב התעבורה:** * קפיצות הראוטרים בדרך: `traceroute 8.8.8.8`.

3. חומת האש: ה-Firewall המובנה של macOS וכיצד הוא פועל

Objective:

להבין את הייעוד, הארכיטקטורה והמגבלות של חומת האש (Application Layer Firewall) המובנית במק, תוך שימוש בממשק המערכת.

Discussion - Script:

  • "בואו נדבר על חומת האש המובנית של המק."
  • משתמשים שואלים תמיד: 'צריך להדליק את ה-Firewall? זה בטוח לכבות אותו?'
  • עובדת רקע מעניינת (מה-DeepDive): בניגוד למערכות ישנות, ב-macOS המודרנית כמעט כל מנגנוני ההגנה (כמו XProtect ו-Gatekeeper) פועלים עמוק מאחורי הקלעים באין מפריע. למעשה, לאפל אפילו אין "לוח בקרה" מרכזי שמתריע בבירור אם אחד ממנגנוני ההגנה הללו כובה בטעות! חומת האש (ALF) היא מנגנון יוצא דופן שעדיין חושף למשתמש מתג הדלקה/כיבוי ברור.
  • איך זה עובד?
  • ראוטר משרדי חוסם פורטים ספציפיים ברמת הרשת.
  • חומת האש במק פועלת ברמת האפליקציה (Application Layer Firewall).
  • היא מסתכלת איזו אפליקציה ספציפית מנסה לקבל חיבורים.
  • אפליקציה לא מוכרת? תוקפץ הודעה שתבקש אישור.
  • חשוב להבין את המגבלה:
  • חומת האש חוסמת חיבורים נכנסים בלבד (Inbound).
  • היא לא מונעת מתוכנות לשלוח מידע החוצה.
  • מתי כדאי להפעיל?
  • מאחורי ראוטר ביתי? הראוטר כבר מספק חסימה ראשונית.
  • בבית קפה, נמל תעופה או רשת אורחים? חובה להפעיל!
  • זה מגן על האפליקציות מפני תקשורת עוינת.

Demonstration:

  1. נווט ב-System Settings אל Network ואז ל-Firewall.
  2. הפעל את ה-Firewall ולחץ על כפתור ה-Options.
  3. הצג את הרשימה:
  4. הראה את האפליקציות המאושרות.
  5. הדגם הוספה/הסרה של אפליקציה בעזרת הכפתורים (+ ו- -).
  6. הצבע על אפשרות העל: Block all incoming connections.
  7. הסבר שזה נועל את המחשב הרמטית מבחוץ.
  8. הדגש שזה ישבית שירותים כמו File Sharing או AirDrop.

Instructor Deep-Dive:

לחץ להרחבה טכנית למדריך: ALF לעומת PF, ו-Stealth Mode * **סוגי פיירוול במערכת:** * מערכת macOS מריצה שני מנגנונים שונים. * **ALF (Application Layer Firewall):** הממשק הגרפי, מנוהל על ידי `socketfilterfw`. * **PF (Packet Filter):** רץ ברמת הקרנל, נשלט דרך `pfctl`. * ארגונים לרוב דוחפים חוקי PF מורכבים שאינם נראים בממשק הרגיל. * **חסימת חיבורים ו-Notarization:** * ה-ALF מזהה אפליקציות לפי החתימה שלהן. * אפליקציה חתומה שאושרה מראש (Notarization של אפל) לרוב תקבל גישה אוטומטית. * זה תלוי בהגדרה "Automatically allow built-in software to receive incoming connections". * **Stealth Mode:** * אפשרות נוספת בתוך אופציות ה-Firewall. * כשהוא מופעל, המק מתעלם מבקשות ICMP (כמו פקודות Ping נכנסות). * המק לא עונה ליציאות סגורות, והופך "בלתי נראה" בפני סורקי רשת (Network Scanners) ברשתות ציבוריות.

4. תיבול ארגוני: אבחון פרופילי רשת, 802.1X, Proxy ו-VPNs

Objective:

ללמוד כיצד להתמודד עם הגדרות רשת ארגוניות (כמו Proxy ו-VPN) ועם תקלות התחברות ל-Wi-Fi ארגוני דרך ממשקי המערכת.

Discussion - Script:

  • "בסביבה ארגונית, משתמשים לא מתחברים ל-Wi-Fi עם סיסמה פשוטה."
  • הרשת משתמשת בפרוטוקול 802.1X (WPA-Enterprise).
  • זה דורש תעודת אימות (Certificate) או שם משתמש וסיסמת ספריה.
  • לרוב, ה-MDM דוחף Configuration Profile (פרופיל תצורה) וזה עובד בצורה שקופה.
  • מתי מתחילות הבעיות?
  • המשתמש מחליף סיסמת Active Directory.
  • המערכת ממשיכה לנסות את הסיסמה הישנה שנשמרה ב-Keychain.
  • החיבור נכשל, וכאן אנחנו נכנסים לתמונה.
  • הגדרות נוספות בסביבה ארגונית:
  • ה-MDM עשוי לדחוף שרת Proxy קבוע.
  • יכול להיות חיבור VPN כפוי שאי אפשר לכבות.
  • אם המשתמש מגיע למלון שדורש אישור גלישה (Captive Portal), החיבור נתקע.
  • התפקיד שלנו כתומכים:
  • לאתר את הפרופילים האלו.
  • לבדוק את הגדרות ה-Proxy ב-System Settings.
  • לדעת מתי לנקות תעודות מיושנות ב-Keychain.

Demonstration:

  1. פתח System Settings ונווט אל Profiles (או Privacy & Security, אם מותקנים).
  2. הראה היכן יושב Payload מסוג Wi-Fi או VPN.
  3. פתח את Keychain Access מתוך תיקיית Utilities.
  4. חפש פריטים בעייתיים:
  5. חפש את שם הרשת או המילה "802.1X".
  6. הסבר שמחיקת הסיסמה הישנה מאלצת את המערכת לבקש סיסמה עדכנית.
  7. חזור ל-System Settings -> Network.
  8. היכנס לחיבור ה-Wi-Fi הפעיל -> Details -> לשונית Proxies.
  9. הראה כיצד תופיע תצורה ארגונית (לרוב "אפורה" ונעולה לשינוי למשתמש רגיל).

Instructor Deep-Dive:

לחץ להרחבה טכנית למדריך: חיבורי VPN מודרניים ודיבוג 802.1X בלוגים * **חיבורי VPN ותצורת ZTNA:** * חיבורים מתקדמים (כמו GlobalProtect או Cisco) עברו ל-System Extensions. * הם מבוססים על Network Extension framework (במקום IPSec ישן). * ה-MDM מתקין Payload מסוג VPN/App-Proxy. * לרוב, תצורה זו חוסמת מהמשתמש את היכולת להתנתק ידנית מהממשק. * **דיבוג 802.1X דרך ה-Terminal:** * אם החיבור נכשל ללא הסבר ברור, אפשר לעקוב אחרי הלוגים. * פקודה למעקב אחר לחיצת היד (Handshake) מול שרת ה-RADIUS: `log show --predicate 'subsystem == "com.apple.eapol"' --info` * **הקשר בין Keychain לפרופילי תצורה:** * אמנם הדגמנו מחיקת סיסמה ידנית, אך חשוב להיזהר. * אם התעודות הגיעו ישירות מתוך הפרופיל (Payload), הן לרוב מוגנות ממחיקה. * הפעולה הנכונה בארגון היא להסיר את הפרופיל במלואו מה-MDM ולדחוף אותו מחדש.

בקרת איכות Glossary: בוצע שימוש במונחים המדויקים, כגון: Service Order, Network Location, Payload (פיילוד), Configuration Profile (פרופיל תצורה), Application Layer Firewall.