Una de las nuevas funcionalidades que aporta la nueva versión de OSX «El Capitan» es una nueva política de seguridad denominada «System Integrity Protection».
Este nuevo aspecto pretende proteger el sistema operativo de modificaciones mal intencionadas o accidentales que hagan que se produzca un mal funcionamiento del mismo.
Sin embargo algunas aplicaciones están teniendo problemas a causa de esta nueva funcionalidad, en este tutorial veremos un caso concreto y como solventarlo.
Índice de contenidos
1. Introducción
La nueva directiva de seguridad «System Integrity Protection», a partir de ahora SIP, se aplica sobre todos los procesos que se ejecutan en el sistema sea cual sea su ámbito y actua a varios niveles:
- Apple Internal
- Kext Signing
- Filesystem Protections
- Debugging Restrictions
- DTrace Restriction
- NVRAM Protections
Ya en la anterior versión de OSX, Yosemite, se implantó el sistema de firmado de extensiones del kernel con la intención de proteger a los usuarios de que malware instalara extensiones a nivel de sistema y poder controlar el equipo. Aunque tiene una contrapartida, elimina la posibilidad de que aplicaciones legales que no tiene sus extensiones firmadas trabajen correctamente.
2. Entorno
El tutorial está escrito usando el siguiente entorno:
- Hardware: Portátil MacBook Pro Retina 15′ (2.7 Ghz Intel Core I7, 16GB DDR3).
- Sistema Operativo: Mac OS El Capitan 10.11
- Network Connect
3. El problema
En nuestro caso, tras realizar la actualización del sistema operativo, hemos perdido la capacidad de conectarnos vía webaccess a conexiones VPN.
El problema se mostraba puesto que la aplicación Network Connect, tras la autentiación inicial, quedaba estancado en el proceso de establecimiento de la conexión.
Tras una revisión inicial, llegamos a la conclusión de que nos encontramos ante un problema como el que comentábamos en la introducción, y como consecuencia intentamos optar por la solución conocida: desactivar la protección.
En el pasado, el «work around» pasaba por el establecimiento de un argumento a la porción de memoria que se lee al iniciar el sistema operativo, la NVRAM, mediante el siguiente comando:
sudo nvram boot-args="kext-dev-mode=1 rootless=0"
Pero, «oh sorpresa, oh dolor» no funcionó, con el nuevo sistema operativo, el paso de argumentos a través de la NVRAM queda obsoleto y no funciona…
4. La solución
El nuevo sistema operativo trae además una funcionalidad para configurar mínimamente el SIP: csrutil.
Para poder hacer uso de ella, tendrémos que reiniciar la máquina en modo recuperación (cmd+r para aquellos que tengan una partición de recuperación estándar ó a través de un USB de arranque).
Una vez que nos encontremos en modo recuperación podremos hacer uso de esta funcionalidad, con todas sus opciones, a través de línea de comandos.
Y procedemos con la desactivación total de SIP:
# csrutil disable
Tras reiniciar, pudimos conectarnos a través de la VPN procediendo previamente a través del webaccess.
5. Conclusiones
SIP es una política de seguridad proactiva que protege a los usuarios, incluso de si mismos, por lo que se desaconseja su total desactivación.
Sin embargo, para usuarios avanzados, acostumbrados a una mayor libertad de trabajo y de una configuración más concreta del sistema operativo supondrá algún que otro quebradero de cabeza puesto que actúa sobre muchas de las modificaciónes que se suelen hacer sobre el sistema.
Apple quiere hacer hincapié en este sentido, manteniendo System Integrity Protection al nivel más restrictivo, siendo posible el hecho de que, en actualizaciones posteriores del sistema operativo, se reactive esta política en todos sus aspectos.
6. Referencias
- Faq-mac.
- Mac Developer Library El Capitan Prerelease notes
- System Integrity Protection Guide
Estimado, ¿Cómo puedo eliminar conexiones VPN del MAC? en algunas se atenúa el símbolo «-» y no deja eliminarle.
Saludos!!!!