Firewall unter Lion

[echo.park]

Hi,

bleibt die Paket-Firewall "ipfw" unter Lion auch weiter aktiv, wenn ich die Programm-Firewall in den Systemeinstellungen deaktiviere?

Zudem habe ich hier folgendes entdeckt:

[...] Normalerweise bietet also eine Firewall auf dem zu schützenden Rechner keinen nennenswerten zusätzlichen Schutz. Sie kann im Gegenteil selbst verlockendes Ziel eines Angriffs sein, da sie die vom Angreifer gerne eroberten höheren Rechte hat und zudem mit beliebigem Netzverkehr erreichbar ist. [...]

Wie kann eine Firewall zur Gefahr werden? Das kann ich nicht ganz nachvollziehen. Dass dagegen eine Firewall unter Mac OSX kaum einen Nutzen hat, besonders im Vergleich zu Windows, das leuchtet mir ein.

[naich]

Zu 1) kann ich nix genaueres sagen.

Und was leuchtet dir bei 2) nicht ein? Die Firewall muss nur ein klitzekleines Schlupfloch für Schadcode haben...
...

[Bountyhunter]

Dass dagegen eine Firewall unter Mac OSX kaum einen Nutzen hat, besonders im Vergleich zu Windows, das leuchtet mir ein.

Erklaer mal wie du DAS meinst !?

[echo.park]

Zu 1) kann ich nix genaueres sagen.

Und was leuchtet dir bei 2) nicht ein? Die Firewall muss nur ein klitzekleines Schlupfloch für Schadcode haben...
...

Hmm, das klingt logisch. Hierzu habe ich bei Wikipedia auch folgendes gefunden.

Es ist zudem ein Problem des Konzepts, dass sich die Firewall-Software zwischen die normale Netzwerkimplementierung des Betriebssystems und die Außenwelt stellt, wodurch zwar in großen Teilen nicht mehr die ursprüngliche Netzwerkimplementierung, dafür aber die wesentlich komplexere Firewall-Software direkt angreifbar wird.

Die Erfahrung zeigt, dass eine Software mehr Fehler und Angriffspunkte enthält, je komplexer sie ist. Da ihre Komponenten (zumindest teilweise) mit erweiterten Rechten laufen und in der Regel Kernelkomponenten installiert werden, wirken sich Programmier- und Designfehler hier besonders verheerend auf die Sicherheit, Performance und Stabilität des Computersystems aus. Auf diese Weise können Angriffs- und Spionagemöglichkeiten geschaffen werden, die es ohne die installierte Firewall-Software nicht gäbe. So können Personal Firewalls selbst Sicherheitslücken enthalten, die beispielsweise einem Computerwurm erst Ansätze für einen Fernzugriff bieten.

Erklaer mal wie du DAS meinst !?

Hier beschrieben. Wenn ich das richtig verstehe, dann beinhaltet Windows eine Unmenge von Diensten, auf die per Internet zugegriffen werden kann. Diese Dienste sind selbst in Programmen enthalten, die selbst keine Netzwerkkomponente haben bzw. brauchen. Diese nennen sich "Remote Procedure Calls (RPCs)". Diesem Problem begegnet man mit einer Firewall, die diese Zugriffe dann wieder verhindern soll. So etwas ist in Mac OSX wohl nicht existent, oder nur dann, wenn man in den Systemeinstellungen Freigaben aktiviert.

Das Anbieten von Netzwerkzugriffen auch auf Nicht-Netzwerk-Programme, indem Remote Procedure Calls (RPCs) zu häufig und an unnötigen, unangebrachten Stellen (eben in Nicht-Netzwerk-Programmen) verwendet werden.

Weil Windows und seine Programme jedoch auf Remote Procedure Calls angewiesen sind, kann man dies nicht abschalten: Es würde vieles nicht mehr funktionieren, was man braucht.
Darum wird mit Hilfe einer Firewall diesem Architekturfehler entgegengewirkt: Die angebotenen Netzwerkzugriffe, die eigentlich sowieso unnötig sind, werden durch Firewall-Regeln eingeschränkt.

Hauptsächlich dient eine Firewall dazu, dafür zu sorgen, daß Dienste des Rechners nicht über das Netz benutzt werden können. Das setzt jedoch voraus, daß überhaupt Netzwerkdienste angeboten werden, die geblockt werden könnten.

Bei Windows ist das Problem, daß es und seine Programme viel zu viel RPC (Remote Procedure Calls) auch für Nicht-Netz-Programme einsetzen; dort also ziemlich viele Dienste laufen, die auch unnötigerweise dem Netz zur Verfügung stehen. Um diesen Architektur-Fehler auszugleichen, sperrt man die entsprechenden Ports mit einer Firewall.

Das ist das Entscheidende:

Bei Mac OS X laufen kaum Netzwerkdienste, wenn man sie nicht einschaltet (unter dem Kontrollfeld Sharing) und dann auch nur ein paar. Mac OS X und andere UNIX-Betriebssysteme nutzen nicht wie Windows übermäßig RPC in Nicht-Netz-Programmen, wodurch auch nicht Unmengen an Diensten angeboten werden, die durch eine Firewall wieder eingesperrt werden müßten. Insbesondere weisen bei Mac OS X normale Nicht-Netz-Programme keine Netzwerkdienste auf; sie sind auch ohne Firewall nicht von außen zu erreichen.

Es ist bei Mac OS X und anderen UNIX-Betriebssystemen nicht so wie bei Windows, daß eine Unmenge an Diensten laufen, von denen man nichts ahnt und die zudem von Nicht-Netz-Programmen angeboten werden.
Normalerweise bietet also eine Firewall auf dem zu schützenden Rechner keinen nennenswerten zusätzlichen Schutz. Sie kann im Gegenteil selbst verlockendes Ziel eines Angriffs sein, da sie die vom Angreifer gerne eroberten höheren Rechte hat und zudem mit beliebigem Netzverkehr erreichbar ist.

Der letzte Absatz findet sich hier.


# Edit:
Eine weitere Frage, die sich mir stellt: Kann man sich auch über eine schädliche Webseite infizieren, mit was auch immer, selbst wenn eine Firewall aktiv ist? Weil: Die Seite wird ja so oder so auf den Rechner geladen. (Hierbei jetzt mal außer acht lassen, dass es für Mac OSX nichts gibt, was sich selbstständig installieren könnte.)

Langer Post.

[naich]

Hier beschrieben. Wenn ich das richtig verstehe, dann beinhaltet Windows eine Unmenge von Diensten, auf die per Internet zugegriffen werden kann.

Hmm, naja, Normalo-Anwender haben ja noch einen DSL-Router zum Internet dazwischen hängen. Hier dient der schon als natürliche Firewall, sodass bei dem Szenario sowohl unter Win als auch unter Mac eine Firewall nicht wirklich nötig ist. Außer du erwartest Angriffe von innerhalb des lokalen Netzes, z.B. in öffentlichen WLANs.

Aber auch wenn man ne Firewall installiert hat, die Frage ist immer, wie gut diese vom Nutzer konfiguriert wurde.

Eine weitere Frage, die sich mir stellt: Kann man sich auch über eine schädliche Webseite infizieren, mit was auch immer, selbst wenn eine Firewall aktiv ist? Weil: Die Seite wird ja so oder so auf den Rechner geladen. (Hierbei jetzt mal außer acht lassen, dass es für Mac OSX nichts gibt, was sich selbstständig installieren könnte.)

Natürlich. In diesem Fall muss dann nur z.B. der Browser eine Sicherheitslücke haben.
Du weißt was eine Firewall intern macht? Dann ist dir auch klar, dass nur das geblockt wird was / wie du es eingestellt hat. Und solange du noch im Internet surfen willst, dürfen bestimmte Verbindungen nun mal nicht geblockt werden.

[echo.park]

Danke für deine Antworten.

[JvW]

wegen der "Infektion" durch eine Webseite: Sandbox ist das Stichwort (ich meine. Macmark hat da auch einen Artikel zu) - grob gesagt eine Methode, mit der verhindert wird, dass ein "gekaperter" Browser irgendwas mit den Rest des Systems anstellen kann

[echo.park]

Inwieweit unterscheidet sich denn die Firewall meines Reuthers von der Firewall in Lion oder als Beispiel von der Firewall in Windows? Machen die eigtl. das gleiche? Gibt es Unterschiede in der Filtertechnik? Ich lese immer wieder, dass in das Betriebssystem integrierte Firewalls die Dienste mit Netzwerkkomponente sperren, erledigt die Firewall in einem Router genau das gleiche?

[forenwalter]

Beim Link unten sind die Funktionen der verschiedenen Firewall beschrieben, das ganze ist sehr umfangreich und komplex.

http://de.wikipedia.org/wiki/Firewall

Walter

[naich]

Inwieweit unterscheidet sich denn die Firewall meines Reuthers von der Firewall in Lion oder als Beispiel von der Firewall in Windows? Machen die eigtl. das gleiche? Gibt es Unterschiede in der Filtertechnik? Ich lese immer wieder, dass in das Betriebssystem integrierte Firewalls die Dienste mit Netzwerkkomponente sperren, erledigt die Firewall in einem Router genau das gleiche?

Ein DSL-Router muss noch nicht mal eine im herkömmlichen Sinne konfigurierbare Firewall besitzen. Über den eingesetzten NAT-Modus erfolgt prinzipbedingt eine Trennung von Internet und Heim-Netz.

(Das die NAT-Funktionalität auch mit einer entsprechend konfigurierten Firewall erreicht werden kann, hier mal außer Acht gelassen.)