[OS X] Tutorial: System-Sicherheit erhöhen

[Wikinator]

Im internen Netz hätten wir aber keinen Schutz ohne Firewall. Nun gibt es interne Netze wie meins zu Hause welches ich als sehr sicher ansehe. Es gibt aber auch riesige Firmennetzwerke oder private LAN-Verbunde von 100 Leuten. Dort keine Firewall zu haben, ist etwas fahrlässig.

kann eine Firewall auf dem jeweiligen Client nicht auch das "nach-hause-telefonieren" einzelner Programme verhindern, bzw. filtern Router auch in diese richtung?

[Dante101]

Hm, müsste dein Passwort dann nicht eher AimL!DbisJ2a lauten?!

Nein, stimmt auch nicht. Es müsste AimL!DbisJ2a. lauten!

[Cyrics]

kann eine Firewall auf dem jeweiligen Client nicht auch das "nach-hause-telefonieren" einzelner Programme verhindern, bzw. filtern Router auch in diese richtung?

Die OSX-Firewall tut es nicht. Die wenigsten Router tun dies. LittleSnitch, ja. Also das kommt immer auf die Firewall, bzw. auf den Router an. Je nachdem wie die Firewall-Regeln definiert sind etc.
Wenn man den Router geliefert bekommt, sind dessen Standard-Einstellungen meistens, dass die Firewall sogar aus ist. Wenn man nun diese aktiviert, unterscheiden sich ja jetzt schon die meisten Router, weil die noch nicht mal eigene Regeln definiert werden können. Wenn ja, dann wird nochmal unterschieden zwischen LAN-internet und Internet-LAN-Regeln. Oft existieren nur die Internet-LAN-Regeln. Viele Router haben auch dann noch LAN-Internet-Regeln. Dort wären dann die Einstellungen, die du suchst. Aber die haben oft keine Benachrichtung, sondern nur ein prinzipielles öffnen oder sperren. Die Feinheiten dieser Firewall sind doch selten wirklich fein, sondern nur sehr grob.
Also ansich hast du recht, eine Firewall ist auch dafür ganz nützlich. Aber dies bekommt man eigentlich nur durch Erweiterungen hin um den rigorosen Netzwerk-Vekehr mitzukriegen. Die normalen Standard-Methoden von OSX-Firewall und Router können dies auf jeden Fall nicht verhindern, da die selten unterscheiden können welches Programm über Port 80 zum Beispiel gerade wegsurft. LittleSnitch unterscheidet ja da ganz gezielt welche Applikation und welcher Port und wie die Regel definiert ist.

[Wikinator]

wäre das nicht mit "iptables" oder einer sonstigen Firewall aus UNIX möglich?

[Cyrics]

ich hab ehrlich gesagt noch nie probiert iptables bei OSX zum Laufen zu kriegen.
Aber so wie du es dir vorstellst, ist es damit nicht möglich. Ich hab ein iptables-Skript auf meinem Server laufen, und es ist unumstritten die beste Firewall, die ich kenne für Debian, bzw. für ein Linux-System. Aber du kannst damit keine Software ausfindig machen, welche nach Hause telefoniert. Denn entweder sie telefoniert, oder sie tut es nicht. Es wird zwar immer ein Bericht zu den Aktivitäten aufgezeichnet... also die Logs, und man kann so ziemlich jede Attacke verhindern, kann Ports durch einen Ping, Portscan, etc. schliessen lassen, mit einem Zusatztool knocker durch ein geheimes Klopfsignal wieder öffnen lassen etc.
Aber iptables ist ein Skript. Es hört auf das was du ihm sagst. Es ist in der Hinsicht nicht dynamisch, wie z.B. LittleSnitch.

Also als Beispiel:
ich hab Port 80 bei meinem Server offen. iptables soll auffälligen Verkehr, der ankommt, und der weggeht in die Logs schreiben und gegebenfalls reagieren. SYN-Pakete etc. sollen verworfen werden, und auffällige Ping-Attacken oder 3 versuchte Verbindungen innerhalb einer Minute durch Port-Schliessen für 10 Minuten unterbunden werden. Nun würde iptables aber nicht mitbekommen, dass nicht apache Pakete auf Port 80 schickt, sondern als dummes Beispiel das emulierte Adobe Photoshop 6. Ich kann nur eine Regel setzen entweder komplett den ganzen Verkehr auf Port 80 zu verwerfen oder durchzulassen, so fern nicht auffällig. LittleSnitch hat die Regel komplett erstmal Verkehr von LAN-zu-Internet zu verbieten und um authentifizierung zu bitten. Es achtet dabei auf Applikation, Port, Paket und Ziel-Adresse. Ich muss jedes Programm einzeln aufnehmen, also dynamisch anpassen. Bei iptables wäre das undenkbar.

Eine wirklich gute Firewall lässt sich auch auf die eigenen Anforderungen abstimmen. Unter OSX brauch man einfach eine dynamisch agierende Firewall durch wechselnde Programme etc.
Unter Linux brauch man eine zuverlässig, stabil-laufende, ressourcen-schonende Firewall, die strikte Regeln einhält.
Das sind zwei verschiedene Sachen, wie ich find. Denn OSX ist ein Anwender-Bereich und Linux ist für mich Server-System. Ein Server-System ist vorkonfiguriert, fest-gesetzt und wird nicht mehr so schnell geändert.

Ohje... jetzt hab ich mehr geschrieben als ich eigentlich wollte...
ich hoffe der eigentliche Gedanke kam jetzt rüber

Linux hat ein paar feine Sachen, aber die lassen sich einfach nicht 1:1 auf OSX übertragen. Dafür sind die Anforderunen zu verschieden. Unter Linux hast du zum Beispiel keine nach-hause telefonierende Software außer vielleicht die Spam-Bomben, die sich installieren.... aber die telefonieren auch nicht nach Hause *g*

[Cyrics]

durch die NSA kam ich überhaupt erst auf die Idee
ich hatte damals nämlich einen Bericht gelesen über das "Sicher-Machen" von OSX unter Panther. War höchst interessant, aber auch ein bisschen Richtung paranoid.

Aber ich gebe dir recht. Mein Tutorial war in der Hinsicht etwas durcheinander. Ich wusste mir da auch nicht besser zu helfen es zu strukturieren als durch aussagekräftige Überschriften und deren Abarbeitung.

Mal schaun... vielleicht überarbeite ich es nochmal.
Danke für den Hinweis. Das stört mich nämlich auch immer noch.

PS: um mir wieder Karma-spenden zu können, musst du erst andere wieder beschenken Ist eine komische Regelung... aber nur wer viel mit Karma um sich wirft kann andere schneller wieder damit glücklich machen... dies nur als Tipp am Rande

[kam-er]

Hallo!ich bin schon älterem Datums und erst seit einem halben Jahr Mac-user.habe eine Frage zu deinen interessanten Anmerkungen.benutze den mac überwiegend zum surfen,gehe mit DSL-Modem
ins Web,ohne Router.Wie ist das genau mit Stealth-Modus?Im Firewall-Protokoll habe ich dies des öfteren gelesen,wenn ich diverse Webseiten besucht habe.Eine Seite teilte mir mal mit,wo ich
genau wußte,bei Win.war ein Troyaner eingebaut,ihren Browser unterstützen wir nicht,und die Web-seite war weg. Salü--kam-er

[Bonobo]

Hallo Kam-er, ich kann Deine Fragen zwar nicht beantworten, aber Du klempst

[Cyrics]

Hallo!ich bin schon älterem Datums und erst seit einem halben Jahr Mac-user.habe eine Frage zu deinen interessanten Anmerkungen.benutze den mac überwiegend zum surfen,gehe mit DSL-Modem
ins Web,ohne Router.Wie ist das genau mit Stealth-Modus?Im Firewall-Protokoll habe ich dies des öfteren gelesen,wenn ich diverse Webseiten besucht habe.Eine Seite teilte mir mal mit,wo ich
genau wußte,bei Win.war ein Troyaner eingebaut,ihren Browser unterstützen wir nicht,und die Web-seite war weg. Salü--kam-er

Salut mon copain,

also der Stealth Modus macht nichts anderes als deinen Mac verstecken. Wenn du nur ein bisschen im Internet per Browser surfst auf Port 80, solltest du da nichts merken. Der Stealth-Modus macht sich bei Ping- oder anderen Identifikationsanfragen bemerkbar. Daher sieht man das sehr oft im Firewall-Log bei der Kommunikation zwischen Router und Mac. So schickt der Mac ein Paket an den Router und der Router versucht zu antworten mit einer Identifikation und pingt dabei den Mac an. Dieser schluckt diesen einfach und löst einen Fehler aus. Dieser ist aber nur ein Makel im Log.
Das sein Browser nicht unterstützt werden soll, würde auf jeden Fall nicht daran liegen, wenn du nur nochmal surfst. Was sind das denn für Webseiten? Irgendwelche Java-Plugins? Mit welchem Browser bist du denn unterwegs?

PS: Klempen, das muss ich mir merken! Es gibt ja echt für alles eine Bezeichnung.

[kam-er]

Hallöchen! Ich surfe überwiegend mit Camino,der sich ausgibt als IE.Jezt lacht nur;
Ich schaue mir im Web abundzu so an was die diversen Mädchen so alles treiben.Mit Win.war es gar
gefährlich,sich da rumzutreiben(Troyaner,etc),Salü--kam-er

war mit Shiira bei Yahoo.Sie ezählten mir;Sie verwenden IE für Mac.Zur
optimalen Nutzung empfehlen wir die neuste Version von Firefox u.Safari.
Ist doch wirklich beruhigend.