Wie Leopard sicherer machen?

2different

Thurgauer Weinapfel
Registriert
15.06.07
Beiträge
1.012
Mit seiner steigenden Beliebtheit wird sicher auch Mac OS X in seiner neuesten Version 10.5 immer attraktiver für Hacker. o_O

Was mich als Laien in Sachen Netzwerksicherheit und damit sicher viele User hier im Forum interessieren würde:

-Welche Sicherheitseinstellungen sollte ich in den Systemeinstellungen setzen um mein privates Leo-Laptop besser gegen Aussen zu schützen? Ist da überhaupt irgendetwas notwendig oder empfehlenswert, wie zum Beispiel die Option "Sicherer virtueller Speicher"?

Wäre schön wenn ihr auch noch erklären könntet, was die jeweilige Einstellung denn auslöst.

Danke. ;)
 

radical_x

Fießers Erstling
Registriert
05.05.07
Beiträge
127
also, zu allererst solltest du die finger von systemeinstellungen>sicherheit>firewall lassen. das ding funzt nämlich net. auch wenn man "alle eingehenden blockieren" klickt, lässt die fw alles du bis auf ping-anfragen. das is aber so oder so schwachsinn. es gibt hier aber schon so nen fred. musst mal nachschaun. ansonsten: hier, is zwar für tiger geschrieben, funzt aber auch bei leo...
 

Lemming

Finkenwerder Herbstprinz
Registriert
22.02.04
Beiträge
464
Mir macht das angst, seit heute morgen funktioniert mein yahoo Passwort nicht mehr. Kann es an einer Sicherheitslücke im Leopard liegen oder ist der Router eigentlich Firewall genug? Irgendwie bin ich jetzt verunsichert, ob ich hier geschützt oder komplett offen bin. Kann man das irgendwie testen?
Gruß Lemming
 

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
also, zu allererst solltest du die finger von systemeinstellungen>sicherheit>firewall lassen. das ding funzt nämlich net. auch wenn man "alle eingehenden blockieren" klickt, lässt die fw alles du bis auf ping-anfragen. das is aber so oder so schwachsinn. es gibt hier aber schon so nen fred. musst mal nachschaun. ansonsten: hier, is zwar für tiger geschrieben, funzt aber auch bei leo...

Wenn Du Netzwerk-Dienste startest, dann werden Anfragen für diese Netzwerk-Dienste durchgelassen, weil es keinen Sinn ergeben würde, einen Netzwerk-Dienst einzuschalten, den keiner erreichen kann. Dann läßt man ihn gleich aus.

Wir sind nicht bei Windows, wo auch Nicht-Netzwerk-Dienste im Netz erreichbar sind.
 

radical_x

Fießers Erstling
Registriert
05.05.07
Beiträge
127
Wenn Du Netzwerk-Dienste startest, dann werden Anfragen für diese Netzwerk-Dienste durchgelassen, weil es keinen Sinn ergeben würde, einen Netzwerk-Dienst einzuschalten, den keiner erreichen kann. Dann läßt man ihn gleich aus.

Wir sind nicht bei Windows, wo auch Nicht-Netzwerk-Dienste im Netz erreichbar sind.

was du uns damit jetzt sagen möchtest erschliesst sich mir noch nicht so wirklich...
 

Lemming

Finkenwerder Herbstprinz
Registriert
22.02.04
Beiträge
464
Geht mir jetzt auch so - sind wir jetzt generell ganz gut abgesichert oder nicht? Bringt der Router Sicherheit mit sich oder bedarf es noch mehr?
 

radical_x

Fießers Erstling
Registriert
05.05.07
Beiträge
127
heise online - Löcher in der Firewall von Mac OS X Leopard

http://www.apfeltalk.de/forum/firewall-udp-verkehr-t103921-2.html

sollte als gegendarstellung reichen :D

EDIT: ja ich hab mich auch erst seit kurzem damit beschätigt, weil ich da durch zufall drauf gekommen bin, deshalb ist meine skepsis auch so groß...wenn mir die jmd wieder nehmen kann...TUT EUCH KEINEN ZWANG AN :D :D

p.s.: es gibt da auch n tutorial, is zwar nicht die integrierte fw wenn ich's richtig weiss, ...hier ein video von jay beale :D so, lesen, anschauen, wieder kommen, weiter diskutieren...
 

2different

Thurgauer Weinapfel
Registriert
15.06.07
Beiträge
1.012
Mir macht das angst, seit heute morgen funktioniert mein yahoo Passwort nicht mehr. Kann es an einer Sicherheitslücke im Leopard liegen oder ist der Router eigentlich Firewall genug? Irgendwie bin ich jetzt verunsichert, ob ich hier geschützt oder komplett offen bin. Kann man das irgendwie testen?
Gruß Lemming

hier kannst du einen Security Check machen:

Symantec Security Check
 

Lemming

Finkenwerder Herbstprinz
Registriert
22.02.04
Beiträge
464
Danke Euch. Cool, immerhin bis auf den PING zeigt er 'sicher' an.
 

radical_x

Fießers Erstling
Registriert
05.05.07
Beiträge
127
du hättest mir auch deine homepage anbieten können :D hab mich da jetzt mal durchgelesen und versteh nun einiges mehr als vorher...und auch deine aussage von oben, was dann in meinem verständnis soviel heisst wie: solang unter sharing kein netzdienst aktiviert ist, muss ich mir grundsätzlich auch ertsmal keine sorgen machen dass der zur verfügung steht und im internet "ersichtlich" ist, richtig?
 

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
Korrekt. Was nicht existiert / angeschaltet ist, braucht nicht versteckt / geschützt / gefirewallt werden. Und wenn man beispielsweise Filesharing anschaltet, dann möchte man, daß andere es erreichen können. Es wäre widersinnig, dieses dann durch eine Firewalleinstellung unerreichbar zu machen. Nur die Jungs von heise, die fänden das klasse.
 

radical_x

Fießers Erstling
Registriert
05.05.07
Beiträge
127
okay....verstanden...aberdas kann ich hier so machen oder? >>>

Code:
sudo ifpw list
02000 allow ip from any to any via lo* 
02010 deny ip from 127.0.0.0/8 to any in 
02020 deny ip from any to 127.0.0.0/8 in 
02030 allow ip from 224.0.0.0/3 to any in 
02040 allow tcp from any to 224.0.0.0/3 in
03000 allow ip from any to any 80 out 
03010 allow ip from any 80 to any in
65535 allow ip from any to any

oder hab ich mich da jetzt irgendwo ausgesperrt? die 127er sind doch sozusagen die lokalen prozesse (127.0.0.1 = localhost) bzw mit der config kann ich verhindern dass sich "angreifer" als lokalen prozess ausgeben, richtig? dann halt noch die multicast-addressen und der webport...stimmt das so? kann man das so lassen? sry für die vielen fragen...

greetz
 

dust123

Luxemburger Triumph
Registriert
13.02.05
Beiträge
498
Also ich persönlich find ja das dieses Firewall-Thema ein bisschen zu heiß gekocht wird. Mittlerweile bekommt man doch bei jedem DSL-Anschluß einen Router mitgeliefert der eine Firewall integriert hat. Der Rechner selber steckt dabei hinter einem NAT und damit erübrigt sich jede lokal installierte Firewall. Das Thema dürfte eigentlich nur noch Modem- bzw. ISDN-Nutzer ohne DSL interessieren.
 

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
10.5 hat ja eine neue Firewall, die auf Anwendungsebene filtert. Die ipfw, die bis 10.4 von OS X allein als Firewall eingesetzt wurde und auch bei 10.5 dabei ist, filtert auf Netzwerkebene. Möglicherweise kann man sie gleichzeitig verwenden. Wäre auszuprobieren.

Wenn man hinter einem Router hängt, dann ist der Rechner so oder so nicht von außen erreichbar, es sei denn man definiert auf dem Router passende Portweiterleitungen.
 

dust123

Luxemburger Triumph
Registriert
13.02.05
Beiträge
498
Wenn man hinter einem Router hängt, dann ist der Rechner so oder so nicht von außen erreichbar, es sei denn man definiert auf dem Router passende Portweiterleitungen.

Eben. Also ich kenne niemanden mehr der nicht hinter einem Router hängt. Fast jeder hat heute DSL und beim DSL-Anschluss bekommt man immer so einen Router dabei.
 

Bier

Pomme au Mors
Registriert
24.08.07
Beiträge
867
Korrekt. Was nicht existiert / angeschaltet ist, braucht nicht versteckt / geschützt / gefirewallt werden.

Jetzt erzähl uns noch kurz, dass wir keine Services brauchen, und alles ist klar ;).
Neh, mal ehrlich: "Brauch ich nicht!" ist keine Antwort auf "Apple ist in Sachen Sicherheit so kompetent wie Microsoft..." Ich mein mal ernsthaft: wie beknackt muss man sein so was zu implementieren ohne es zu dokumentieren. Welche unterbezahlten Hilfs-Informatiker haben die denn da beschäftigt?
Im Grunde sollte man sich natürlich einerseits nichts erzählen lassen, aber sich auch nichts darauf einbilden, dass ein in diesem Bereich voll und ganz inkompetenter Herrsteller (okay, teilkompetent, weils so wies BILD äh Heise darstellt auch nicht stimmt (open != open|filtered)) die Sache schon richten wird.
Das ist nicht so. Der zahlende Kunde steht im Grunde im Regen. Was soll er denn mit dem bezahlten Stück Software da nun genau machen?
 

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
… wie beknackt muss man sein so was zu implementieren ohne es zu dokumentieren. …

Wirf doch mal einen Blick in die Hilfe der OS X Firewall. Dort steht alles drin. Sie verhält sich _exakt_ so, wie dort dokumentiert. Okay, heise war trotz Doku überrascht, aber was soll's ;)